Makale
Elektronik ticarette kişisel verilerin toplanması, işlenmesi ve bu süreçte açık rıza alınması, yasal mevzuat kapsamında sıkı kurallara tabidir. Bu makalede, e-ticaret sitelerinin veri işleme ilkeleri, aydınlatma yükümlülükleri ve veri sorumlularının hukuki, cezai ve idari sorumlulukları bilişim hukuku perspektifiyle incelenmektedir.
E-Ticarette Veri İşleme, Açık Rıza ve Hukuki Sorumluluk
Elektronik ticaret hacminin hızla büyümesiyle birlikte, tüketicilerden toplanan kişisel verilerin miktarı da devasa boyutlara ulaşmıştır. E-ticaret siteleri, ziyaretçilerinden alışveriş geçmişi, konum bilgisi, IP adresi ve ödeme bilgileri gibi pek çok veriyi işlemektedir. Ancak bu veri işleme faaliyetleri, keyfi olarak değil, ilgili mevzuatın çizdiği yasal sınırlar içerisinde yürütülmek zorundadır. Kullanıcıların verilerinin korunması, sadece bir güvenlik meselesi değil, aynı zamanda temel bir insan onuru ve mahremiyet hakkıdır. Elektronik ticarette veri sorumlusu konumunda olan şirketler ve pazar yerleri, kişisel verileri hukuka ve dürüstlük kuralına uygun bir şekilde, belirli, açık ve meşru amaçlarla bağlantılı, sınırlı ve ölçülü olarak işlemekle yükümlüdür. Aksi takdirde, verilerin ihlali durumunda şirketler için ciddi idari para cezaları, hukuki tazminat davaları ve hatta yöneticiler için hapis cezalarını kapsayan cezai yaptırımlar gündeme gelebilmektedir. Bu nedenle, e-ticaret süreçlerinde açık rıza mekanizmasının doğru işletilmesi ve sorumlulukların tam anlamıyla yerine getirilmesi hukuki bir zorunluluktur.
E-Ticarette Kişisel Verilerin İşlenmesi ve Temel İlkeler
Elektronik ticaret operasyonlarında kullanıcıların kişisel verileri; ticari elektronik iletiler, web sayfaları, mobil uygulamalar ve sosyal medya entegrasyonları aracılığıyla toplanmaktadır. Kişisel verilerin işlenmesi aşamasında, veri sorumlusu olan e-ticaret siteleri kanunlarda düzenlenen genel ilkelere mutlak surette uymak zorundadır. Öncelikle veri işleme faaliyeti hukuka ve dürüstlük kurallarına uygun olmalı, işlenen veriler doğru ve gerektiğinde güncel tutulmalıdır. E-ticaret platformları, verileri yalnızca belirli, açık ve meşru amaçlar için toplamalı ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olarak kullanmalıdır. Örneğin, yalnızca bir ürün teslimatı için müşterinin adres bilgisi gerekliyken, bu verilerin tüketicinin profillenmesi veya izinsiz olarak üçüncü taraf şirketlere aktarılması amaca bağlılık ilkesine açıkça aykırılık teşkil eder. Toplanan veriler, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli, ardından silinmeli veya anonim hale getirilmelidir.
Açık Rıza Kavramı ve Rızanın Unsurları
Mevzuat kapsamında açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza olarak tanımlanmaktadır. E-ticaret platformlarında tüketicilerin açık rızası alınırken bu üç temel unsurun eksiksiz bulunması şarttır. Öncelikle rıza, bilgilendirilmeye dayanmalı ve aydınlatma yükümlülüğü açık rızadan tamamen bağımsız, öncesinde yerine getirilmesi gereken bir prosedür olarak işletilmelidir. İkinci olarak rıza özgür iradeyle açıklanmış olmalıdır. E-ticaret sitelerinde bir ürünün satın alınması veya hizmetten faydalanılabilmesi için kişisel verilerin işlenmesine onay verilmesinin zorunlu koşul olarak sunulması, rızanın özgür iradeyle verilmediğini gösterir ve hukuka aykırıdır. Son olarak rıza, belirli bir konuya ilişkin olmalıdır; tüm verilerimin işlenmesini kabul ediyorum şeklindeki genel nitelikli onaylar hukuken geçersiz sayılmaktadır. Ayrıca, açık rızanın veri işleme faaliyetinden mutlaka önce alınması gerekmektedir.
Açık Rıza Aranmayan İstisnai Haller
Kişisel verilerin işlenmesi her zaman açık rızaya tabi değildir. Belirli yasal şartların varlığı halinde ilgili kişinin açık rızası aranmaksızın veri işlenmesi mümkündür. E-ticaret ekosisteminde sıkça karşılaşılan ve açık rıza gerektirmeyen başlıca hukuki durumlar şunlardır:
- Kanunlarda açıkça öngörülmesi: E-ticaret sitelerinin vergi mevzuatı gereği fatura düzenlemek için kullanıcı bilgilerini işlemesi.
- Sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması: Mesafeli satış sözleşmesi gereği satın alınan ürünün kargoya verilmesi için alıcının adres bilgilerinin işlenmesi.
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi: Kara para aklamanın önlenmesi mevzuatı kapsamında şüpheli ödeme işlemlerinin yetkili kurumlara bildirilmesi.
- Veri sorumlusunun meşru menfaatleri için zorunlu olması: E-ticaret sitesinin dolandırıcılık veya siber saldırıları önlemek amacıyla kendi ağ güvenliğini sağlamaya yönelik faaliyetleri.
Veri Sorumlusunun Hukuki, İdari ve Cezai Sorumluluğu
Elektronik ticaret sitelerinde kişisel verilerin ihlal edilmesi durumunda veri sorumluları için çok boyutlu bir yaptırım rejimi devreye girer. Hukuki sorumluluk bağlamında, verileri hukuka aykırı işlenen ve bu sebeple zarara uğrayan tüketiciler, genel hükümler çerçevesinde veri sorumlusuna karşı maddi ve manevi tazminat davaları açabilirler. Bilişim sistemlerindeki dijital verilerin saklanması önemli ölçüde tehlike arz eden bir faaliyet olarak nitelendirilebileceğinden, veri sorumlusunun kusursuz sorumluluğuna dahi gidilebilmesi öğretide savunulmaktadır. Cezai sorumluluk açısından ise, kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi veya ele geçirilmesi Türk Ceza Kanunu kapsamında hapis cezasını gerektiren siber suçlar olarak düzenlenmiştir. Son olarak idari sorumluluk kapsamında, veri ihlalleri veya aydınlatma yükümlülüğünün yerine getirilmemesi hallerinde veri koruma otoriteleri tarafından e-ticaret şirketlerine yüksek tutarlarda idari para cezaları kesilmektedir.