Makale
Elektronik ticarette kişisel verilerin işlenmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında belirli şartlara ve sıkı kurallara tabidir. E-ticaret platformları, tüketicilerin kişisel verilerini işlerken kanuni şartlara dayanmak zorunda olup, ilgili kişilerin bilgi edinme, silme ve itiraz gibi temel haklarına saygı göstermelidir.
E-Ticarette Veri İşleme Şartları ve İlgili Kişi Hakları
Bilişim hukukunun en önemli çalışma alanlarından biri haline gelen elektronik ticaret, bireylerin fiziksel olarak bir araya gelmeden mal ve hizmet alışverişi yapmalarına olanak tanımaktadır. Bu yenilikçi ticaret modelinin temelinde ise kişisel verilerin işlenmesi yatmaktadır. Kimlik, iletişim, ödeme ve lokasyon gibi tüketici verileri, e-ticaret siteleri tarafından siparişin alınmasından teslimatın tamamlanmasına kadar birçok farklı aşamada yoğun bir şekilde kullanılmaktadır. Bu denli büyük bir veri akışının varlığı, kişisel verilerin korunması hukuku bağlamında veri sorumlusu e-ticaret şirketlerine katı yükümlülükler yüklerken, verisi işlenen ilgili kişi konumundaki tüketicilere de vazgeçilmez haklar tanımaktadır. E-ticaret platformlarında veri işleme süreçlerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile tam uyumlu olarak yürütülmesi, hukuki risklerin asgari seviyeye indirilmesi ve tüketici güveninin tesis edilmesi açısından hayati bir öneme sahiptir.
Elektronik Ticarette Kişisel Veri İşleme Şartları
E-ticaret ekosisteminde kişisel verilerin hukuka uygun olarak işlenebilmesi için 6698 sayılı Kanun kapsamında öngörülen işleme şartlarından en az birinin varlığı aranmaktadır. Kural olarak, ilgili kişinin açık rızası veri işlemenin en temel dayanağıdır. Ancak açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olmalıdır. E-ticaret sitelerinin hizmet koşullarının içine gizlenmiş her türlü ticari işlem için battaniye rıza talep etmesi veya açık rızayı hizmetin sunulması için bir ön şart haline getirmesi açıkça hukuka aykırıdır. Tüketicilerin iradesini sakatlayan karanlık tasarımlar veya önceden işaretlenmiş kutucuklar yoluyla alınan rızalar da hukuken geçersiz kabul edilmektedir. Aynı şekilde platformların ziyaretçilerini izlemek için kullandığı çerez uygulamaları da işleme şartlarına tabidir. Hangi çerezlerin rıza gerektirdiği konusu uygulamada büyük bir hassasiyet taşımakta olup, bu durum e-ticaretin şeffaflık ilkesini doğrudan etkilemektedir.
| Açık Rıza Gerektirmeyen Çerezler | Açık Rıza Gerektiren Çerezler |
|---|---|
| Kullanıcı Girdili Çerezler | Sosyal Eklenti Takip Çerezleri |
| Kimlik Doğrulama Çerezleri | Çevrim içi Davranışsal Reklamcılık Çerezleri |
| Kullanıcı Merkezli Güvenlik Çerezleri | |
| Multimedya Oynatıcısı Oturum Çerezleri | |
| Yük Dengelemesi Oturum Çerezleri | |
| Kullanıcı Ara Yüzünü Kişiselleştirme Çerezleri |
Kanuni İstisnalar ve Sözleşmesel Süreçler
E-ticaret faaliyetlerinde her zaman açık rızaya başvurmak zorunlu değildir. Özellikle sözleşmenin kurulması veya ifası için zorunlu olan hallerde, tüketicinin temel verileri rıza aranmaksızın işlenebilmektedir. Örneğin, bir mesafeli satış sözleşmesi kapsamında satın alınan ürünün teslim edilebilmesi için alıcının adres ve iletişim bilgilerinin kargo firmasına aktarılması bu istisna kapsamında değerlendirilmektedir. Benzer şekilde, fatura düzenleme yükümlülüğü sebebiyle kimlik ve adres bilgilerinin işlenmesi, veri sorumlusunun hukuki yükümlülüğü maddesine dayanmaktadır. Tüketicinin kendi iletişim bilgilerini alenileştirdiği durumlarda ise, veriler yalnızca alenileştirme amacıyla sınırlı olmak kaydıyla işlenebilmekte, doğrudan pazarlama gibi farklı amaçlar için kullanılamamaktadır. İşletmelerin pazarlama ve müşteri ilişkileri gibi konularda tüketicilerin temel haklarına zarar vermemek kaydıyla meşru menfaat kriterine dayanması da mümkündür; ancak burada dikkatli bir denge testi yapılmalıdır.
Tüketicilerin (İlgili Kişilerin) Temel Hakları
E-ticaret süreçlerinde kişisel verileri işlenen ilgili kişi, ilgili kanunlar uyarınca veri sorumlusuna karşı ileri sürebileceği çok kapsamlı ve geniş haklara sahiptir. Bu hakların başında şüphesiz bilgi edinme hakkı gelmektedir. Tüketiciler, kişisel verilerinin işlenip işlenmediğini, hangi yasal amaçlarla kullanıldığını ve yurtiçinde ya da yurtdışında hangi üçüncü kişilere aktarıldığını öğrenme yetkisine mutlak surette sahiptir. Ayrıca, e-ticaret sitesinde yer alan kişisel verilerin eksik veya yanlış olması durumunda, tüketicilerin verilerin düzeltilmesini isteme hakkı da kanunla güvence altına alınmıştır. Veri sorumlusu olan e-ticaret firmaları, tüketicilerden gelen bu yöndeki düzeltme taleplerini hızlıca yerine getirerek verilerin doğru ve güncel kalmasını sağlamakla yükümlüdür, zira yanlış veriler tüketicinin hak kaybına neden olabilir.
AYM Perspektifiyle)">AYM Perspektifiyle)">Unutulma Hakkı ve İtiraz Süreçleri
Elektronik ticarette kullanıcıların en çok başvurduğu haklardan bir diğeri ise hiç şüphesiz kişisel verilerin silinmesini veya yok edilmesini isteme hakkıdır. Yargı kararlarında AYM Perspektifiyle)">AYM Perspektifiyle)">unutulma hakkı olarak da karşımıza çıkan bu temel hak sayesinde, bir e-ticaret platformundaki üyeliğini iptal eden tüketici, verilerinin işlenmesini gerektiren yasal sebeplerin tamamen ortadan kalkmasıyla birlikte tüm verilerinin sistemden silinmesini talep edebilmektedir. Bunun yanı sıra, tüketici verilerinin yapay zeka veya algoritmalar gibi münhasıran otomatik sistemler vasıtasıyla analiz edilmesi sonucunda tüketici aleyhine bir durum ortaya çıkarsa, ilgili kişinin bu haksız sonuca itiraz etme hakkı kesin olarak mevcuttur. E-ticaret sitelerinin sıklıkla yürüttüğü doğrudan pazarlama veya profil çıkarma faaliyetlerine karşı tüketicinin her zaman koşulsuz itiraz imkanı bulunmaktadır.
Başvuru Usulü ve Zararın Giderilmesi
Tüketicilerin kanun kapsamındaki haklarını etkin bir şekilde kullanabilmeleri için son derece şeffaf ve erişilebilir yasal başvuru prosedürleri belirlenmiştir. İlgili kişi, e-ticaret şirketine yönelik taleplerini yazılı olarak, kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza veya sistemde halihazırda kayıtlı bulunan e-posta adresi üzerinden kolayca iletebilmektedir. Veri sorumlusu sıfatını taşıyan e-ticaret firmaları, kendilerine ulaşan bu tüketici taleplerini niteliğine göre en kısa sürede ve en geç 30 gün içinde kural olarak tamamen ücretsiz şekilde sonuçlandırmakla yükümlüdür. Şayet e-ticaret şirketinin hukuka aykırı veri işleme faaliyeti neticesinde tüketici maddi veya manevi bir zarara uğrarsa, Borçlar Kanunu ve Medeni Kanun genel hükümleri çerçevesinde zararın giderilmesini ve tazminat talep etme hakkı kanunen doğmaktadır. Bu telafi edici durum, veri sorumlularının yasal süreçleri titizlikle yürütmesini zorunlu kılmaktadır.