Anasayfa Makale E-Ticarette KVKK: Temel Kavramlar ve Veri Türleri

Makale

Elektronik ticaret faaliyetleri, alıcılara ait çok sayıda kişisel verinin işlenmesini gerektirmektedir. Bu makalede, e-ticaret süreçlerindeki temel kavramlar ile işletmeler tarafından sıklıkla işlenen kimlik, iletişim, finans ve çerez gibi çeşitli kişisel veri türleri hukuki bir perspektifle incelenmektedir.

E-Ticarette KVKK: Temel Kavramlar ve Veri Türleri

KVKK

Elektronik ticaretin hızla gelişmesi ve fiziki sınırların ötesine geçmesi, ticari faaliyetlerin yapısını köklü bir şekilde değiştirmiştir. Tüketicilerin çevrim içi platformlar üzerinden mal ve hizmet tedarik etmesi, e-ticaret ekosisteminde çok büyük miktarda kişisel verinin toplanmasına, işlenmesine ve aktarılmasına yol açmaktadır. Bu dönüşüm, kişisel verilerin hukuki niteliği ve korunması bağlamında yeni hassasiyetler yaratmıştır. Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında, fiziki olarak karşı karşıya gelmeksizin elektronik ortamda gerçekleştirilen her türlü iktisadi ve ticari faaliyet e-ticaret olarak nitelendirilmektedir. Bu süreçlerde rol alan Elektronik Ticaret Hizmet Sağlayıcı (ETHS) ve Elektronik Ticaret Aracı Hizmet Sağlayıcı (ETAHS) gibi aktörler, alıcıların temel bilgilerini işleyen başlıca veri sorumluları konumundadır. Dolayısıyla, e-ticaret hukukunda yer alan bu yeni yapıların, işledikleri verilerin niteliğini ve yasal statüsünü doğru bir şekilde analiz etmeleri büyük önem taşımaktadır.

E-Ticaret Hukukunda Kişisel Veri Kavramı ve Unsurları

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Hukuki uygulamalarımızda bir bilginin kişisel veri sayılabilmesi için temel olarak üç unsurun bir arada bulunması aranmaktadır: Bilgi, kimliği belirli veya belirlenebilir bir kişi ve bilginin bu kişiye ilişkin olması. E-ticaret platformları üzerinden gerçekleştirilen işlemlerde toplanan verilerin kişisel veri sayılabilmesi için o bilginin mutlaka gizli veya özel nitelikte olması gerekmez; kişinin adı, soyadı, IP adresi veya alışveriş alışkanlıkları gibi aleni veya öznel nitelikteki bilgiler de kişisel veri koruma şemsiyesi altındadır. Burada en önemli ölçüt, elde edilen verinin yardımcı araçlar kullanılarak dahi bir gerçek kişiyi belirlenebilir kılmasıdır.

E-Ticarette Sıklıkla İşlenen Genel ve Özel Nitelikli Kişisel Veriler

E-ticaret süreçlerinde işlenen veriler, temel olarak genel nitelikli kişisel veriler ve yasada sınırlı sayıda sayılan özel nitelikli kişisel veriler olmak üzere ikiye ayrılır. Çoğunlukla çevrim içi pazaryerlerinde kimlik, iletişim veya ödeme bilgileri gibi genel nitelikli veriler toplanırken; sağlık hizmeti sunan çevrim içi platformlarda kişinin sağlık ve cinsel hayatına dair özel nitelikli kişisel veriler işlenebilmektedir. Bu tür hassas veriler, KVKK kapsamında çok daha sıkı koruma rejimine tabi tutulmakta olup, bu verilerin e-ticaret ekosisteminde işlenmesi sürecinde kanun koyucunun aradığı hukuki şartların hassasiyetle değerlendirilmesi elzemdir. Uygulamada, işletmeden tüketiciye (B2C) e-ticaret modellerinde çoğunlukla gerçek kişilerin verileri ön planda olsa da, işletmeden işletmeye (B2B) modellerinde şahıs şirketi veya esnaflara ait kurumsal e-posta veya işletme iletişim numaraları da bir gerçek kişiyle ilişkilendirilebildiği ölçüde kişisel veri statüsünde değerlendirilmektedir.

E-Ticaret Platformlarında Toplanan Başlıca Veri Türleri

Çevrim içi platformlarda alıcıların hesap oluşturma, sipariş verme veya siteyi ziyaret etme gibi eylemleri sırasında birçok farklı veri türü toplanmaktadır. ETHS ve ETAHS'ler tarafından elektronik ticaret faaliyetlerinin yürütülebilmesi için toplanan başlıca veri kategorileri aşağıda sıralanmıştır:

  • Kimlik Verileri: Abonelik veya sipariş aşamasında alınan ad, soyadı ve yasal düzenlemeler gereği özellikle faturalandırma süreçlerinde talep edilebilen T. C. kimlik numarası gibi doğrulayıcı veriler.
  • İletişim Verileri: Siparişin teslimi ve müşteri ilişkilerinin yürütülmesi amacıyla alınan adres, telefon numarası ve e-posta adresi bilgileri.
  • Finans Verileri: Ödeme sistemleri aracılığıyla kullanılan ve büyük bir siber güvenlik riski barındıran kredi kartı, banka hesap ve e-cüzdan bilgileri.
  • Konum Verileri: Mobil uygulamalar vasıtasıyla toplanan, coğrafi hedefli reklamcılık veya dinamik fiyatlandırma algoritmaları için kullanılan yer tespiti verileri.

Dijital Ayak İzleri: Çerezler, IP Adresleri ve Log Kayıtları

Kullanıcıların e-ticaret sitelerine giriş yapmasıyla birlikte sadece aktif olarak paylaştıkları bilgiler değil, aynı zamanda pasif olarak toplanan teknik veriler de işlenmektedir. Bu verilerin başında gelen çerezler (cookies), kullanıcının cihazına yerleştirilen ve tarayıcı bilgisi, sepet hareketleri, tıklama alışkanlıkları gibi verileri barındıran metin dosyalarıdır. Çerezler; zorunlu, işlevsel, performans ve pazarlama çerezleri olarak sınıflandırılmakta olup, özellikle hedefli reklamcılık ve profilleme amacıyla kullanılan pazarlama çerezleri gizlilik bağlamında büyük önem taşımaktadır. Bunun yanı sıra, cihazların internet üzerindeki kimliği niteliğindeki IP adresleri ve 5651 sayılı Kanun kapsamında tutulması gereken trafik bilgilerini içeren log kayıtları, kullanıcıların e-ticaret platformlarındaki hareketlerini izlenebilir kılmaktadır. Bu teknik verilerin tamamı, ilgili kişiyi doğrudan veya dolaylı olarak belirlenebilir kıldığından kişisel veri koruma mevzuatı kapsamında hukuki denetime tabidir.

4 dk okuma Yayınlanma: Güncelleme: