Anasayfa/ Makale/ E-Ticarette Veri İşleme, Açık Rıza ve Hukuki Sorumluluk

E-Ticarette Veri İşleme, Açık Rıza ve Hukuki Sorumluluk

Elektronik ticarette kişisel verilerin toplanması, işlenmesi ve bu süreçte açık rıza alınması, yasal mevzuat kapsamında sıkı kurallara tabidir. Bu makalede, e-ticaret sitelerinin veri işleme ilkeleri, aydınlatma yükümlülükleri ve veri sorumlularının hukuki, cezai ve idari sorumlulukları bilişim hukuku perspektifiyle incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
DOLANDIRICILIK AYDINLATMA YÜKÜMLÜLÜĞÜ AÇIK RIZA MANEVİ TAZMİNAT KİŞİSEL VERİLERİN İŞLENMESİ BİLİŞİM HUKUKU TAZMİNAT

Elektronik ticaret hacminin hızla büyümesiyle birlikte, tüketicilerden toplanan kişisel verilerin miktarı da devasa boyutlara ulaşmıştır. E-ticaret siteleri, ziyaretçilerinden alışveriş geçmişi, konum bilgisi, IP adresi ve ödeme bilgileri gibi pek çok veriyi işlemektedir. Ancak bu veri işleme faaliyetleri, keyfi olarak değil, ilgili mevzuatın çizdiği yasal sınırlar içerisinde yürütülmek zorundadır. Kullanıcıların verilerinin korunması, sadece bir güvenlik meselesi değil, aynı zamanda temel bir insan onuru ve mahremiyet hakkıdır. Elektronik ticarette veri sorumlusu konumunda olan şirketler ve pazar yerleri, kişisel verileri hukuka ve dürüstlük kuralına uygun bir şekilde, belirli, açık ve meşru amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlemekle yükümlüdür. Aksi takdirde, verilerin ihlali durumunda şirketler için ciddi idari para cezaları, hukuki tazminat davaları ve hatta yöneticiler için hapis cezalarını kapsayan cezai yaptırımlar gündeme gelebilmektedir. Bu nedenle, e-ticaret süreçlerinde açık rıza mekanizmasının doğru işletilmesi ve sorumlulukların tam anlamıyla yerine getirilmesi hukuki bir zorunluluktur.

E-Ticarette Kişisel Verilerin İşlenmesi ve Temel İlkeler

Elektronik ticaret operasyonlarında kullanıcıların kişisel verileri; ticari elektronik iletiler, web sayfaları, mobil uygulamalar ve sosyal medya entegrasyonları aracılığıyla toplanmaktadır. Kişisel verilerin işlenmesi aşamasında, veri sorumlusu olan e-ticaret siteleri kanunlarda düzenlenen genel ilkelere mutlak surette uymak zorundadır. Öncelikle veri işleme faaliyeti hukuka ve dürüstlük kurallarına uygun olmalı, işlenen veriler doğru ve gerektiğinde güncel tutulmalıdır. E-ticaret platformları, verileri yalnızca belirli, açık ve meşru amaçlar için toplamalı ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanmalıdır. Örneğin, yalnızca bir ürün teslimatı için müşterinin adres bilgisi gerekliyken, bu verilerin tüketicinin profillenmesi veya izinsiz olarak üçüncü taraf şirketlere aktarılması amaca bağlılık ilkesine açıkça aykırılık teşkil eder. Toplanan veriler, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, ardından silinmeli veya anonim hale getirilmelidir.

Açık Rıza Kavramı ve Rızanın Unsurları

Mevzuat kapsamında açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. E-ticaret platformlarında tüketicilerin açık rızası alınırken bu üç temel unsurun eksiksiz bulunması şarttır. Öncelikle rıza, bilgilendirilmeye dayanmalı ve aydınlatma yükümlülüğü açık rızadan tamamen bağımsız, öncesinde yerine getirilmesi gereken bir prosedür olarak işletilmelidir. İkinci olarak rıza özgür iradeyle açıklanmış olmalıdır. E-ticaret sitelerinde bir ürünün satın alınması veya hizmetten faydalanılabilmesi için kişisel verilerin işlenmesine onay verilmesinin zorunlu koşul olarak sunulması, rızanın özgür iradeyle verilmediğini gösterir ve hukuka aykırıdır. Son olarak rıza, belirli bir konuya ilişkin olmalıdır; tüm verilerimin işlenmesini kabul ediyorum şeklindeki genel nitelikli onaylar hukuken geçersiz sayılmaktadır. Ayrıca, açık rızanın veri işleme faaliyetinden mutlaka önce alınması gerekmektedir.

Açık Rıza Aranmayan İstisnai Haller

Kişisel verilerin işlenmesi her zaman açık rızaya tabi değildir. Belirli yasal şartların varlığı halinde ilgili kişinin açık rızası aranmaksızın veri işlenmesi mümkündür. E-ticaret ekosisteminde sıkça karşılaşılan ve açık rıza gerektirmeyen başlıca hukuki durumlar şunlardır:

  • Kanunlarda açıkça öngörülmesi: E-ticaret sitelerinin vergi mevzuatı gereği fatura düzenlemek için kullanıcı bilgilerini işlemesi.
  • Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması: Mesafeli satış sözleşmesi gereği satın alınan ürünün kargoya verilmesi için alıcının adres bilgilerinin işlenmesi.
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi: Kara para aklamanın önlenmesi mevzuatı kapsamında şüpheli ödeme işlemlerinin yetkili kurumlara bildirilmesi.
  • Veri sorumlusunun meşru menfaatleri için zorunlu olması: E-ticaret sitesinin dolandırıcılık veya siber saldırıları önlemek amacıyla kendi ağ güvenliğini sağlamaya yönelik faaliyetleri.

Veri Sorumlusunun Hukuki, İdari ve Cezai Sorumluluğu

Elektronik ticaret sitelerinde kişisel verilerin ihlal edilmesi durumunda veri sorumluları için çok boyutlu bir yaptırım rejimi devreye girer. Hukuki sorumluluk bağlamında, verileri hukuka aykırı işlenen ve bu sebeple zarara uğrayan tüketiciler, genel hükümler çerçevesinde veri sorumlusuna karşı maddi ve manevi tazminat davaları açabilirler. Bilişim sistemlerindeki dijital verilerin saklanması önemli ölçüde tehlike arz eden bir faaliyet olarak nitelendirilebileceğinden, veri sorumlusunun kusursuz sorumluluğuna dahi gidilebilmesi öğretide savunulmaktadır. Cezai sorumluluk açısından ise, kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi veya ele geçirilmesi Türk Ceza Kanunu kapsamında hapis cezasını gerektiren siber suçlar olarak düzenlenmiştir. Son olarak idari sorumluluk kapsamında, veri ihlalleri veya aydınlatma yükümlülüğünün yerine getirilmemesi hallerinde veri koruma otoriteleri tarafından e-ticaret şirketlerine yüksek tutarlarda idari para cezaları kesilmektedir.

Bir ürünü almak için verilerimi işlemelerine onay vermek zorunda mıyım? expand_more
Hayır, e-ticaret sitelerinin bir ürünü satın almanız veya sunulan hizmetten faydalanabilmeniz için kişisel verilerinizin işlenmesine onay vermenizi zorunlu bir koşul olarak dayatması hukuka aykırıdır. Mevzuata göre alınan açık rızanın mutlaka "özgür iradeyle açıklanmış" olması yasal bir zorunluluktur. Bu tarz dayatmalarla tüketicilerden alınan onamlar özgür iradeyi yansıtmadığı için hukuken geçersiz kabul edilmektedir.
Sadece kargo gelsin diye verdiğim adresi başka şirketlere satabilirler mi? expand_more
Kesinlikle hayır, e-ticaret platformları toplanan verileri yalnızca "belirli, açık ve meşru amaçlar" çerçevesinde işlemekle yükümlüdür. Ürünün teslimatı için zorunlu olan adres bilginizin, profilinizi çıkartmak veya izniniz dışında üçüncü taraf şirketlere aktarılmak üzere kullanılması "amaca bağlılık ilkesine" açıkça aykırılık oluşturur. Veri sorumlusu şirketler, bilgilerinizi yalnızca işlendikleri bu temel amaçla bağlantılı, sınırlı ve ölçülü olarak muhafaza edebilirler.
"Tüm verilerimin işlenmesini kabul ediyorum" kutucuğunu işaretledim, her şeyi yapabilirler mi? expand_more
Bu şekilde alınan ve sınırları çizilmemiş "genel nitelikli onaylar", veri koruma mevzuatı kapsamında hukuken tamamen geçersiz sayılmaktadır. Geçerli bir açık rızadan bahsedilebilmesi için rızanın mutlaka belirli bir konuya ilişkin olması ve kullanıcının rıza öncesinde aydınlatma yükümlülüğü çerçevesinde detaylıca bilgilendirilmesi şarttır. Dolayısıyla, e-ticaret sitesi sadece böyle genel bir beyana dayanarak verileriniz üzerinde keyfi olarak tasarrufta bulunamaz.
Benden rıza almadan fatura kesmek için bilgilerimi kaydetmişler, bu suç mu? expand_more
Hayır, bu durum herhangi bir hukuki ihlal veya suç teşkil etmemektedir. Kişisel verilerin işlenebilmesi için her durumda kullanıcının açık rızasına başvurulması yasal bir zorunluluk değildir. E-ticaret şirketlerinin, vergi mevzuatından doğan yükümlülüklerini yerine getirmek ve fatura düzenlemek amacıyla bilgilerinizi işlemesi "kanunlarda açıkça öngörülmesi" istisnası kapsamında hukuka uygundur. Ayrıca mesafeli satış sözleşmesinin ifası için ürünün kargoya verilmesi amacıyla adresinizin işlenmesi de rıza gerektirmeyen meşru haller arasında yer alır.
Alışveriş yaptığım siteden bilgilerim sızdırıldı, dava açıp para alabilir miyim? expand_more
Evet, kişisel verilerinizin hukuka aykırı olarak işlenmesi, sızdırılması veya ele geçirilmesi sebebiyle zarara uğradıysanız, veri sorumlusu olan şirkete karşı genel hükümler çerçevesinde maddi ve manevi tazminat davası açma hakkınız bulunmaktadır. Bilişim sistemlerindeki dijital verilerin muhafazası ciddi tehlike arz eden bir faaliyet olarak değerlendirilebileceğinden, yargılama süreçlerinde veri sorumlusunun "kusursuz sorumluluğuna" dahi gidilebileceği hukuk öğretisinde savunulmaktadır. Bununla birlikte ilgili e-ticaret firması veri otoritelerince yüksek idari para cezalarına çarptırılabilir ve bu ihlale sebep olan kişiler hakkında Türk Ceza Kanunu kapsamında hapis cezası da gündeme gelebilir.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir