Makale
Elektronik ticarette kişisel verilerin hukuka uygun işlenmesi, hem tüketicilerin temel haklarının korunması hem de işletmelerin yasal uyumluluğu açısından hayati öneme sahiptir. Bu makalede, e-ticaret ekosisteminde KVKK kapsamında veri işleme ilkeleri, açık rıza ve aydınlatma yükümlülüğü gibi temel yasal şartlar incelenmektedir.
E-Ticarette Kişisel Veri İşleme Şartları ve Uyum Süreci
Elektronik ticaretin hızla yaygınlaşması, işletmeler ve tüketiciler arasındaki ticari faaliyetlerin dijitalleşmesini sağlamış ve bu durum büyük hacimli kişisel verilerin elektronik ortama aktarılmasını beraberinde getirmiştir. Tüketicilerin kimlik ve iletişim bilgileri, ödeme verileri ve alışveriş alışkanlıklarını yansıtan dijital izler, şirketler için önemli araçlara dönüşürken, bu verilerin hukuka uygun bir şekilde işlenmesi yasal bir zorunluluktur. Bilişim hukuku perspektifinden değerlendirildiğinde, e-ticaret platformlarında kişisel verilerin işlenmesi, ilgili mevzuatta öngörülen katı usul ve esaslara tabidir. Veri sorumlusu sıfatını taşıyan e-ticaret işletmelerinin, veri toplama ve işleme süreçlerinde hem evrensel hukuk ilkelerini hem de ulusal düzenlemeleri dikkate alarak hukuki uyum süreçlerini eksiksiz bir biçimde tamamlamaları gerekmektedir. Aksi bir uygulama, yalnızca yasal yaptırım risklerini değil, aynı zamanda doğrudan tüketici güveninin zedelenmesi sonucunu da doğuracaktır.
Kişisel Verilerin İşlenmesinde Temel İlkeler
Elektronik ticarette veri işleme faaliyetlerinin temeli, kanunlarda düzenlenen genel ilkelere dayanmaktadır. Veri sorumluları, elde ettikleri kişisel verileri her şeyden önce hukuka ve dürüstlük kurallarına uygun bir şekilde işlemelidir. Bu ilke uyarınca, tüketicinin beklemediği ve makul beklentileriyle örtüşmeyen veri işleme faaliyetlerinden kaçınılmalıdır. Aynı zamanda, toplanan verilerin doğru ve gerektiğinde güncel olması sağlanmalı, tüketicilere verilerini kolaylıkla güncelleyebilecekleri kanallar sunulmalıdır. İşletmelerin veri toplama amaçları önceden şeffafça belirlenmeli; veriler yalnızca belirli, açık ve meşru amaçlar doğrultusunda kullanılmalıdır. Hukuka uygun bir yasal uyum süreci için, işlenen verilerin elde ediliş amacıyla bağlantılı, sınırlı ve ölçülü olması da mutlak bir zorunluluktur. Gerekli olandan fazla veya ileride kullanılabileceği ihtimaliyle amaçsızca veri toplanması veri minimizasyonu ilkesini ihlal eder. Toplanan tüm bu veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, ilgili sürenin bitiminde ise imha edilmelidir.
E-Ticarette Açık Rıza ve Uygulama Şartları
Kişisel verilerin yasal olarak işlenebilmesi için kural olarak veri sahibinin açık rızası aranmaktadır. Bilişim mevzuatına göre açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan bir onaydır. E-ticaret platformlarında genellikle rıza bir prosedür gibi görülerek tüketicilere "opt-out" (önceden seçili ret imkanı) sistemiyle sunulabilmektedir; ancak hukuka uygun bir açık rıza işlemi için aktif rıza yöntemi (opt-in) kullanılmalı ve onay kutucukları önceden işaretlenmemiş olmalıdır. Özellikle e-ticarette mal veya hizmetin sunulması, tüketicinin kişisel verilerinin işlenmesine yönelik açık rıza verme şartına bağlanamaz. Böyle bir durumda rızanın özgür iradeyle verildiğinden söz edilemez ve bu tür dayatmalar açık rızayı hukuken sakatlar. Tüketici, neye onay verdiğini tereddüde yer bırakmayacak bir açıklıkla anlamalı ve veri işleme faaliyetinin sınırları hakkında eksiksiz aydınlatılmış olmalıdır.
Açık Rıza Aranmaksızın Veri İşlenebilecek Haller
Kanun koyucu, açık rızanın alınmasının zorunlu olmadığı istisnai veri işleme şartlarını sınırlı olarak saymıştır. E-ticaret ekosisteminde özellikle sözleşmenin kurulması veya ifası için gerekli olma şartı sıklıkla uygulama alanı bulmaktadır. Tüketici ile işletme arasında kurulan mesafeli satış sözleşmesinin asli edimlerinin yerine getirilebilmesi için, teslimat adresinin kargo firmasıyla paylaşılması bu istisna kapsamında değerlendirilir. Bununla birlikte işletmeler, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi bağlamında fatura düzenlemek veya ticari faaliyetleri kaydetmek durumundadır. Aşağıda elektronik ticarette açık rıza aranmaksızın veri işlenebilen bazı hukuka uygunluk sebepleri sıralanmıştır:
- Kanunlarda kişisel veri işlenmesinin açıkça öngörülmesi.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaatinin zorunlu olması.
Aydınlatma Yükümlülüğünün Kapsamı ve Önemi
Veri uyum sürecinin en kritik adımlarından biri, veri sorumlusunun aydınlatma yükümlülüğünü zamanında ve eksiksiz yerine getirmesidir. Veri elde edilmeden önce veya en geç elde edilme sırasında tüketici; veri sorumlusunun kimliği, kişisel verilerin hangi amaçlarla işleneceği, kimlere ve hangi gerekçelerle aktarılabileceği, verilerin toplanma yöntemi ve hukuki sebepleri ile sahip olduğu yasal haklar konusunda şeffaf bir biçimde bilgilendirilmelidir. E-ticaret platformlarında kullanılan aydınlatma metinleri, tüketicinin kolayca anlayabileceği açık, sade ve anlaşılır bir dille kaleme alınmalı, muğlak ifadeler yerine sözleşme ifası veya satış sonrası destek gibi belirli hukuki amaçlar net bir şekilde belirtilmelidir. Ayrıca, veri işlemeye ilişkin açık rıza alınması gereken hallerde, aydınlatma yükümlülüğünün yerine getirilmesi ile açık rıza onayının alınması işlemleri mekanizma olarak birbirinden kesin olarak ayrılmalıdır.