Makale
Elektronik ticaret platformlarının, 6698 sayılı KVKK ve 6563 sayılı ETK kapsamında müşteri verilerini hukuka uygun işlemesi ve ticari elektronik ileti süreçlerini yönetmesi yasal bir zorunluluktur. Bu makale, e-ticaret aktörlerinin veri güvenliği, aydınlatma yükümlülüğü ve açık rıza süreçlerindeki hukuki sorumluluklarını incelemektedir.
E-Ticarette KVKK ve ETK Kapsamında Veri Sorumlulukları
Günümüzde dijitalleşmenin hız kazanmasıyla birlikte elektronik ticaret faaliyetleri ulusal ölçekte büyük bir ivme yakalamıştır. Bu büyüme, müşteri bilgileri, ödeme verileri ve alışveriş geçmişi gibi büyük çaplı kişisel verilerin işlenmesi sonucunu doğurmaktadır. Türk hukukunda e-ticaret şirketlerinin veri işleme süreçleri, temel olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK) çerçevesinde şekillenmektedir. Bu iki kanun, e-ticaret platformlarını işleten Elektronik Ticaret Aracı Hizmet Sağlayıcılar (ETAHS) ile doğrudan kendi ürünlerini satan Elektronik Ticaret Hizmet Sağlayıcıların (ETHS) hukuki yükümlülüklerini belirler. Bir e-ticaret şirketinin hukuki ve cezai yaptırımlarla karşılaşmaması adına, müşteri verilerinin elde edilmesinden imha edilmesine kadar geçen tüm yaşam döngüsünde hukuka ve dürüstlük kurallarına uygun hareket etmesi elzemdir. İlgili yasal düzenlemeler, sadece veri güvenliğini sağlamayı değil, aynı zamanda tüketici haklarının ve özel hayatın gizliliğinin korunmasını da güvence altına almayı amaçlamaktadır.
KVKK Kapsamında E-Ticaret Şirketlerinin Temel Yükümlülükleri
E-ticaret platformları, KVKK'nın 10. maddesi uyarınca kullanıcılarına karşı aydınlatma yükümlülüğünü tam ve eksiksiz olarak yerine getirmek zorundadır. Kullanıcıların verilerinin hangi amaçla işleneceği, kimlere aktarılabileceği ve hukuki sebepleri açık, şeffaf ve anlaşılır bir dille sunulmalıdır. Özellikle e-ticaret sitelerine üyelik veya alışveriş aşamasında aydınlatma metni ile açık rıza beyanının ayrı ayrı sunulması gerekmektedir. Hukuken geçerli bir açık rızanın; belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olması şarttır. Uygulamada sıkça rastlanan önceden işaretlenmiş kutucuklar (opt-in) veya "hizmetin kullanımını rıza şartına bağlama" gibi pratikler, Kişisel Verileri Koruma Kurulu tarafından hukuka aykırı ve geçersiz kabul edilmektedir.
Kanun'un 12. maddesi, veri sorumlusu sıfatını haiz e-ticaret şirketlerine veri güvenliğini sağlama yükümlülüğü yüklemektedir. Şirketler, kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere yetkisiz erişimi engellemek amacıyla gerekli tüm teknik ve idari tedbirleri almakla mükelleftir. E-ticaret şirketlerinin, ödeme altyapıları veya kargo gibi alanlarda çalıştıkları üçüncü taraf veri işleyenlerle aralarındaki hukuki ilişkiyi, KVKK'ya uygun gizlilik ve veri işleme sözleşmeleriyle güvence altına almaları zorunludur. Kurul kararlarına bakıldığında, gerekli güvenlik önlemlerini almayan veya veri ihlali bildirimlerini yasal süresi içinde yapmayan şirketlere milyonlarca lirayı bulan yüksek idari para cezaları uygulandığı görülmektedir.
6563 Sayılı ETK Kapsamında Ticari Elektronik İleti Yönetimi
E-ticaret faaliyetlerinde pazarlama ve kampanya süreçlerinin ayrılmaz bir parçası olan ticari elektronik iletiler, 6563 sayılı Kanun ve ilgili yönetmelikler ile sıkı kurallara bağlanmıştır. Hizmet sağlayıcıların, kullanıcılara reklam, promosyon veya kutlama amaçlı SMS, e-posta veya arama yapabilmesi için alıcıların önceden onayını alması emredici bir hukuki kuraldır. Ticari elektronik ileti onayı, fiziki ortamda yazılı olarak alınabileceği gibi elektronik ortamda da alınabilir; ancak bu onayın İleti Yönetim Sistemi (İYS) üzerine kaydedilmesi zorunludur. Alıcının onay vermemiş olması halinde veya daha önce verdiği onayı ret hakkını kullanarak geri alması durumunda, ticari ileti gönderimi derhal durdurulmalıdır. Aksi takdirde şirketler, ticaret hukuku kapsamında ciddi idari yaptırımlarla karşı karşıya kalır.
ETAHS ve ETHS'lerin Veri Kullanımına Yönelik Özel Sınırlandırmalar
E-Ticaret Kanunu'nda yapılan son güncellemeler ile platformların iş hacimlerine göre veri kullanımına yönelik katı sınırlar getirilmiştir. Özellikle Elektronik Ticaret Aracı Hizmet Sağlayıcılar (ETAHS) ile Elektronik Ticaret Hizmet Sağlayıcılar (ETHS) arasındaki ilişkilerde veri hakimiyetinin kötüye kullanılmasını engellemek hedeflenmiştir. Bu bağlamda öne çıkan yasal sınırlar şu şekilde sıralanabilir:
- ETAHS'ler, satıcılardan veya alıcılardan elde ettikleri verileri yalnızca aracılık hizmetinin sunulması amacıyla kullanmak zorundadır.
- Büyük ölçekli platformların, elde ettikleri bu verileri kendilerinin de satıcı olduğu durumlarda haksız rekabet avantajı yaratmak için kullanması kesinlikle yasaktır.
- Platformlar, satıcılara ait satış ve iade gibi verileri ücretsiz ve etkin bir biçimde ilgili satıcıya aktarmakla yükümlüdür.
- Bakanlık denetimleri için ilgili ticari ve elektronik kayıtların on yıl süreyle muhafaza edilmesi yasal bir mecburiyettir.