Elektronik ticaretin hızla gelişmesi ve fiziki sınırların ötesine geçmesi, ticari faaliyetlerin yapısını köklü bir şekilde değiştirmiştir. Tüketicilerin çevrim içi platformlar üzerinden mal ve hizmet tedarik etmesi, e-ticaret ekosisteminde çok büyük miktarda kişisel verinin toplanmasına, işlenmesine ve aktarılmasına yol açmaktadır. Bu dönüşüm, kişisel verilerin hukuki niteliği ve korunması bağlamında yeni hassasiyetler yaratmıştır. Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında, fiziki olarak karşı karşıya gelmeksizin elektronik ortamda gerçekleştirilen her türlü iktisadi ve ticari faaliyet e-ticaret olarak nitelendirilmektedir. Bu süreçlerde rol alan Elektronik Ticaret Hizmet Sağlayıcı (ETHS) ve Elektronik Ticaret Aracı Hizmet Sağlayıcı (ETAHS) gibi aktörler, alıcıların temel bilgilerini işleyen başlıca veri sorumluları konumundadır. Dolayısıyla, e-ticaret hukukunda yer alan bu yeni yapıların, işledikleri verilerin niteliğini ve yasal statüsünü doğru bir şekilde analiz etmeleri büyük önem taşımaktadır.
E-Ticaret Hukukunda Kişisel Veri Kavramı ve Unsurları
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Hukuki uygulamalarımızda bir bilginin kişisel veri sayılabilmesi için temel olarak üç unsurun bir arada bulunması aranmaktadır: Bilgi, kimliği belirli veya belirlenebilir bir kişi ve bilginin bu kişiye ilişkin olması. E-ticaret platformları üzerinden gerçekleştirilen işlemlerde toplanan verilerin kişisel veri sayılabilmesi için o bilginin mutlaka gizli veya özel nitelikte olması gerekmez; kişinin adı, soyadı, IP adresi veya alışveriş alışkanlıkları gibi aleni veya öznel nitelikteki bilgiler de kişisel veri koruma şemsiyesi altındadır. Burada en önemli ölçüt, elde edilen verinin yardımcı araçlar kullanılarak dahi bir gerçek kişiyi belirlenebilir kılmasıdır.
E-Ticarette Sıklıkla İşlenen Genel ve Özel Nitelikli Kişisel Veriler
E-ticaret süreçlerinde işlenen veriler, temel olarak genel nitelikli kişisel veriler ve yasada sınırlı sayıda sayılan özel nitelikli kişisel veriler olmak üzere ikiye ayrılır. Çoğunlukla çevrim içi pazaryerlerinde kimlik, iletişim veya ödeme bilgileri gibi genel nitelikli veriler toplanırken; sağlık hizmeti sunan çevrim içi platformlarda kişinin sağlık ve cinsel hayatına dair özel nitelikli kişisel veriler işlenebilmektedir. Bu tür hassas veriler, KVKK kapsamında çok daha sıkı koruma rejimine tabi tutulmakta olup, bu verilerin e-ticaret ekosisteminde işlenmesi sürecinde kanun koyucunun aradığı hukuki şartların hassasiyetle değerlendirilmesi elzemdir. Uygulamada, işletmeden tüketiciye (B2C) e-ticaret modellerinde çoğunlukla gerçek kişilerin verileri ön planda olsa da, işletmeden işletmeye (B2B) modellerinde şahıs şirketi veya esnaflara ait kurumsal e-posta veya işletme iletişim numaraları da bir gerçek kişiyle ilişkilendirilebildiği ölçüde kişisel veri statüsünde değerlendirilmektedir.
E-Ticaret Platformlarında Toplanan Başlıca Veri Türleri
Çevrim içi platformlarda alıcıların hesap oluşturma, sipariş verme veya siteyi ziyaret etme gibi eylemleri sırasında birçok farklı veri türü toplanmaktadır. ETHS ve ETAHS'ler tarafından elektronik ticaret faaliyetlerinin yürütülebilmesi için toplanan başlıca veri kategorileri aşağıda sıralanmıştır:
- Kimlik Verileri: Abonelik veya sipariş aşamasında alınan ad, soyadı ve yasal düzenlemeler gereği özellikle faturalandırma süreçlerinde talep edilebilen T. C. kimlik numarası gibi doğrulayıcı veriler.
- İletişim Verileri: Siparişin teslimi ve müşteri ilişkilerinin yürütülmesi amacıyla alınan adres, telefon numarası ve e-posta adresi bilgileri.
- Finans Verileri: Ödeme sistemleri aracılığıyla kullanılan ve büyük bir siber güvenlik riski barındıran kredi kartı, banka hesap ve e-cüzdan bilgileri.
- Konum Verileri: Mobil uygulamalar vasıtasıyla toplanan, coğrafi hedefli reklamcılık veya dinamik fiyatlandırma algoritmaları için kullanılan yer tespiti verileri.
Dijital Ayak İzleri: Çerezler, IP Adresleri ve Log Kayıtları
Kullanıcıların e-ticaret sitelerine giriş yapmasıyla birlikte sadece aktif olarak paylaştıkları bilgiler değil, aynı zamanda pasif olarak toplanan teknik veriler de işlenmektedir. Bu verilerin başında gelen çerezler (cookies), kullanıcının cihazına yerleştirilen ve tarayıcı bilgisi, sepet hareketleri, tıklama alışkanlıkları gibi verileri barındıran metin dosyalarıdır. Çerezler; zorunlu, işlevsel, performans ve pazarlama çerezleri olarak sınıflandırılmakta olup, özellikle hedefli reklamcılık ve profilleme amacıyla kullanılan pazarlama çerezleri gizlilik bağlamında büyük önem taşımaktadır. Bunun yanı sıra, cihazların internet üzerindeki kimliği niteliğindeki IP adresleri ve 5651 sayılı Kanun kapsamında tutulması gereken trafik bilgilerini içeren log kayıtları, kullanıcıların e-ticaret platformlarındaki hareketlerini izlenebilir kılmaktadır. Bu teknik verilerin tamamı, ilgili kişiyi doğrudan veya dolaylı olarak belirlenebilir kıldığından kişisel veri koruma mevzuatı kapsamında hukuki denetime tabidir.
Şirket hattımı veya e-postamı kullanıyorum, bu da kişisel veri sayılır mı? expand_more
E-ticaret sitesine sadece girdim çıktım, çerezler veya IP adresim kişisel veri mi? expand_more
Adım soyadım zaten internette açıkça yazıyor, yine de KVKK ile korunur mu? expand_more
İnternetten sağlık ürünleri alıyorum, buradaki verilerim daha mı sıkı korunmalı? expand_more
Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.
Bizi Değerlendirin
Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.
Google'da Değerlendir