Makale
Mesafeli satış sözleşmelerinde tüketicilerin kişisel verilerinin hukuka uygun olarak işlenmesi, KVKK kapsamında temel ilkeler ve veri işleme şartları çerçevesinde değerlendirilmektedir. Bu makalede, e-ticaret süreçlerinde toplanan kişisel verilerin niteliği ve hangi yasal dayanaklarla işlenebileceği hukuki bir perspektifle incelenmektedir.
Mesafeli Satışlarda Kişisel Veri ve İşleme Şartları
Dijitalleşen dünya ile birlikte geleneksel alışveriş alışkanlıkları yerini e-ticaret platformları üzerinden akdedilen mesafeli satış sözleşmelerine bırakmıştır. Bu sözleşmelerin doğası gereği, tüketici ile satıcının fiziken karşı karşıya gelmemesi, taraflar arasında güvenli bir veri akışını zorunlu kılmaktadır. Tüketicilerin internet üzerinden gerçekleştirdiği alışverişlerde ad, soyad, iletişim, adres ve finansal bilgiler gibi pek çok kişisel veri, satıcılar tarafından toplanmakta ve işlenmektedir. Ancak bu verilerin keyfi olarak işlenmesi hukuken mümkün değildir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, mesafeli satış süreçlerinde elde edilen verilerin işlenmesini sıkı kurallara bağlamış ve hem temel ilkelere uyulmasını hem de yasal veri işleme şartlarından birine dayanılmasını şart koşmuştur. Zayıf konumda olan tüketicinin hak kayıplarına uğramaması adına, satıcı konumundaki veri sorumlularının bu yasal çerçeveye titizlikle riayet etmesi gerekmektedir. Bir mesafeli satış sözleşmesinin kurulmasından ifasına kadar geçen tüm evrelerde, kişisel verilerin işlenme şartları büyük bir hukuki hassasiyet taşımaktadır.
Mesafeli Satış Sözleşmelerinde İşlenen Kişisel Veriler
Tüketicinin mesafeli satış sözleşmesi kapsamında bir ürünü veya hizmeti satın alabilmesi için kimliğini belirli veya belirlenebilir kılan bazı temel bilgileri satıcıya aktarması zorunludur. Uygulamada en sık karşılaşılan veri türleri; kimlik bilgileri, siparişin teslim edilebilmesi için gerekli olan iletişim bilgileri ve ödemenin gerçekleşmesini sağlayan işlem güvenliği ve finans bilgileri olarak karşımıza çıkmaktadır. Bununla birlikte, tüketicinin e-ticaret sitesine üye olarak veya misafir kullanıcı statüsüyle işlem yapması fark etmeksizin, web sitesindeki dijital ayak izlerini takip eden çerezler de kişisel veri niteliği taşıyabilmektedir. Kimi özel durumlarda, özellikle ilaç veya gıda takviyesi gibi ürünlerin satışında, kişilerin özel nitelikli kişisel verisi sayılan sağlık bilgileri dahi işleme faaliyetine konu olabilmektedir. Tüm bu verilerin hukuka aykırı şekilde işlenmesi, tüketicinin mahremiyet alanına ciddi bir müdahale anlamına geleceğinden, yasal işleme şartlarına sıkı sıkıya uyulması gerekmektedir.
Kişisel Verilerin İşlenmesine İlişkin Temel İlkeler
Mesafeli satış sözleşmelerinde kişisel verilerin işlenebilmesi için öncelikle kanunda düzenlenen genel ilkelere mutlak surette uyulması şarttır. Bu ilkeler, veri işleme faaliyetinin anayasal ve yasal sınırlar içerisinde kalmasını temin eden temel bir denetim mekanizmasıdır. Bir e-ticaret platformunun, tüketiciden elde ettiği verileri işlerken bu ilkelerden herhangi birini ihlal etmesi, doğrudan hukuka aykırılık sonucunu doğuracaktır. Özellikle şeffaflık, güncellik ve gereklilik unsurları, dijital alışveriş süreçlerinin temelini oluşturmaktadır. Satıcıların, tüketicilerden aldıkları bilgileri sınırsız ve keyfi bir biçimde kullanmalarının önüne geçmek maksadıyla kanunkoyucu uyulması zorunlu olan temel ilkeleri açıkça öngörmüştür. Söz konusu ilkeler şunlardır:
- Hukuka ve dürüstlük kurallarına uygun olma.
- Doğru ve gerektiğinde güncel olma.
- Belirli, açık ve meşru amaçlar için işlenme.
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
KVKK Kapsamında Veri İşleme Şartları
Mesafeli satış süreçlerinde genel ilkelere uyulması tek başına yeterli olmayıp, veri işleme faaliyetinin kanunda tahdidi olarak sayılan hukuka uygunluk nedenlerinden en az birine dayanması gerekmektedir. Kural olarak, kişisel verilerin işlenmesinde açık rıza aranmaktadır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve kişinin özgür iradesiyle açıkladığı onay beyanıdır. Özellikle pazarlama ve reklam faaliyetleri amacıyla çerezler üzerinden veri toplanması veya tüketiciye ticari elektronik ileti gönderilmesi gibi hallerde, tüketicinin açık rızasının alınması yasal bir zorunluluktur. Alışveriş sitelerinde kullanım koşullarını okudum tarzı torba onaylarla alınan şemsiye rızalar, hukuken geçersiz kabul edilmektedir. Tüketici, verdiği bu rızayı her zaman ve hiçbir gerekçe göstermeksizin geri alma hakkına sahiptir. Açık rıza bulunmayan durumlarda ise hukuka aykırılığı ortadan kaldıran diğer işleme şartlarının varlığı araştırılmalıdır.
Sözleşmenin Kurulması ve İfasıyla Doğrudan İlgili Olma Şartı
E-ticaret platformları üzerinden gerçekleştirilen işlemlerde, açık rıza istisnalarından en yaygın olanı, kişisel veri işlemenin bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması şartıdır. Satıcının, mesafeli satış sözleşmesi uyarınca üzerine düşen edimi yerine getirebilmesi için tüketicinin bazı verilerine erişmesi kaçınılmazdır. Örneğin, tüketicinin satın aldığı ürünün teslimatının sağlanabilmesi için ad, soyad ve adres bilgilerinin işlenmesi ve kargo firmasına aktarılması, sözleşmenin ifası kapsamında değerlendirildiğinden açık rıza gerektirmez. Aynı şekilde, siparişin onaylanması ve ürün bedelinin tahsil edilebilmesi amacıyla kredi kartı ve ödeme bilgilerinin işlenmesi de bu hukuka uygunluk sebebi dâhilindedir. Ancak, sözleşmenin ifası için objektif olarak gerekmeyen verilerin talep edilmesi gibi durumlar, ölçülülük ve amaçla bağlantılı olma ilkesini ihlal edeceği için bu fıkra kapsamında meşru kabul edilemez.
Veri Sorumlusunun Hukuki Yükümlülüğü ve Meşru Menfaati
Mesafeli satışlarda satıcılar, yalnızca tüketiciye karşı değil, aynı zamanda idari kurumlara karşı da hukuki yükümlülükler altındadır. Vergi mevzuatı gereğince, fatura düzenlenebilmesi için tüketicinin kimlik numarasının veya vergi kimlik numarasının istenmesi, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi şartına dayanmaktadır. Bu ve benzeri kanuni zorunluluklar söz konusu olduğunda da tüketicinin açık rızasına ihtiyaç duyulmadan veri işlenebilmektedir. Öte yandan, veri sorumlusunun, tüketicinin temel hak ve özgürlüklerine zarar vermemek kaydıyla meşru menfaatleri için veri işlemesinin zorunlu olması hali de bir diğer işleme şartıdır. Örneğin, müşteri hizmetleriyle yapılan görüşmelerde kalite standartlarını artırmak ve uyuşmazlıkları çözmek amacıyla ses kayıtlarının alınması, meşru menfaat kapsamında değerlendirilebilmektedir. Fakat meşru menfaat, temel haklarla hassas bir denge içerisinde tutulmalı ve asla sınırsız bir veri işleme yetkisi olarak yorumlanmamalıdır.