E-Ticaret Platformlarına İlişkin Güncel Bir Kurul Kararı
Giriş
Günümüz dünyasında artık pek çok ürün ve hizmeti bulunduğumuz yerden tek bir tık ile e-ticaret platformları aracılığıyla satın alma imkanına sahibiz. Bu alışverişler sırasında, siparişin alınması, yönetimi ve teslimi, sipariş sonrası bilgilendirme, reklam ve pazarlama gibi çeşitli nedenlerle kişisel verilerimiz e-ticaret platformlarına ait internet sayfaları veya mobil uygulamalar aracılığıyla toplanmakta ve kullanılmaktadır. Ancak geleneksel alışveriş yöntemlerinde tüketicilere ait oldukça sınırlı düzeyde elde edilen kişisel verilerin teknolojinin gelişimiyle ve elektronik ticaretin yaygınlaşmasıyla devasa boyutlara ulaşması, bir takım güvenlik ve kişilik haklarına müdahale endişelerini beraberinde getirmiştir. Bunun doğal bir sonucu olarak, tüketicilerin korunması ve elektronik ticaret platformlarına olan güvenin artırılması hedefleriyle uyumlu bir şekilde, bir dizi farklı alanda hukuki düzenlemeler yapmak zorunda kalınmıştır. Bu düzenlemelerin öncelikli odak noktalarından biri, şüphesiz kişisel verilerin korunmasıdır. Son dönemde, e-ticaret platformlarıyla ilgili olarak kişisel veri koruma otoriteleri de bu konuya büyük önem vermektedir.
Bu makalede, hepimizin günlük hayatının vazgeçilmez bir parçası haline gelen e-ticaret platformlarının hukuki niteliği ve temel veri koruma yükümlülüklerine yer verildikten sonra bu platformların sıkça başvurduğu uygulamalara ilişkin kişisel veri işleme faaliyetlerini ele alan güncel bir Kişisel Verileri Koruma Kurulu (“Kurul”) kararı irdelenecektir.
E-Ticaret Platformları ve Kişisel Veri İlişkisi
Elektronik Ticaret Platformu Nedir?
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (“E-Ticaret Kanunu”) m. 2 (a) uyarınca, elektronik ticaret; fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyeti ifade eder.
2022 yılında E-Ticaret Kanunu’nda yapılan değişiklik[1] kapsamında ise hayatımıza “elektronik ticaret aracı hizmet sağlayıcı”, “elektronik ticaret hizmet sağlayıcı”, “elektronik ticaret ortamı” ve “elektronik ticaret pazar yeri” kavramları girmiştir. Elektronik ticaret faaliyetinde bulunulan internet siteleri ya da mobil uygulamalar e-ticaret ortamı olarak tanımlanırken aracılık hizmetlerinin sunulduğu ortamlar e-ticaret pazar yeri olarak adlandırılmıştır.
E-ticaret aracı hizmet sağlayıcı; e-ticaret pazar yerinde kendisinin satış yapıp yapmadığına bakılmaksızın diğer e-ticaret hizmet sağlayıcıların mal veya hizmetlerinin teminine yönelik sözleşme yapılmasına ya da sipariş verilmesine imkân sağlayan aracı hizmet sağlayıcılar olarak tanımlanmıştır. E-ticaret hizmet sağlayıcılar ise, e-ticaret pazar yerinde ya da kendine ait e-ticaret ortamında, kendi mal veya hizmetlerinin teminine yönelik sözleşme yapan ya da sipariş alan sektör aktörlerini kapsar. Bu sınıflandırma ve tanımlamalar e-ticaret aktörlerinin sorumluluklarının kapsamını belirlemede önem taşımaktadır.
Trendyol, Hepsiburada, Getir, n11 veya Amazon gibi platformlar bu tanımların akla gelen en somut örnekleridir.
Kişisel Veri ve E-Ticaret Platformlarının Kişisel Veri İşleme Faaliyetleri
Kişisel veri, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) tanımlandığı haliyle, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. Bu tanımdan hareketle, gerçek kişilerin adı, soyadı, kimlik ve pasaport numarası, adresi, alışveriş geçmişi, satın aldığı ürün ve hizmetlerin her biri kişisel veridir.
Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. KVKK kapsamında veri sorumlusu olarak kabul edildikleri şüphesiz olan e-ticaret hizmet ve aracı hizmet sağlayıcıları, kullanıcı hesabı oluşturulması ya da üye olmadan yapılan alışverişler aracılığıyla tüketicilerin bir takım kişisel verilerini elde etmekte, kaydetmekte, depolamakta ve aktarabilmektedir. Dolayısıyla, e-ticaret platformları ve bu platformlar aracılığıyla ürün veya hizmet satan şirketler, işledikleri kişisel veriler açısından KVKK’ya tabidir.
E-ticaret platformları, kişisel verileri birçok farklı yöntem ile elde edebilir. Tüketicilerin adı, soyadı, adres bilgisi, hesap bilgisi, e-posta adresi, mesaj ve yorumları, fotoğrafları, alışveriş geçmişi, internet çerezleri gibi veriler e-ticaret platformları tarafından elde edilen ve işlenen kişisel verilere örnek olarak gösterilebilir. Ancak e-ticaret sırasında işlenen verilerin bu sayılanlarla sınırlı olmadığını ve gerçek bir kişiyi belirleyen veya belirleyebilen her türlü verinin KVKK kapsamında kalacağını belirtmek gerekir.
Örneğin, kimlik verileri, üyelik veya sipariş kaydının oluşturulabilmesi, fatura düzenlenmesi gibi işlemler için işlenmektedir. Aynı zamanda e-posta adresi, telefon numarası ve adres gibi iletişim verileri, satış sözleşmesinin kurulması ve ürün teslimatı için gerekli kişisel verilerdendir. Mal ve hizmet bedelinin internet üzerinden ödenmesi söz konusu olduğundan, kredi kartı, banka kartı ve hesap bilgileri gibi ödeme verileri de bu platformlar tarafından elde edilmesi mümkün veriler kapsamındadır.
Bununla birlikte, e-ticaret platformları tarafından kullanılan belki de en işlevsel veri kategorilerinden biri çerezler aracılığıyla toplanan verilerdir. İnternet sitesi ziyaretçilerinin bilgisayarlarına, akıllı telefon ya da tabletlerine yerleştirilen küçük veri blokları olarak tanımlayabileceğimiz çerezler sayesinde tüketicinin ürün seçimlerinden alışveriş alışkanlıklarına, hangi ürünü ne kadar süre incelendiğine kadar veri elde edilebilmektedir. Bu sayede e-ticaret platformları, tüketicilerin alışkanlıklarını saptayabilmekte, ilgili kişinin tarzını oluşturabilmekte ve bu tarza ilişkin hizmetleri ya da ürünleri çeşitli algoritmalar ile ön plana çıkartabilmektedir. Bu nedenle, e-ticaret platformları tarafından çerezler aracılığıyla toplanan kişisel veriler aktif bir şekilde kullanılmakta ve hatta pazarlama ve reklam stratejilerinin temelini oluşturmaktadır.
E-Ticaret Platformlarının Temel KVKK Yükümlülükleri
E-ticarette veri sorumluları, e-ticaret ortamı ve pazar yerlerini KVKK’nın temel ilkeleriyle uyumlu şekilde tasarlamalı; işleme faaliyetlerinin her aşamasında bu ilkelere uyumun sürekliliği için uygun aksiyonları almalıdır. Elde edilen her bir kişisel verinin işlenmesi sırasında KVKK m.5 ve m.6’da öngörülen işleme şartlarından en az birinin mevcut olduğundan emin olunmalıdır.
KVKK’nın öngördüğü en temel yükümlülüklerden biri kuşkusuz aydınlatma yükümlülüğüdür. E-ticaret platformları kişisel verilerini elde ettikleri veri sahiplerini aydınlatmalı ve açık rıza gerektiren kişisel veri işleme faaliyetleri için (örneğin, ticari elektronik ileti gönderilmesi gibi) mutlaka açık rıza talep etmelidir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
Yukarıda kısaca değinilenlerin dışında, e-ticaret platformlarının veri güvenliğinin sağlanması, veri işleyen taraflarla taahhütname imzalama, veri sahibi haklarını kullandırma, Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) kayıt yükümlülüğü gibi KVKK’dan doğan pek çok önemli yükümlülüğü mevcuttur.
Kurul’un E-Ticaret Platformlarına Yaklaşımı
Kurul’un son dönemde yayınladığı karar özetleri arasında e-ticaret platformlarının kişisel veri işleme süreçlerini ele alan birçok karar göze çarpmaktadır.
Son dönemde yayınlanan 2023/567 sayılı 11.04.2023 tarihli Kurul kararında[2], e-ticaret sitesi üzerinden yapılan alışveriş sırasında ödeme ekranında açılan “kredi/banka kartı ekle” butonu ile kart bilgilerinin kaydedilmesinin talep edildiği ve alışverişin tamamlanması için bu bilgilerin kaydedilmesinin zorunlu tutulduğu ileri sürülmüştür. E-ticaret sitesi tarafından verilen cevapta, müşterilerin siparişlerine ilişkin ödemelerini alabilmek için ödeme bilgilerine ihtiyaç duyulduğu ve ödeme bilgisini eklemiş kişilerin hesap ayarlarından diledikleri zaman kart bilgilerini kaldırıp değiştirebildikleri ve bu konuda kontrol yetkisinin müşteride olduğu belirtilmiştir.
Kurul’un yaptığı inceleme neticesinde şikâyet ile uyumlu şekilde, kart bilgisi sisteme kaydedilmeden alışverişin tamamlanamadığı ve alışveriş tamamlandıktan sonra da kart bilgilerinin cüzdan bölümünde kayıtlı olmaya devam ettiği anlaşılmıştır. Kurul öncelikle, Avrupa Veri Koruma Otoritesi (EDPB) tarafından 19.05.2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı”na[3] atıf yaparak satın almaları kolaylaştırmak amacıyla kart bilgilerinin işlenmeye devam edilmesinde dayanılabilecek işleme şartının açık rıza olduğunu vurgulamıştır.
Kararın devamında KVKK m.4’te yer alan “amaçla bağlı, sınırlı ve ölçülü olma” ilkesi ve “belirli, açık ve meşru amaçlarla işleme” ilkesine dikkat çekilerek alışverişin tamamlanması ve alışveriş sonrası kart bilgilerinin üyelik hesabında saklanmasının iki ayrı amaca ilişkin farklı veri işleme süreçleri olduğu vurgulanmıştır. Kurul’un görüşü uyarınca, her bir veri işleme süreci amacı özelinde ele alınarak uygun veri işleme şartı belirlenmelidir. Bu kapsamda, alışverişin tamamlanması için kart bilgilerinin talep edilmesi açısından KVKK m.5/2’de yer alan “sözleşmenin kurulması veya ifası”, “hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” ve/veya “meşru menfaat” vb. muhtelif veri işleme şartlarına dayanılabilir ve rıza aranmaksızın kart bilgileri işlenebilir. Ancak sonraki satın almaların kolaylaştırılması için kart bilgilerinin tüketicinin üyelik hesabında saklanması artık amaç değişikliği niteliğindedir ve sadece rıza verilmesi halinde mümkün olabilir.
E-ticaret sitesi her ne kadar kart bilgilerinin sonradan silinebileceğini ve kontrolün esasen müşteride olduğunu savunmuş ise de Kurul bu sistemin tüketicilerin yanılttığını değerlendirmiş ve KVKK m.4’te yer alan “hukuka ve dürüstlük kuralına” uygun olma ilkesine aykırı bulmuştur.
Yukarıda özetlenen gerekçelere dayanarak Kurul, KVKK’nın temel ilkelerine aykırı hareket edildiğini, mevzuata uygun şekilde açık rıza alınmadığını ve bu suretle veri güvenliğine ilişkin yükümlülüklerin de ihlal edildiğini değerlendirmiş ve e-ticaret sitesi hakkında 500.000 TL idari para cezası uygulanmasına karar vermiştir. Ayrıca kart bilgilerinin kaydedilmesi için yeni bir sistem geliştirilmesi ve aydınlatma metinlerinin de açık rıza işleme şartını içerecek şekilde düzenlenmesi yönünde veri sorumlusuna talimat verilmiştir.
Sonuç
E-ticaret platformlarının KVKK kapsamındaki yükümlülüklerini yerine getirmemesi ya da temel ilkelere uyumsuzluk hali veri güvenliği ile de bağlantılı şekilde değerlendirilmekte ve Kurul tarafından yüklü idari para cezalarına karar verilebilmektedir. E-ticaret platformları tarafından elde edilen kişisel verilerin boyutu ve uygun tedbirlerin alınmaması durumunda büyük çaplı ihlallerin oluşabileceği dikkate alındığında, Kurul’un bu konudaki hassasiyeti anlaşılabilmektedir.
Bu nedenle, kişisel verilerin korunması konusuna e-ticaret platformları tarafından en üst düzeyde önem atfedilerek hareket edilmesi, e-ticaret ortamları ve pazar yerlerinin tasarım aşamasından itibaren temel veri koruma ilkelerine uyumlu şekilde dizayn edilmesi, aydınlatma ve rıza süreçlerinin her bir işleme faaliyeti için ayrı ele alınması yüksek tutarlardaki idari para cezaları ya da veri ihlalleri gibi olumsuz sonuçlardan kaçınılması için elzemdir.
- E-Ticaret Kanunu’nda yapılan değişiklikler hakkında ayrıntılı bilgi için bkz. “Değişen E-ticaret Kanunu Neler Getiriyor?”, Ecem Süsoy Uygun, Erdem & Erdem Hukuk Postası, Temmuz 2022, https://www.erdem-erdem.av.tr/bilgi-bankasi/degisen-e-ticaret-kanunu-neler-getiriyor , Erişim Tarihi: 05.02.2024.
- “Bir e-ticaret sitesinden alışveriş yapılabilmesi için kredi/banka kartı bilgilerinin kaydedilmesinin zorunlu tutulması hakkında” Kişisel Verileri Koruma Kurulunun 11/04/2023 Tarihli ve 2023/567 Sayılı Karar Özeti için bkz. https://kvkk.gov.tr/Icerik/7755/2023-567 , Erişim Tarihi: 05.02.2024.
- Avrupa Veri Koruma Otoritesi’nin 19.05.2021 tarihinde kabul edilen “Kredi Kartı Verilerinin Yalnızca Sonraki Çevrimiçi Satınalmaları Kolaylaştırmak Amacıyla İşlenmesinde Veri İşleme Şartları Konulu 02/2021 sayılı Tavsiye Kararı” için bkz. https://edpb.europa.eu/system/files/2021-05/recommendations022021_on_storage_of_credit_card_data_en_1.pdf , Erişim Tarihi: 05.02.2024.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.