Makale
ETHS ve ETAHS'lerin KVKK Kapsamındaki Hukuki Yükümlülükleri
Günümüzde çevrim içi alışverişin hızla yaygınlaşması, dijital platformlarda devasa boyutlarda verinin işlenmesini beraberinde getirmiştir. Bu noktada elektronik ticaret hizmet sağlayıcı (ETHS) ve elektronik ticaret aracı hizmet sağlayıcı (ETAHS) olarak adlandırılan e-ticaret aktörlerinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında üstlendikleri hukuki sorumluluklar büyük önem taşımaktadır. Tüketicilerin kişisel verilerini toplayan bu işletmeler, faaliyetlerini sürdürürken hukuka, dürüstlük kurallarına ve veri minimizasyonu ilkelerine sıkı sıkıya bağlı kalmak zorundadır. E-ticaret süreçlerinin çok boyutlu doğası gereği, platformlar ve satıcılar çoğu zaman veri sorumlusu, bazı istisnai süreçlerde ise veri işleyen veya ortak veri sorumlusu statüsünde hareket edebilmektedir. Bu hukuki statülerin doğru tespiti, aydınlatma yükümlülüğünün yerine getirilmesi, geçerli açık rızanın alınması ve ilgili kişi haklarının eksiksiz kullandırılması gibi kanuni gerekliliklerin sınırlarını çizmektedir. Dolayısıyla ETHS ve ETAHS'lerin yasal mevzuata tam uyum sağlamaları, tüketici nezdinde şeffaflığı tesis etmek ve rekabet avantajı yaratan müşteri sadakatini kazanmak için vazgeçilmez bir hukuki gerekliliktir.
ETHS ve ETAHS'lerin Veri Sorumlusu ve Veri İşleyen Statüleri
KVKK sistematiğinde hukuki yükümlülüklerin sınırını belirleyen en temel unsur, e-ticaret platformu aktörlerinin veri sorumlusu veya veri işleyen sıfatını haiz olup olmadığının tespitidir. Çevrim içi pazar yerlerinde faaliyet yürüten ETAHS'ler, alıcıların ve satıcıların kişisel verilerinin işleme amaçlarını ve vasıtalarını doğrudan belirledikleri için kural olarak veri sorumlusu kabul edilmektedir. Kendine ait bağımsız bir elektronik ticaret ortamında satış işlemlerini yürüten ETHS'ler de tamamen kendi müşterileri bağlamında veri sorumlusudur. Ancak e-ticaret pazar yerinde bulunan bir ETHS, ETAHS tarafından kurulan altyapı dahilinde yalnızca kendisine iletilen sipariş bilgilerini talimatlara uygun olarak işliyorsa, somut olayın niteliğine göre veri işleyen statüsünde değerlendirilebilecektir. Öte yandan, verilerin işleme amaç ve araçlarının her iki e-ticaret aktörü tarafından müştereken belirlendiği ve birbirini tamamlayan kararların alındığı entegre süreçlerde, ETHS ve ETAHS arasında ortak veri sorumlusu ilişkisi doğmaktadır. Bu hukuki statülerin her bir veri işleme süreci için özenle tayin edilmesi yasal bir mecburiyettir.
Aydınlatma Yükümlülüğünün Yerine Getirilmesi
Kişisel verilerin elde edilmesi aşamasında veri sorumlusu konumunda bulunan ETHS ve ETAHS'lerin mevzuat uyarınca ilgili kişilere karşı kapsayıcı bir aydınlatma yükümlülüğü bulunmaktadır. Söz konusu yükümlülük; veri sorumlusunun kimliği, toplanan verilerin hangi spesifik amaçla işleneceği, bu verilerin kimlere ve hangi hukuki gerekçelerle aktarılabileceği, veri toplamanın yöntemi ve ilgili kişinin Kanun'un 11. maddesinde belirtilen hakları hususlarında detaylı bilgi verilmesini emretmektedir. E-ticaret platformlarında bu bilgilendirme işlemi, katmanlı aydınlatma yöntemi, açılır pencereler (pop-up) veya onay kutucukları aracılığıyla dijital ortamda hukuka uygun bir şekilde tasarlanarak yerine getirilebilir. Ancak, hazırlanacak aydınlatma metinlerinin genel geçer bir gizlilik politikası metni içerisine gizlenmemesi, son derece açık ve sade bir dil kullanılması şarttır. Bilhassa kişisel veri işleme faaliyetinin yalnızca rızaya dayandığı hallerde, aydınlatma yükümlülüğü ile açık rızanın alınması işlemlerinin metin bazında birbirinden kesinlikle ayrılması yasal süreçler açısından zorunludur.
Kişisel Verileri İşleme Şartları ve Açık Rıza
E-ticaret siteleri ve pazar yerlerinde kullanıcı bilgilerinin hukuka uygun olarak işlenebilmesi için kural olarak ilgili tüketicinin geçerli açık rızasının alınması elzemdir. Yasaya uygun bir açık rıza metninin; belirli bir konuya ilişkin olması, yeterli ve net bir bilgilendirmeye dayanması ve kullanıcının tamamen özgür iradesiyle onaylanması şarttır. Alışveriş yapılabilmesinin ön koşulu olarak rıza dayatılması veya opt-out (önceden işaretlenmiş kutucuklar) şeklinde kurgulanmış tasarımlarla pasif rıza alınması eylemleri hukuken sakat ve geçersiz sayılmaktadır. Bununla birlikte, ilgili Kanun'un 5. maddesi, mesafeli satış sözleşmesinin kurulması veya ifası, satıcının fatura düzenleme gibi hukuki yükümlülüklerini yerine getirmesi veya e-ticaret sitesinin çalışabilmesi için zorunlu teknik çerezlerin kullanımı durumlarında rıza dışı veri işlemeye cevaz vermektedir. Ancak ticari elektronik ileti gönderimi ve kullanıcı davranışlarının analiz edilerek hedeflenmiş reklam sunulması gibi profilleme durumlarında, aktif bir eylemle verilmiş açık rıza beyanı mutlaka aranmaktadır.
| KVKK İşleme Şartı (Açık Rıza İstisnası) | E-Ticaret Sektöründeki Hukuki Karşılığı (Örnek) |
|---|---|
| Sözleşmenin Kurulması veya İfası | Mesafeli satış sözleşmesi gereği ürün teslimi için adres verisinin işlenmesi |
| Hukuki Yükümlülüğün Yerine Getirilmesi | Vergi Usul Kanunu uyarınca fatura düzenlenmesi için bilgilerin işlenmesi |
| İlgili Kişinin Kendisi Tarafından Alenileştirilmiş Olması | Kullanıcının platformda ürün yorumu yaparken paylaştığı bilgilerin sınırında kullanılması |
| Bir Hakkın Tesisi, Kullanılması veya Korunması | Olası tüketici uyuşmazlıklarında ispat amacıyla sözleşme kayıtlarının saklanması |
| Veri Sorumlusunun Meşru Menfaati | E-ticaret platformunun çalışabilmesi için zorunlu çerezlerin (cookies) kullanılması |
İlgili Kişi Haklarının Korunması ve Başvuru Süreçleri
Kişisel Verilerin Korunması Kanunu'nun 11. maddesi, çevrim içi tüketicilere kendi verileri üzerinde oldukça kapsamlı bir kontrol ve itiraz yetkisi tanımaktadır. Veri sahipleri; ilgili ETHS veya ETAHS'ye resmi yollarla başvurarak verilerinin işlenip işlenmediğini şeffaf bir şekilde öğrenme, hatalı işlenen bilgilerin düzeltilmesini isteme ve hukuki işlenme sebepleri ortadan kalktığında verilerin silinmesini veya yok edilmesini talep etme gibi temel haklara sahiptir. Bununla beraber, kullanıcının verilerinin yalnızca otomatik sistemler vasıtasıyla analiz edilerek aleyhine haksız bir sonuç doğurmasına karşı itiraz etme hakkı da güvence altındadır. Veri sorumlusu sıfatını taşıyan e-ticaret kuruluşları, kullanıcılardan gelen bu mahiyetteki başvuruları en geç otuz gün içinde ücretsiz olarak neticelendirmek ve gerekçeli hukuki kararını başvuru sahibine yazılı ya da elektronik ortamda bildirmekle mükelleftir. Tüketicinin bu yasal haklarını pratik bir şekilde kullanabilmesi için platformların başvuru kanallarını erişilebilir kılması ve mevzuatla belirlenen yasal saklama süreleri sonlandığında verileri imha politikalarına uygun olarak ortadan kaldırması gerekmektedir.