Günümüzde e- ticaret platformları, kullanıcıların alışveriş deneyimlerini kişiselleştirmek, güvenliği sağlamak ve satış süreçlerini optimize etmek için geniş ölçekte kişisel veri işlemektedir. Ancak bu süreçlerin KVKK çerçevesinde belirli kurallara uygun biçimde yürütülmesi gerekmektedir. Bu yazıda, internet alışverişlerinde kişisel verilerin işlenmesi, kullanıcı hakları ve e- ticaret firmalarının uyum sağlaması gereken yükümlülükler incelenecektir.
İNTERNET ALIŞVERİŞLERİNDE HANGİ KİŞİSEL VERİLER İŞLENİYOR ?
E-ticaret siteleri ve pazaryerleri, kullanıcılarından çeşitli kişisel veriler toplar ve işler. Bu verileri şöyle kategorize edebiliriz ;
– Kimlik Bilgileri : Ad,soyad,TC Kimlik numarası
– İletişim Bilgileri : Telefon numarası,e-posta,teslimat adresi
– Finansal Veriler : Kredi/Banka kartı bilgileri,fatura adresi
– Alışveriş Geçmişi : Satın alınan ürünler, sipariş geçmişi,ödeme yöntemleri
– Teknik ve Çerez Verileri : IP Adresi,cihaz bilgileri, tarayıcı geçmişi, çerezler ( cookies )
Tüm bu verileri işlerken uyulması gereken kurallar KVKK kapsamında belirlenmiştir. E-ticaret şirketlerinin bu ilkeleri dikkate alarak veri işleme süreçlerini yönetmesi gerekir.
e- ticaret şirketi bu verileri işlerken ; hukuka ve dürüstlük kurallarına uygun hareket etmeli ; verileri belirli açık ve meşru amaçlar için işlemeli ; verilerin kullanımı işlendikleri amaçla bağlantılı,sınırlı ve ölçülü olmalı; veriler gerekli olduğu süre kadar muhafaza edilmelidir.
Özellikle pazarlama ve reklam amaçlı veri işleme açık rıza gerektirirken, sipariş işlemleri ve ödemeler gibi zorunlu süreçler için açık rıza alınmasına gerek yoktur.
Pratik bir örnek üzerinden konuya açıklık getirmek gerekirse ; örneğin Ali, bir e-ticaret sitesinden telefon siparişi veriyor. Siparişin tamamlanması için ad,soyad,adres,telefonnumarası,e-posta adresi,kredi kartı bilgileri gibi kişisel verilerini paylaşıyor olsun.
Bu süreçte e-ticaret şirketi sözleşmenin ifası kapsamında bu verileri işleyebilir ve herhangi bir ek rıza almasına gerek yoktur. Ancak Ali’nin verilerini başka bir amaçla örneğin reklam göndermek için kullanacaksa açık rıza almalıdır.
Ali’ye bu siparişinden birkaç gün sonra e-ticaret şirketinden gelen bir reklam mesajı için açık rıza yoksa KVKK ihlali söz konusu olabilir. Eğer Ali bu mesajları almak istemiyorsa, e- ticaret sitesinin ona bir abonelikten çık seçeneği sunması gerekmektedir.
Yine bir e- ticaret platformunda TC Kimlik numarası,anne kızlık soyadı,doğum tarihi gibi gereksiz bilgiler isteniyorsa KVKK ihlali söz konusudur.
Keza kredi kartı bilgilerinin açık rıza olmadan otomatik kaydedilmesi, kişisel verilerin zamanında silinmemesi, alışverişin akabinde Ali’nin telefonunun benzer ya da alakasız başka platformlar ile paylaşılması gibi KVKK ihlal örnekleri çoğaltılabilir.
