E-ticarette kişisel verilerin korunması

Serbest Kürsü
Serbest Kürsü

Av. V. Reşat Moral -/Av. İpek Aşıkoğlu - Moral Hukuk Bürosu

Elektronik ticaret (e-ticaret) günümüz tüketici alışkanlıklarının en yoğun yaşandığı platform olma yolunda hızla ilerlemektedir. Teknolojinin uçarcasına hızlı gelişimine paralel olarak cihazlar ve çevrimiçi platformlar artık kullanıcılarını çok daha yakından tanıyor. Geçtiğimiz yıl yürürlüğe giren elektronik ticaretin düzenlenmesi hakkındaki mevzuat ışığında, elektronik ticaretin aktörlerinden, pek çok bilgiyi kullanıcılarına sağlamaları, sundukları hizmetleri ve şartları anlatmaları, çevrim içi alışveriş sırasında izlenecek olan işlem rehberini oluşturmaları gibi fazladan sekme ve işlemler sunmaları beklenmekteydi. Bunların yanında ilgili düzenlemelerde kısa bir madde ile kullanıcılarının kişisel verilerini işlemelerine ilişkin bir çerçeve oluşturulmuştur.

"Bu kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur.

Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.(1)"

E-ticaretin düzenlenmesine ilişkin yerine getirilmesi gereken pek çok yükümlülüğün yanında, gizlilik politikalarına eklenen maddeler ile geçiştirilen bu düzenleme 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) ile kapsamlı bir şekilde tekrardan gündeme geldi. Kanun’da kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Kullanıcılarına ait kişisel verileri toplamaya başladığı anda ise elektronik ticaret sitesi, veri sorumlusu olarak değerlendirilmektedir.

Elektronik ticaret siteleri hangi verileri işliyor?

Çevrimiçi dünyada gezinirken iz bırakmamak mümkün değil. Kullanıcılar, alışveriş ya da her hangi bir işlem yapmasalar bile e-ticaret sitelerini ziyaretleri sırasında görüntülenen sayfa sayısı, ziyaret süresi, site gezinme alışkanlıkları, lokasyon, IP, zaman bilgisi gibi kişi ile eşleştirilebilecek bilgiler çerezler vasıtasıyla toplanıyor. Sayfa kapatılsa bile yine tarayıcıya atanan çerezler sayesinde izleme devam ediliyor. Bununla birlikte kullanıcılardan ad, soy ad, adres, telefon, TC kimlik numarası, ödeme bilgileri, ilgi alanları gibi bilgiler doğrudan alışveriş sırasında ya da üyelik oluşturma kapsamında isteniyor.

Veri paylaşımı

“Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik”’ çerçevesinde düzenlenen, gerek pazarlama faaliyetleri için gerekse de iş akışı için büyük önem taşıyan kişisel verilerin üçüncü kişiler ile paylaşılması Kanun’da detaylı olarak düzenleniyor. Kanun’da yer alan istisnalar haricinde veri aktarımı açıkca ilgili kişinin “açık rıza”sına bağlanmış durumda. Vatandaşların “verilerim satılıyor mu?” endişesi ile sıklıkla soruşturma ve denetimlerde sorgulanacak olan veri paylaşımlarını, paylaşılan tarafların rol ve sorumluluklarını belirleyerek hukuki temeller üzerine kurmak büyük önem taşıyor.

Elektronik ticaret sitelerinin kişisel verileri işlerken tabi oldukları yükümlülükler nelerdir?

Kanunda kişisel verilerin işlenmesi sırasında uyulması gereken ilkeler sayılarak belirtilmiştir. Bu ilkelerin her biri kişisel veri işleyen gerçek ve tüzel kişilere yükümlülükler getirmektedir.
Kural olarak kişisel veriler, veri sahibinin açık rızası olmaksızın işlenemeyecektir. Sadece kanunda sınırlı olarak sayılan hallerde kişinin açık rızası aranmamaktadır. Ancak sayılan istisnalar kapsamındaki veri işleme faaliyetleri bile yükümlülükleri ortadan kaldırmamaktadır. Örneğin, elektronik ticaret sitelerinin kullanıcılarından doğrudan topladığı kişisel verilerin pek çoğu sözleşmenin kurulması ve ifasıyla doğrudan ilgili ancak bu hallerde dahi veri sorumlusu olan platformların işledikleri kişisel verilere ilişkin aydınlatma yükümlülüğünü yerine getiriyor olmaları elzemdir.

Her ne kadar kanun, elektronik ticaret sitelerini kullanıcı ve gizlilik sözleşmelerini gözden geçirmeye itmiş olsa da yapılacaklar bununla sınırlı değil. Kişisel veri işleyen pek çok şirket için olduğu gibi elektronik ticaret sitelerini de bir dönüşüm beklemektedir. Bu dönüşüm kapsamında ilgili kişinin sahip olduğu kanunda sayılan hakları kullanabileceği mekanizmaları oluşturmak, şeffaflığı ön plana çıkarak, açık ve net bilgilendirme metinleri ve politikaları oluşturmak ve veri güvenliğine ilişkin yükümlülükleri yerine getiriyor olmak gerekmektedir.

Şirketlerin kişisel veri işlemesi, saklaması, yok etmesi, veri güvenliği, veri siciline kayıt, veri sahibinin taleplerinin yerine getirilmesi gibi hususlarda kendi bünyelerinde bir mekanizma oluşturmaları, mevcut verileri sınıflandırırken, gelecekteki kişisel veri işleme faaliyetlerini toplamadan başlayarak kanunda öngörülen sistematik içerisinde gerçekleştirmesi yaptırımlara maruz kalmamak için büyük önem arzetmektedir.

Ne kadar vakit kaldı?

Kanun 07 Nisan 2016 tarihli Resmi Gazete’de yayımlanarak yürürlüğe girdi. Kanuna tabi olacakların uyum sağlayabilmesi açısından bazı geçiş hükümleri öngörülüyor. Geçici madde 1 uyarınca; Kanunun yayımı tarihinden önce işlenmiş kişisel verilerin kanun hükümlerine uygun hale getirilmesi için son tarih 7 Nisan 2018. Kanunun yayımı tarihi itibari ile toplanan kişisel verilerin uyumu için herhangi bir süre öngörülmemiş olsa da yükümlülük ve yaptırım hükümlerine tanınan geçiş dönemi uyarınca 6 aylık bir süre tanınmıştı. Ancak bu süre de 7 Ekim 2016’da doldu. 1 yıl içinde yürürlüğe girmesi planlanan yönetmelikler geç kalmış olsa da kamuoyu ile paylaşılan taslaklar, idarenin bu konuda çalışmaları olduğunu gösteriyor.

Kurulun denetim ve kararları ile uygulama alanı daha da şekillenecek olan kanun, kurulun re’sen incelemelerinin yanı sıra, vatandaşların şikayeti ile devreye giren soruşturma yapıları öngörmekte. Özellikle kamudaki ilgi göz önünde bulundurulduğunda, elektronik ticaret siteleri için kullanıcılardan birinin başlatacağı şikayet süreci, şirketler içerisindeki bütün süreçlerin denetlenmesine neden olabilecek büyük bir denetime dönüşebilir.

Netice itibariyle 2018 yılı başından itibaren e-ticaret platformlarını esaslı bir uyum, dönüşüm ve denetim süreci beklemektedir. Bu sürece seri şekilde uyum gösteren piyasa oyuncularının rakiplerine karşı rekabet avantajı sağlayacağı kuşkusuzdur.
***
(1) Elektronik Ticaretin Düzenlenmesi Hakkında Kanun, Kanun No. 6563, Kabul Tarihi: 23/10/2014, madde 10.

Yazara Ait Diğer Yazılar Tüm Yazılar