E-ticaret kavramı, mal ve hizmetlerin üretilerek reklam, satış ve dağıtımla bunların internet ortamında tüketiciye sunulması işlemidir. E-ticaret kapsamı, sayısallaştırılmış ses, metin ve görüntülerin işlenip iletilmesine dayanmaktadır. Kişiler ile kurumları ilgilendiren tüm ticari işlemler, e-ticaretin konusunu oluşturmaktadır. Ürün ve hizmetlerin internet üzerinden alınıp satılması, küreselleşmenin sonucu olarak artmış ve hukuki bağlamda e-ticaret uygulamaları da bu yönde geliştirilmiştir.
Kişisel veri kavramı, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun (KVKK) m. 3/d’de, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder” şeklinde açıklanmıştır. Bu nedenle kişisel verilerin işlenmesi sırasında gerçek kişiye ilişkin bilgilerin korunması ve saklanması konusu önem taşımaktadır. Bu amaçla kişinin; adı, yaşı, telefon numarası, imzası, sosyal medya hesapları gibi bilgilerinin yanı sıra ödeme yaptığı bankalara dair bilgiler de kişisel veri dâhilindedir ve bu bilgilerin de saklanması gerekmektedir. Ayrıca mal ve hizmet satın alma işlemleri sırasında kişinin gerçekleştirdiği işleme ait IP numarasını koruma ve telefonun IMEI numara bilgilerini de saklama, bireyin kişisel verileri arasında yer almaktadır. Bununla birlikte KVKK’da kişisel verilerin korunma ve saklanmasına yönelik belirli kavramlara kanunun 3. maddesinde değinilmiştir:
a) Açık rıza: Bir konuya yönelik olan, bilgilendirmeyi içeren ve özgür iradeyle açıklanmış rızayı ifade etmektedir (m. 3/a).
b) Anonim hale getirme: Bir kişiye ait verilerin, başka verilerle eşleştirilip hiçbir surette kimliği belirli ya da belirlenebilir gerçek kişiyle ilişkilendirilmeyecek hâle getirilmesini belirtmektedir (m. 3/b).
c) Kişisel verilerin işlenmesi: Kişiye ait verilerin tamamen ya da kısmen otomatik olan veya başka bir veri kayıt sisteminin parçası olmak amacıyla otomatik olmayan yollarla elde edilip kaydedilmesi, depolanarak muhafaza edilmesi, üzerinde değişiklik yapılarak yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir duruma getirilmesi, sınıflandırılmasının veya kullanılmasının engellenmesi gibi kişisel veriler üzerinde gerçekleştirilen işlemlerin tamamını açıklamaktadır (m. 3/e).
d) Veri işleyen: Veri sorumlusu tarafından kendisine verilen yetkiyle onun adına kişisel verileri işleyen gerçek veya tüzel kişileri ifade etmektedir (m. 3/ğ).
e) Veri kayıt sistemi: Kişiye ait verilerin belirli kriter ya da sınıflandırmayla korunduğu ve saklandığı sistemdir (m. 3/h).
f) Veri sorumlusu: Kişisel verilerin işlenmesini amaçlayan ve bu vasıtaları belirleyen, veri kayıt sistemini kurma ve yönetme gibi işlemlerden sorumlu olan gerçek ya da tüzel kişi olarak ifade edilmektedir (m. 3/ı).
Kanunda açıklanan bu ifadelerde maddenin d, e ve f bentleri gereği, verilerin işlenmesine uygun bir kayıt sisteminin oluşturulması, virüs ve tehlikeli yazılımlara karşı korunması, veri sorumlusunun bu yükümlülükleri yerine getirmesi gibi kişisel verileri korumayı amaçlayan uygun bir siteyi kurarak yönetmesi hukuki kapsamda zorunludur. Aynı zamanda veri işleyen kişinin davranışlarından sorumlu olan kişi de veri sorumlusudur. Bu nedenle verileri işleyen kişinin güvenilir olması ve kötü amaçlı uygulamada bulunmaması gerekmektedir. Bununla birlikte KVKK m. 5/ç’de kişisel verilerin işlenme şartında, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü düzenlenmiştir. Bu şekilde veri sorumlusu, yapılacak işlemlerde her aşamada sorumlu kişi olup bütün davranışlardan da sorumlu tutulmaktadır. Örneğin kişisel veriyi silme, aktarma, yurt dışına aktarma, yok etme, anonim hale getirme gibi durumlarda veri sorumlusu, KVKK aydınlatma metnine bağlıdır ve bu kanun kapsamında sorumludur.
E-Ticaret Sitelerinin Tüketici Verilerini İşlerken Uymaları Gereken İlkeler Nelerdir?
Tüketici verilerinin işlenmesi ve kullanılması kapsamında haklar ve yükümlülükler, KVKK m. 10’da, “veri sorumlusunun aydınlatma yükümlülüğü” gereğince, m. 11’de, “ilgili kişinin hakları” kapsamında ve m. 12’de, “veri güvenliğine ilişkin yükümlülükler” çerçevesinde ele alınmaktadır. Bu doğrultuda öncelikle verilerin işlenmesinde “açık rıza” metninin olması ve bunun tüketici tarafından kabul edilmesi gerekmektedir. Aksi halde herhangi bir kayıt ya da alım-satım işlemleri hukuki bir geçerlilik kazanmamaktadır. Kişisel verilerin işlenmesi hali, verilerin ilk defa elde edilmesinden sonra başlamaktadır ve kişisel verilerin üzerinde yapılan işlemlerin tamamını kapsamaktadır. Verilerin işlenmesine dayanan açık rıza metninde ise bu işlemlerin hepsi açıklanmalıdır:
a) Belirli bir konuya yönelik yönelik hazırlanması gerekmektedir.
b) Ürün ve hizmet alım-satım konularında bilgilendirmeye dayalı olmalıdır.
c) Verilerin korunması, saklanması ve işlenmesine ilişkin temel sorumluluklar açıklanmalı ve tüketicinin rızası alınmalıdır. Bu amaçla kişisel verilerde rızanın kapsamı, hukuki bir nitelik taşımalıdır.
d) Özgür iradeye dayanan bir metin olmalı ve tüketiciye seçim olanağı sunulmalıdır.
e) Tüketicilerin baskı altında kalmadan kabul edebilecekleri metin özelliklerini taşımalıdır.
E-ticaret sitelerinin kurulması sırasında zorunlu hukuki sözleşmeler bulundurulmalı ve bu sözleşmeler de kişisel verileri koruyucu nitelikte olmalıdır. Üyelik sözleşmesi, mesafeli satış sözleşmesi, gizlilik ve çerez politikası, KVKK aydınlatma metni, açık rıza gibi sözleşmeler, mevzuata uygun şekilde hazırlanmalı ve bu doğrultuda haksız koşulları içermemeli, ürün ve hizmet cayma hakkı net bir şekilde belirtilmeli, kişisel verilerin korunmasına yönelik tedbir ve önlemler açıkça yazılmalıdır. Bu sözleşmeler ile tüketici verilerinin işlenip korunması kapsamında saklama yükümlülüğüne giren sözleşme ve belgeler arasında ise, mesafeli satım sözleşmeleri, sipariş onay işlemlerine yönelik belgeler, ödeme kayıt işlemi, ön bilgilendirme form bilgisi ve teslimat belgeleri yer almaktadır. Bu sözleşmelerin sürekli olarak korunması ve siber güvenliğinin sağlanması, e-ticaret işlemlerinden uzun bir zaman sonra da belgelerin korunması maksadını taşımalıdır.
Kişisel veriler işlenirken belirli ilkelere dikkat edilmelidir. Bunlardan ilki, hukuk ve dürüstlük kurallarına uygunluktur. Sözleşmelerin açık ve net hazırlanma gerekliliği, şeffaflık prensibinin yerine getirilme maksadını taşımaktadır. Diğer bir ilke, doğru olması ve güncelleştirilmesidir. Kanunda yapılacak düzenlemelerle bu sözleşmelerin gerektiğinde değiştirilmesi ve güncellenmesi hukuki bir zorunluluktur. Açık ve net bir sözleşme kapsamı kadar meşru amaçlara uygun hazırlanması gerekmektedir. Kişi verilerinin korunması, saklanması, aktarılması ya da kullanılması durumu hukuki bağlamda belirtilen sınırlılıkların dışına çıkmamalıdır. Bilgilerin korunması ve saklanması maksadıyla muhafaza edilen bilgiler, işlendikleri süre ve amaç gözetilerek korunur. Bu konuda ise mevzuata uygunluk diğer ilkelerden biridir.
Kişisel verilerin korunması ve mevzuata uygun şekilde saklanması önemli bir konuyken bu bilgilerin aktarılması konusu bir sorun olarak dikkate değerdir. Özellikle çerez politikaları kapsamında kişinin bir internet sitesinde yaptığı arama ve alışverişler, başka sitelerde ilişkili olarak karşısına çıkmaktadır. Bu durum temelde önemli bir sorundur ve günümüzde internet teknolojilerinin kullanımındaki artışla kaçınılmaz hale gelmiştir. KVKK kapsamında kişisel verilerin aktarılması kapsamı m. 8/1’de, “kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz,” şeklinde düzenlenmiştir. Özel nitelikli kişisel verilerin işlenmesi şartı ise m. 6’da düzenlenmiştir. Aynı şekilde bu madde kapsamında da (m. 6/3-a), “Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi, ilgili kişinin açık rızasının olması halinde mümkündür,” hükmü belirtilmiştir. Dolayısıyla e-ticaret sitesinden yapılan alışveriş ya da gezinmelerde alınan bilgilerin güvenliğinde ve kişisel verilerin saklanmasında üçüncü kişilerin bu bilgileri kullanma ve dağıtma konusuna yönelik ek düzenlemelerin getirilmesi ve yaptırımların uygulanması önemli kabul edilebilir.
