Avukat Profil Resmi

Suzan Melisa Erdem

Avukat

27.05.2024

Ticarette Dijital Dönüşüm

TİCARETTE DİJİTAL DÖNÜŞÜM: KVKK Açısından Ticarette Dijitalleşmenin Hukuki Yönleri Nelerdir?

İnternetin yaygınlaşması ile birlikte dünyamızda birçok şey gibi ticaret de bir dönüşüm geçirerek dijitalleşmiştir. Şüphesiz ki bu değişimin günlük yaşamlarımıza tesir eden hukuki sonuçları doğmuştur ve tüketicinin korunması için birtakım düzenlemeler de beraberinde gelmiştir.    


E-TİCARET NEDİR: MESAFELİ SATIŞ SÖZLEŞMESİNDE DİKKAT EDİLMESİ GERKENLER NELER?

Elektronik ticaret veya e-ticaret internetten mal veya hizmet satın aldığımız, bu yolla elektronik ortamda satım sözleşmesi akdettiğimiz bir alışveriş türüdür. Bu alışveriş genellikle firmadan son tüketiciye şeklinde gerçekleşse de firmalar arası veya internet ve sosyal medyanın yaygınlaşmasıyla birlikte son tüketiciden firmaya şeklinde de gerçekleşebilmektedir. Tüketici haklarına dair problemlerin en sık rastlandığı ve bu yönde düzenlemelerin yoğunlaştığı alan firmadan tüketiciye yapılan satışlardır.

Sanal ortamda yapılan satışların en önemli sorunları güvenlik ve verilerin gizliliği ile alakalıdır. Mesafeli satış sözleşmelerinde satıcının isim, unvan, açık adres, telefon bilgilerinin, ürünün hizmetin bedelinin ve niteliklerinin, ifa şeklinin, cayma hakkının kullanımı bilgilerinin tüketiciye bildirilmesi önemlidir. Bu bilgilerin satıcı tarafından paylaşılıyor olması satıcının güvenilirliğini ve tüketicinin hukuki anlamda güvenliğini artırır. 

 

TÜKETİCİNİN HANGİ VERİLERİ İŞLENİR? 

İnternet alışverişlerinde sıklıkla firmaların internet sitelerini kullanırız. Bu sitelere üyelik gerekli olabileceği gibi üye olmadan da alışveriş yapılabilmektedir. Her iki durumda da bu sitelerde tüketicinin ad, soyad, adres, telefon, TC kimlik numarası, ödeme bilgileri, ilgi alanları, konum bilgisi, etnik köken, cinsiyet, biyometrik veriler, dini inançlar, web çerezleri ve politik görüşler vb. kişisel verileri işlenir. 

İnternet sitelerini ziyaretlerimizde sıklıkla karşımıza çıkan çerezler kullanıcıların deneyimini iyileştirmek, ziyaretçilerin tercihlerini görmek, reklamları kişiselleştirmek gibi sebeplerle o ticari işletme tarafından kaydedilir. Dolayısıyla çerezler de tek başlarına kişisel veri olarak nitelendirilemez ise de başka veriler ile birleştiğinde kişisel veri sayılır.

 

KİŞİSEL VERİLER NASIL KORUNUR?

Kişisel Verilerin Korunması Kanunu (KVKK) ; verilerin korunması amacıyla 2016 da Avrupa Birliği uyum yasaları kapsamında yürürlüğe giren ve temel hak ve hürriyetlerin korunmasını amaçlayan, tüketiciyi kişisel veri ihlallerine karşı koruyan bir kanundur. E-ticaret sitesi sahipleri bu kanun kapsamında “veri sorumlusu” sayılırlar ve KVKK m.12 uyarınca veri sorumlusu kişisel verilerin hukuka uygun olarak işlenmesi ve muhafazasını sağlamak, hukuka aykırı erişimi önlemek için gerekli güvenlik önlemlerini almak zorundadır. 

 

AÇIK RIZA NEDİR? NASIL ALINIR?

KVKK m.5 gereğince kişisel verilerin işlenmesi için açık rıza alınması zorunludur. Açık rıza belirsiz veya ucu açık olmamalıdır. Ancak kanuna göre bazı haller açık rızanın alınması zorunluluğunu ortadan kaldırır, bu hallerden bazıları şunlardır;   

1.Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması: İnternet sitelerinde üyelik amaçlı istenen kişisel veriler Kanunun 4. maddesine uyması şartıyla açık rıza alınmasını gerektirmez. Bu doğrultuda tüketicinin isim, soyisim, telefon, e-posta adresi gibi verilerin istenmesi meşru kabul edilir. 

2. Kanunda açıkça yer alması halinde veya veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması hallerinde de açık rıza alınmasına gerek yoktur. 

3. İlgili kişinin kendisi tarafından alenileştirilmiş olması hallerinde de örneğin internet sitesine yüklediğimiz profil fotoğrafları veya kullanıcı ad-soyad bilgileri de böyledir ve işlenmesi için açık rıza gerektirmemektedir. 

 

AYDINLATMA YÜKÜMLÜLÜĞÜ NEDİR? 

İnternet alışverişi yaptığımız sitelerde kişisel verilerin işlendiğine dair veri sorumlusunun yani firmanın tüketiciyi aydınlatma yükümlülüğü bulunmaktadır. Aydınlatma yükümlülüğü kişisel verilerin hangi amaçla kullanılacağı ve kimlerle paylaşılacağı gibi konularda ilgili kişiyi bilgilendirmek anlamına gelir. 

KVKK m. 10 uyarınca veri sorumlusu kişisel verileri işlemeden önce tüketiciye veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, işlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi konusunda bilgi vermekle yükümlüdür. Bu yükümlülük aydınlatma yükümlülüğü anlamına gelmekle beraber açık ve anlaşılır bir dille yazılması önem arz eder. 

 

KİŞİSEL VERİLERİN ÜÇÜNCÜ KİŞİLERLE PAYLAŞILMASI SORUNU: NE YAPILMALI?

Kişisel verilere 3. Kişiler tarafından erişilebildiği yani bir veri ihlali yaşandığı halde veri sorumlusunun durumu derhal Kurula bildirme yükümlülüğü bulunmaktadır. Bu gibi erişimleri önlemek için veri sorumluları gerekli önlemleri almakla yükümlüdür aksi halde cezai yaptırımlarla karşılaşılabilir. 

Bir Kurul kararında “Kişinin araç kiralama şirketine ait internet sitesine sisteme kayıtlı kullanıcı adı ve e-posta adresi ile giriş yaparken bir başka kullanıcının hesabına yönlendirildiği, hatalı yönlendirme neticesinde üçüncü bir kişinin adres, telefon numarası, T.C. kimlik numarası ve ehliyet bilgisi gibi kişisel verilerine eriştiği”, kişisel verilerin elde edilebilir hale getirilmesinin bir kişisel veri işleme faaliyeti olduğu, veri sorumlusunun veri kayıt sistemindeki müşteri bilgilerinin güncellenmesinde kullanılan algoritmanın yanlış çalışması nedeniyle dört kişinin kişisel verilerinin diğer kullanıcılar bakımından elde edilebilir hale geldiği olayda veri sorumlusu KVKK m.12 deki verileri koruma yükümlülüğünü yerine getirmediğinden dolayı hakkında idari para cezasına karar verilmiştir.

Bu doğrultuda başka bir kararda ise havayolu şirketi internet sitesinde check-in işlemi için PNR ve soyadını giren bir kişinin tanımadığı 4 farklı kişinin uçuş bilgilerine ve diğer kişisel verilerine erişmesi hatta biletlerin iptali ve değişikliği gibi birçok işlem hakkına erişmesi şeklinde gerçekleşen olayda yine havayolu şirketi için idari para cezasına karar verilmiştir.

 

SONUÇ:

Görülmektedir ki aydınlatma metni, açık rıza metni ve çerez metni internet sitelerinde tüketicilere sunulması zorunlu metinlerdir. E-ticaret siteleri tüketicilerin verilerini korumak amacıyla algoritmalarının doğru çalıştığından ve internet sitelerin diğer kötü niyetli erişimlere karşı güvenliğinin sağlandığından emin olmalıdır. Tüketicilerin yani hepimizin haklarının korunması ve verilerimizin güvenliğinin sağlanması için tüm e-ticaret şirketleri KVKK’ya uygun şekilde verilerimizi işlemeli ve muhafaza etmelidir aksi halde veri sorumluları (e-ticaret sitesi sahipleri) için büyük cezai yaptırımlara hükmedilebilir. 

Sektörden Yayınlar