Bilgi teknolojilerinin ilerleyişi hayatımıza birçok yenilik getirmektedir. Son yıllarda yaygınlaşan e-ticaret ile çevrimiçi mal ve hizmet satın almak da bu yeniliklerdendir. E- ticaretin tüketiciler açısından büyük kolaylık sağladığı aşikârdır. Fakat diğer yandan birçok tüketicinin kendilerine ait bilgilerin gizliliği konusunda endişe duyduğu belirtilmektedir. Bu endişe öngörülmüş olacak ki, çeşitli düzenlemeler* ile e-ticaret sitelerine gizlilik politikalarının oluşturulması ve tüketicinin bu konuda bilgilendirilmesi şeklinde yükümlülük verilmiştir. Güncelliği ve önemi açısından bu konuyu Kişisel Verilerin Korunması Hakkında Kanun kapsamında incelemek faydalı olacaktır.

Kanun, eleştirilecek yönleri bulunsa da, kişisel verilerin korunması konusunda belli standartlar getirmiştir. Kanuna göre; kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi kişisel veri olarak kabul edilecektir. E-ticaret siteleri/şirketler ise veri sorumlusu olarak değerlendirilecektir. Bu halde tüketicilere/kişilere ait bilgileri işlemeye yetkili olan; yani bilgileri kaydeden, yok eden, saklayan, değiştirebilen ve transfer edebilen, kişi/tüketici ile muhatap durumundaki e-ticaret sitesidir. Kanun bazında değerlendirmede önemli olan, bilginin kişiyi belirleyebilecek nitelikte olmasıdır. Bu nitelikteki verilerin işlenmesi ise kural olarak rızaya bağlıdır. Fakat veri sorumlusu olan e-ticaret sitelerinin fiillerini gerçekleştirebilmeleri için gerekli olan bilgileri edinmelerinde rıza aranmamaktadır. Bir çevrimiçi alışveriş yapılırken tüketiciden istenilen ad, soy ad, adres, telefon vs. bilgiler, gerekli olan ve rıza aranması gerekmeyen bilgiler olarak nitelendirilebilir. Rıza aranmayan bu bilgilerin, yalnızca işin amacına uygun ve bununla sınırlı olarak işlenebileceği ise unutulmamalıdır.

E-ticaret sitelerinin tüketicilere yönelik gizlilik politikaları da verilerin korunmasına ilişkindir. Gizlilik politikalarına ilişkin yapılan incelemelerde, bu denli yaygınlaşmasına rağmen halen bu konuda bir metinsel düzenlemeye yer vermeyen sitelerin olduğu görülmektedir. Düzenlemelere yer veren sitelerde ise genel olarak istenilen bilgilerin ne şekilde kullanılacağı, saklanılacağı gibi konular açıklanmaktadır. Tüketicilerden bilgiler üyelik oluşturularak (aktif) yahut çerezler (pasif) yöntemi ile elde edilmektedir. Üyelik oluşturulurken istenilen bilgiler kanunun ifadesi ile kişiyi belirleyebilecek bilgilerdir. Çerez (cookie) yönteminde ise tüketicinin siteyi nasıl kullandığına ilişkin bilgiler, IP adresleri ve siteyi ziyaret zamanları, coğrafi konumları vs. belirlenebilmektedir. Bu bilgiler de tüketiciyi belirlenebilir kılma özelliğine sahiptir. Fakat e-ticaret sitelerinin büyük çoğunluğu çerez yöntemini kullandıklarını tüketici ile paylaşmamaktadır. Bu durumda, sitelerin rıza aranması gereken bazı bilgileri de tüketicinin rızası var-mış gibi işledikleri anlaşılmaktadır. Kanunun bu konudaki yaklaşımı sınırlayıcı ve nettir. e-ticaret sitelerinin gizlilik politikalarında kullandıkları yöntemlere açıkça yer vermeleri gerekmektedir.

Birçok şirkete/e-ticaret sitesine ait gizlilik politikası incelendiğinde, özellikle verilerin yerli ve yabancı ilişkili şirketler, ortaklar, bazı kamu kurumları vs. ile paylaşıldığına yer verilmektedir. Bazıları ise verilerin sınıflandırma yapmakta kullanılacağını, üçüncü kişiler ile paylaşılmayacağını belirtmektedir. Kanun üçüncü kişiler ile paylaşılma hallerinde açık rıza aramaktadır. Özellikle işin amacı ve sınırı dışında olan, bununla birlikte üçüncü kişiler ile paylaşılacağı belirtilen verilerin işlenmesi konusunda e-ticaret sitelerinin kanuna uygun yöntem izlemeleri önemli hale gelmiştir. Kanun 11’inci maddesi ile tüketicilerin e-ticaret sitelerinden/şirketlerden kaydedilen verilerine ilişkin olarak bilgi alabilmeleri, kimler ile paylaşıldığını öğrenebilmeleri, düzeltilmesini yahut silinmesini istemeleri gibi haklar tanımıştır. Ayrıca veri sorumlusu olan şirketlerin tüketiciyi aydınlatma yükümlülüğü ve verilere ilişkin güvenlik yükümlülüğü bulunmaktadır. Kanun bu yükümlülüklere aykırılıkta açıkça sorumluluk öngörmüştür. Bu nedenle ilgili hususlarda şirketlere/e-ticaret sitelerine büyük bir rol düşmektedir.

Kanunun uygulanmasını gösterecek alt düzenlemeler ile birlikte uyum süreci hızlanacaktır. Kontrol mekanizmalarının artması ile birlikte, e-ticaret sitelerinin gizlilik politikalarındaki eksiklikleri gidermeleri kaçınılmaz olacaktır. Birkaç aylık sürede dahi, özelikle çerez (cookie) yönteminin kullanılmasına ilişkin dikkatin artması örnek olarak gösterilebilir. Bunun yanında şirketlerin veri işlenmesi, saklanması, yok edilmesi, veri siciline kayıt vs. hususlarda kendi bünyelerinde bir mekanizma oluşturmaları faydalı olacaktır.

Gizlilik politikaları ve bu anlamda tüketiciye ait verilerin korunması, birbiri ile zıt olmayan; aksine birbirini destekleyen kavramlardır. Şirketlerin kendi sitelerine ait tüm veri ve bilgilerin fikri ve sınaî mülkiyetine gösterdiği hassasiyeti, müşterileri olan tüketicilere ait veriler için de göstermesi beklenmektedir. Tüketiciler de kendilerine ait veriler konusunda gerekli özeni yerine getirerek hareket etmelidir. Yapılan düzenlemelerin de bahsedilen niteliği sağlamaya yönelik olduğu unutulmamalıdır.

*Kişisel Verilerin Korunması Hakkında Kanun, Tüketicinin Korunması Hakkında Kanun, Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik.

Kaynaklar:

Kişisel Verilerin Korunması Hakkında Kanun, www.mevzuat.gov.tr

Kemal Özmen, Yeni Kişisel Verilerin Korunması Kanun ve Kararnamelerin Bilişim Üzerindeki Etkileri, encodeconsultancy.com

Oğuz Şimşek, Kişisel Verilerin Korunması Hukuku

Serpil Karlıdağ – Selda Bulut, E-Ticarette Tüketici Gizliliğinin Korunması Üzerine Bir Araştırma, www.isarder.org

Posted by Stj. Av. Berna Şahintürk

araştırmayı ve araştırdıklarını paylaşmayı seven, eski akademik, yeni stajyer avukat.

Leave a reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir