Makale

E-ticaret platformlarının sunduğu hizmetlerin temelinde veri akışı yatmaktadır. Alıcılar ve satıcılar, platformu kullanabilmek için pek çok kişisel veriyi aracı hizmet sağlayıcı ile paylaşmaktadır. Ancak bu durum, kişisel verilerin gizliliği ve güvenliği açısından ciddi riskleri de beraberinde getirmektedir. Aracı hizmet sağlayıcıların en temel yükümlülüklerinden biri, kullanıcıların verilerini siber saldırılara ve hukuka aykırı erişimlere karşı korumaktır. Veri güvenliğinin sağlanamaması, hem sözleşmeye aykırılık hem de kişisel verilerin korunması mevzuatı kapsamında büyük bir hukuki ihlal anlamına gelmektedir. Platformların hukuki ve idari sorumlulukları, sözleşmenin sona ermesinden sonra da verilerin imha rejimine ilişkin kurallarla devam etmektedir. Özellikle veri silme ve yok etme talepleri ile e-ticaret mevzuatı kapsamında öngörülen on yıllık saklama süreleri arasındaki çatışma, uygulamada platformlar için kritik bir yasal mesele haline gelmiştir.

Siber Saldırılar ve Veri İhlallerinde Hukuki Sorumluluk

Aracı hizmet sağlayıcılar, kullanıcılardan elde ettikleri kişisel verileri güvenle saklamakla yükümlüdür. Olası bir siber saldırı veya güvenlik zafiyeti sonucunda verilerin üçüncü kişilerin eline geçmesi, platformun koruma ve sır saklama yükümlülüklerinin ihlali demektir. Ödeme hizmeti sağlayıcısı gibi ifa yardımcılarının neden olduğu sızıntılardan dahi aracı hizmet sağlayıcı bizzat sorumludur. Bu tür ihlaller sonucunda doğabilecek başlıca hukuki ve idari sonuçlar şunlardır:

• Sözleşmeye Aykırılık ve Tazminat: Veri sızıntısı nedeniyle doğan maddi ve manevi zararların, sözleşmeye aykırılık hükümlerine dayanılarak tazmin edilmesi mümkündür.
• Haklı Sebeple Derhal Fesih: Kullanıcılar, güvenlik zafiyetinin ortaya çıkması sebebiyle platform ile aralarındaki sözleşmeyi haklı sebeple derhal sona erdirme hakkına sahip olurlar.
• İdari ve Cezai Yaptırımlar: İhlaller, Kişisel Verileri Koruma Kurulu tarafından verilecek ağır idari para cezalarına ve Türk Ceza Kanunu uyarınca cezai yaptırımlara sebebiyet vermektedir.

KVKK ve ETDHK Kapsamında Veri İmha Rejimi Çatışması

Sözleşme ilişkisi sona erdiğinde, kişisel verilerin işlenmesini gerektiren hukuki sebepler de kural olarak ortadan kalkmaktadır. Mevzuat gereğince, işlenme sebebi ortadan kalkan verilerin veri sorumlusu konumundaki aracı hizmet sağlayıcı tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur. Ancak bu noktada, elektronik ticaret düzenlemeleri ile veri koruma kanunu arasında dikkat çekici bir uyuşmazlık doğmaktadır. E-ticaret kanunu, aracı hizmet sağlayıcılara platform üzerinden gerçekleştirilen iş ve işlemlere ilişkin elektronik kayıtları on yıl süreyle saklama yükümlülüğü getirmektedir. Dolayısıyla, bir kullanıcı hesabının kapatılmasını ve verilerinin tamamen silinmesini talep etse dahi, kanuni saklama süresi dolmadan bu kayıtların tümüyle yok edilmesi hukuken mümkün olmamaktadır.

On Yıllık Saklama Süresinde Uygulanacak İmha Yöntemi

Emredici yasal düzenlemeler karşısında aracı hizmet sağlayıcıların, kullanıcıların veri imha taleplerini nasıl yönetecekleri hayati bir konudur. On yıllık kanuni saklama süresi dolmadan verilerin tamamen silinmesi veya yok edilmesi e-ticaret mevzuatına aykırılık teşkil edeceğinden, bu süreçte başvurulması gereken yegâne hukuki ve teknik yöntem verilerin anonim hale getirilmesidir. Anonimleştirme işlemi, kişisel verilerin başka verilerle eşleştirilse bile hiçbir şekilde belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesini ifade eder. Böylece hem kanun uyarınca elektronik kayıtların on yıl boyunca muhafaza edilmesi yükümlülüğü eksiksiz yerine getirilmiş hem de kullanıcının kişisel verisi geri döndürülemez biçimde ortadan kaldırılarak veri koruma mevzuatına uyum sağlanmış olur. Aracı hizmet sağlayıcılar, saklama süresi dolana dek söz konusu anonimleştirilmiş verilerin güvenliğini en üst düzeyde korumaya devam etmelidir.