E-TİCARET
İnternetin askeri alandan çıkıp önce eğitim alanında sonra da bireysel kullanımda yaygınlaşmasını takiben 2000’lerin başından itibaren gittikçe artan hacmiyle e-ticaret, artık günümüzde yüz yüze ticaretin yerini almış durumda. Özellikle Covid-19 pandemisi, e-ticaretin hayatı kolaylaştırıcı yanını tüm tüketicilere gösterdi.
Satıcıdan tüketicilere (B2C), satıcıdan bir başka satıcıya (B2B), tüketiciden tüketiciye (C2C), işveren konumundaki satıcıdan kendi personeline (B2E), devletlerden satıcılara veya devletlerden tüketicilere (G2B- G2C) yapılan satışlar internet ortamında buluşmuş ve günümüzdeki e-ticareti oluşturmuştur.
Yüz yüze ticaretin/ perakende satışın aksine e-ticarette çok sayıda kişisel veri toplanmakta ve işlenmektedir. Sözgelimi yüz yüze satışlarda genellikle sadece fatura düzenlenmesi için ad soyad gibi kişisel veriler toplanırken e-ticarette ise web site ziyaretinden başlayan ve ürün satın alınıp teslim edildikten sonrasında dahi işlenmeye devam edilen kişisel veriler söz konusudur.
SORUN NE ?
E-ticarette web site ziyaretleriyle başlayan bir veri işleme faaliyeti söz konusu olup bu kapsamda bireylerin IP adresleri ve web site çerezleri vasıtasıyla web site içerisindeki gezinme alışkanlıkları (hangi sayfada ne kadar süre kaldı, hangi ürünleri tıkladı…) işlenmektedir. Henüz e-ticarete konu hukuki işlemi kurmadan başlayan bu veri işleme faaliyeti, web sitede bir ürün beğenip sepete eklediğinizde daha da artarak devam etmektedir.
Söz gelimi “üyeliksiz alışveriş yap” gibi bir fonksiyonu bulunmayan web siteler bireyleri üye olmaya yönlendirmekte ve üyelik aşamasında ad, soyad, e-posta adresi, GSM no gibi asgari kişisel veriler dışında cinsiyetten doğum tarihine kadar çokça kişisel veri toplamaktadır.
Ürün veya hizmet satın alırken ise aynı şekilde teslimat adresinden ödeme bilgilerine, TC kimlik numarasından finansal bilgilere kadar birçok kişisel veri toplanmaktadır. Ayrıca bir e-ticaret sitesinde gezindiğiniz süre boyunca, eğer çerez ayarlarından kapatılmamışsa, davranışsal reklamcılık kapsamında alışveriş geçmişi, ürün veya hizmet beğenileri, ürün veya hizmet için ayrılan gelir gibi birçok kişisel veri toplanabilmektedir.
Bu noktada en büyük sorun, bireylerin yüzlerce e-ticaret platformuyla paylaştığı kişisel verilerinin nasıl işlendiğini ve bu kişisel verilerin kimlerle paylaşıldığını bilmemeleridir. Söz gelimi, özellikle davranışsal reklamcılık amacıyla kullanıcılarının kişisel verilerini toplayan birçok e-ticaret platformu, hangi verileri neden topladığını deklare etmemekte; kullanıcılarına bu verilerin toplanıp toplanmamasıyla ilgili bir kontrol imkânı tanımamaktadır.
Bir başka sorun ise bireylerin e-ticaret için gerekli olmayan birçok verisinin (örn. cinsiyet, doğum yeri, doğum tarihi vb.) işlenmesi ve işlenen bu verilerin güvenliğinin sağlanamayıp üçüncü kişilerin eline geçmesidir. Bu noktada bireylerin “nasılsa bilgilerim herkesin elinde var” ve “bilgilerimle ne yapacaklar ki” şeklindeki kişisel veri mahremiyetine önem vermeyen yaklaşımı da e-ticaret platformlarının gereksiz veri işleme alışkanlıklarının artmasına ve şeffaflıktan uzak veri işleme faaliyeti gerçekleştirmelerine yol açmaktadır.
ÇÖZÜM NE ?
Kişisel veri mahremiyeti hem bireylerin hem de e-ticaret platformlarının temel yaklaşımı olmalıdır.
VeriniKoru Ekibi, bireyleri kişisel veri ihlallerinden korumanın yine bireylerin “kişisel veri mahremiyeti” yaklaşımını benimsemeleriyle gerçekleşeceğine inanmaktadır.
Bireyler: e-ticaret platformlarına kişisel veri paylaşırken aydınlatma metinlerini, üyelik sözleşmesi ve gizlilik koşullarını incelemeli, e-ticaret platformu tarafından hangi kişisel verisinin istendiğini tespit etmeli ve bunun gerekli olup olmadığına kendisi karar vermelidir. Gereksiz/ fazla veri işleme olarak düşündüğü verileri paylaşmamalı veya anonim bir şekilde paylaşmalıdır. Web site ziyaretlerinde çerez ayarlarını gözden geçirmeli, özellikle davranışsal reklamcılık faaliyetleri kapsamında kişisel verilerinin kullanılmasını istemiyorsa üçüncü taraf çerezlerini (analitik çerezler) devre dışı bırakmalıdır. E-ticaret platformunun Güven Damgası’nı taşıması önemli bir ayrım olup, bireyler mümkün mertebe Güven Damgası olan platformları tercih etmelidir.
Bireyler, kişisel veri paylaşmadan önce e-ticaret platformunun 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında gerekli yükümlülükleri yerine getirip getirmediğini e-ticaret platformu üzerinden kontrol etmeli, aydınlatma metinlerini detaylı olarak incelemeli, kişisel veri koruma politikalarının olup olmadığını araştırmalı, tüm gizlilik ve veri koruma politikalarını okumalıdır.
Veri koruma politikası olmayan veya 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki yükümlülüklerini yerine getirmeyen e-ticaret platformlarının veri mahremiyetine saygı duymadığı, kişisel veri güvenliği konusunda şeffaf bir yaklaşım sergileyemeyeceği unutulmamalıdır.
Bireylerin “kişisel veri mahremiyeti” temelli yaklaşımda bulunmasına paralel olarak e-ticaret platformlarının da “bireylerin kişisel verilerine saygı” ve “şeffaflık” anlayışıyla ticari faaliyetlerini yürütmeleri gerekmektedir. Öncelikle e-ticaret platformları, sadece platformu işletebilmek ve satış yapabilmek amacıyla kişisel veri işlemeli, gereksiz kişisel veri işleme faaliyetine son vermelidir. Platform ziyaretlerinde mutlaka pop-up olarak çerez politikası ve çerezler vasıtasıyla ziyaretçilerin kişisel verilerinin işlenmesine ilişkin aydınlatma metni yayınlanmalı; platformun işletimi için zorunlu olan çerezler haricinde kalan -özellikle davranışsal reklamcılığa yönelik- çerezler için ziyaretçilere çerezleri kabul etme tercihi sunulmalı, platformun işletimi için zorunlu olan çerezler dışındaki çerezler varsayılan olarak “kabul edilmiş” gelmemelidir.
Üyelik sözleşmeleri veya kullanım koşullarının yansıra şeffaflık temelli gizlilik ve kişisel verilerin korunması politikaları oluşturulmalı ve ana sayfada yayınlanmalıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki başta aydınlatma yükümlülüğü olmak üzere diğer tüm yükümlülüklerini yerine getirmeli ve kullanıcılarına kişisel veri işleme faaliyetlerini şeffaf ve sade bir dille izah etmelidir.
Ticari iletişimde gerek 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümlerine gerekse 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun hükümlerine uygun hareket etmeli, platform üyelerine yönelik yapacağı ticari iletişim faaliyetlerini açık rızayı temel alarak gerçekleştirmelidir.
Kullanıcı bilgileri başta olmak üzere platform veri tabanı güvenliğini sağlamalı, yetkisiz erişim ve veri ihlallerini önlemek üzere gerekli tüm teknik ve operasyonel tedbirleri almalı ve Güven Damgası almak adına gerekli başvuruları yapmalıdır.
Sadece kişisel veri toplamada değil, toplanan ve işlenmekte olan kişisel verilerin nasıl saklanacağına ve bu verilerin işleme amacı sona erdiğinde bu verilerin nasıl imha edileceğine yönelik saklama ve imha politikaları oluşturulmalıdır.
E-ticaret platformlarının yanı sıra devletler de bireylerin haklarını korumak ve e-ticaret platformlarının bireylerin haklarının korunması noktasındaki yükümlülüklerini düzenlemek adına yasalar oluşturmalı, denetim mekanizması geliştirmelidir.
Ülkemizde 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ikincil düzenlemeleri başta olmak üzere 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ikincil düzenlemeleri ile devlet, bireylerin haklarını korumak ve e-ticaret platformlarının yükümlülüklerini belirlemek adına çeşitli normlar getirmiştir.
Getirilen bu normların uygulanıp uygulanmadığını denetleme amacıyla Kişisel Verileri Koruma Kurulu ve çeşitli müdürlükler görevlendirilmiştir. Devlet eliyle e-ticaret platformlarının denetimlerinin ceza verme temelli değil, uyumlaştırma temelli yapılması gerekmektedir.
Diğer yandan bireyleri kişisel veri mahremiyeti konusunda ilköğretim seviyesinden itibaren okullarda bilinçlendirme çalışmaları yapılmalı, müfredat düzenlemeleri getirilmelidir. Bu noktada devlet ve aileler, kişisel veri mahremiyetine önem veren nesiller yetiştirmek için en yüksek çabayı sarf etmelidir.