Makale
Elektronik ticaret faaliyetlerinde yer alan hizmet sağlayıcı, aracı hizmet sağlayıcı ve finansal kuruluşların 6698 Sayılı KVKK kapsamındaki hukuki statüleri, aydınlatma yükümlülükleri ile kişisel verilerin yurt içi ve yurt dışına aktarım süreçleri yasal sınırlar çerçevesinde uzman bir hukuki perspektifle incelenmektedir.
E-Ticaret Aktörlerinin KVKK Yükümlülükleri ve Veri Aktarımı
Dijitalleşmenin hız kazanmasıyla birlikte elektronik ticaret faaliyetleri gündelik hayatımızın ayrılmaz bir parçası haline gelmiş ve bu süreçte işlenen kişisel verilerin hukuki niteliği büyük önem kazanmıştır. Elektronik ticaret ekosisteminde yer alan aktörlerin, ticari operasyonlarını sürdürürken 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde belirlenen katı kurallara uygun hareket etmeleri yasal bir zorunluluktur. Pazar yerlerini yöneten aracı hizmet sağlayıcılar, kendi web siteleri üzerinden satış yapan hizmet sağlayıcılar ve ödeme altyapısını kuran finansal kuruluşlar, süreç içerisinde farklı veri işleme rollerine bürünmektedir. KVKK kapsamında temel amacımız, özel hayatın gizliliğini korumak ve verisi işlenen tüketici konumundaki ilgili kişilerin haklarını güvence altına almaktır. Bu makalemizde, elektronik ticaret aktörlerinin KVKK kapsamındaki statüleri, aydınlatma yükümlülükleri ve işlenen kişisel verilerin hukuka uygun bir biçimde yurt içine veya yurt dışına aktarılma şartları hukuki bir perspektifle, güncel mevzuat hükümleri ışığında detaylı olarak ele alınacaktır.
Elektronik Ticaret Aktörlerinin Hukuki Statüleri
Elektronik ticaret platformlarında kişisel verilerin güvenli bir biçimde işlenmesi, sürece dâhil olan aktörlerin veri sorumlusu veya veri işleyen sıfatlarının doğru tespit edilmesine bağlıdır. Kanun uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan kişidir. Kendi elektronik ticaret ortamında mal veya hizmet satışı yapan hizmet sağlayıcılar, alıcıların verilerinin nasıl ve hangi amaçlarla işleneceğine bizzat karar verdikleri için doğrudan veri sorumlusu statüsündedir. Öte yandan, başkalarına ait iktisadi faaliyetlerin yapılmasına elektronik ticaret ortamı sunan pazar yerleri, yani aracı hizmet sağlayıcılar, kendi platformları üzerinden topladıkları ve satıcıya ilettikleri alıcı verilerine doğrudan hâkim oldukları ve bu verilerden menfaat sağladıkları ölçüde ayrı birer veri sorumlusu olarak değerlendirilmektedir. İki ayrı tarafın aynı veri üzerinde ortak hâkimiyette bulunması durumunda ise ortak veri sorumlusu kavramı gündeme gelmektedir.
Açık Rıza ve Aydınlatma Yükümlülüğü
KVKK'nın altın kuralı olarak nitelendirilen aydınlatma yükümlülüğü, elektronik ticaret sitelerinde hukuka uygunluğun en temel şartıdır. Kişisel verilerin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilere; kimliği, verilerin hangi amaçla işleneceği, kimlere aktarılabileceği, hukuki sebebi ve ilgili kişinin hakları konusunda mutlaka bilgi verilmelidir. Elektronik ticaret aktörleri, aydınlatma metinlerini şeffaf, anlaşılır ve ulaşılabilir bir biçimde kullanıcılara sunmakla mükelleftir. Aydınlatma yükümlülüğü yerine getirilirken genel, muğlak ifadelerden kaçınılmalı ve katmanlı aydınlatma yöntemi kullanılarak ilgili kişi doğru metne yönlendirilmelidir. Bununla birlikte, veri işlemenin diğer hukuka uygunluk nedenlerine dayanmadığı hâllerde ilgili kişinin açık rızasının alınması zorunludur. Açık rıza beyanının belirli bir konuya ilişkin, bilgilendirmeye dayalı ve özgür iradeyle açıklanmış olması kanuni bir zorunluluktur. Ayrıca hukuki güvenlik prensibi gereği, aydınlatma ve açık rıza alma işlemleri birbirine bağlanmamalı, iki ayrı süreç olarak yürütülmelidir.
Kişisel Veri İşleme ve Aktarım Şartları
Elektronik ticaret operasyonlarında hizmet sağlayıcıların, aracı hizmet sağlayıcıların ve diğer aktörlerin kişisel verileri hukuka uygun bir biçimde işleyebilmesi ve üçüncü kişilere aktarabilmesi için Kanun'da sınırlı olarak sayılan hukuki gerekçelere dayanması gerekmektedir. İlgili kişinin açık rızasının aranmadığı, veri sorumlularına operasyonel meşruiyet sağlayan temel hukuka uygunluk sebepleri kanunda titizlikle düzenlenmiştir. Bu yasal şartların eksikliği hâlinde gerçekleştirilen e-ticaret faaliyetleri doğrudan kanuna aykırılık teşkil edecektir.
- Kanunlarda açıkça öngörülmesi durumu.
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak kişinin hayatı veya beden bütünlüğünün korunması.
- Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması (örneğin e-ticaret satış sözleşmesi gereği adres verisinin kargo firmasına aktarımı).
- Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
- İlgili kişinin kendisi tarafından verinin alenileştirilmiş olması.
- Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
- İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Elektronik ticaret sektöründe en sık başvurulan dayanaktan biri sözleşmenin ifası ve veri sorumlusunun meşru menfaati unsurlarıdır. Ancak bu şartlara dayanılırken her zaman ölçülülük ilkesine titizlikle uyulması şarttır.
Kişisel Verilerin Yurt İçinde Aktarımı
E-ticaret faaliyetinin doğası gereği, alıcıdan toplanan temel ve içerik verilerinin malın teslimi veya hizmetin ifası için taşıma şirketleri, oteller ya da iş ortakları gibi üçüncü kişilere aktarılması kaçınılmazdır. 6698 Sayılı Kanun'un 8. maddesi uyarınca kişisel verilerin yurt içinde aktarılabilmesi, kural olarak ilgili kişinin açık rızasına bağlanmıştır. Ancak kanunda sayılan, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması gibi açık rıza aranmayan istisnai veri işleme şartlarının varlığı hâlinde, ek bir rıza alınmaksızın yurt içi aktarım gerçekleştirilebilir. Öte yandan, verinin özel nitelikli kişisel veri olması hâlinde ise yeterli önlemlerin alınması ve kanunlarda öngörülme şartının bulunması hâlinde açık rızasız aktarım yapılabilecektir. Veri sorumluları, aktarım süreçlerinde yalnızca sözleşmenin ifası için gerekli ve ölçülü olan verileri aktarmakla yükümlüdür, aşırıya kaçan her türlü paylaşım hukuka aykırılık teşkil etmektedir.
Kişisel Verilerin Yurt Dışına Aktarılması
Elektronik ticaret sitelerinin kullandığı sunucuların, bulut bilişim hizmetlerinin veya küresel ödeme altyapılarının çoğunlukla Türkiye dışında bulunması sebebiyle yurt dışına kişisel veri aktarımı süreci büyük bir hassasiyet gerektirmektedir. Kanun'un 9. maddesine göre yurt dışına aktarım için ilgili kişinin açık rızasının alınması ana kuraldır ve bu rızanın, kullanıcılara sunulan genel bir hizmet sözleşmesinin içine gizlenmeden, ayrı ve sarih bir biçimde alınması şarttır. Açık rıza bulunmayan istisnai durumlarda ise aktarım yapılacak ülkenin Kişisel Verileri Koruma Kurulu tarafından ilan edilecek yeterli korumanın bulunduğu ülkeler statüsünde olması gereklidir. Yeterli korumanın bulunmadığı ülkeler için ise veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul'un iznini almaları emredici bir hüküm olarak karşımıza çıkmaktadır. Aksi takdirde, yurt dışı lokasyonlu sunucularda veri barındırılması dâhil tüm sınır ötesi aktarımlar ağır bir veri ihlali sonucunu doğuracaktır.