Elektronik Ticarette Tüketici Gizliliği
I. Giriş
Her geçen gün teknoloji, hayatımızın daha da vazgeçilmez bir parçası haline gelmekte, sıradan işlemlerimizde bile gelişen teknolojiden faydalanmaktayız. Teknolojinin akıl almaz gelişimi ise bilişim teknolojilerinin ve esasen insanoğlunun teknolojiye ulaşma imkânının da gelişmesine sebep olmaktadır. İnsanlar için böylesine kolay ulaşılabilir olan bilişim teknolojileri, avantajların yanı sıra bazı dezavantajları da beraberinde getirmektedir. Günümüzde, bilişim teknolojilerinden faydalanılarak yürütülen önemli faaliyetlerden birisi de elektronik ticarettir. Elektronik ticaret faaliyetleri esnasında, söz konusu faaliyetin aktörlerinden birisi olan tüketicilere ait büyük miktarda kişisel veri toplanmakta ve işlenmektedir. Her ne kadar ilgili mevzuat çerçevesinde bu tür faaliyetlerin amacına aykırı kullanımının önüne geçmek amacıyla bazı düzenlemelere yer verilmekte ise de, elektronik ticarette tüketici gizliliğinin yeteri kadar korunup korunmadığı tartışma konusudur.
II. Elektronik Ticaret
Dünya Ticaret Örgütü tarafından yapılan tanıma göre elektronik ticaret, “mal ve hizmetlerin üretim, reklam, satış ve dağıtımlarının telekomünikasyon ağları üzerinden yapılmasıdır”[1]. Bu doğrultuda elektronik ticaret geniş anlamda “uzaktan (aynı ortamda bulunmadan) alışveriş yapabilmek için tasarlanmış elektronik ortamda yürütülen mal/hizmet alışverişi” şeklinde de tanımlanabilecektir[2]. Nitekim 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un (“ETDHK”) Tanımlar başlıklı 2. Maddesinin (a) numaralı alt maddesinde elektronik ticaret “fiziki olarak karşı karşıya gelmeksizin, elektronik ortamda gerçekleştirilen çevrim içi iktisadi ve ticari her türlü faaliyet” şeklinde tanımlanmaktadır.
Dünya üzerinde birçok elektronik ticaret modeli aktif halde kullanılmaktadır. Söz konusu modellerden en çok kullanılanı şüphesiz ki işletme ve tüketiciler arasında (Business to Consumer-B2C) olan elektronik ticarettir. İşletme-tüketici modelinin yanı sıra elektronik ticaret; işletmeler arasında, tüketici-tüketici, idare-işletme ve idare-tüketici arasında da gerçekleşebilmektedir[3].
Ülkemizde elektronik ticaretin esas ve usullerine ilişkin olarak çıkarılan ilgili mevzuatın başında ETDHK ve bu kanun kapsamında çıkartılan Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcıları Hakkında Yönetmelik[4] ile Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik[5] (“Yönetmelik”) gelmektedir. Söz konusu kanun ve yönetmelikler, herhangi bir elektronik ticaret modeli ayrımı yapılmaksızın yukarıda sayılan tüm elektronik ticaret faaliyetlerine ilişkin satıcılar ve alıcıların hak ve yükümlülüklerini hüküm altına almaktadır. Bunun yanı sıra, işletme-tüketici arasında yürütülen elektronik ticaret faaliyetleri kapsamında ise 6502 sayılı Tüketicinin Korunması Hakkında Kanun (“TKHK”) ve bu kanun kapsamında çıkartılan “Mesafeli Sözleşmeler Yönetmeliği” uygulama alanı bulmaktadır.
Söz konusu ana mevzuatın yanı sıra, 5070 sayılı Elektronik İmza Kanunu, 6340 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ve 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu elektronik ticaret faaliyetlerinde belirleyici role sahiptir[6]. Elektronik ticaret en nihayetinde taraflar arasında kurulan bir borç ilişkisi olduğundan ve diğer birçok hukuk dalıyla ilgili olması sebebiyle yukarıda sayılan düzenlemelere ek olarak fikri mülkiyet hukuku, ticaret hukuku, vergi hukuku, ceza hukuku ve tüketici hukuku gibi birçok hukuk dalındaki düzenlemeler de kimi zaman belirleyici olmaktadır[7].
III. Elektronik Ticarette Tüketici Gizliliği
İşletme-Tüketici arasında gerçekleşen elektronik ticaret faaliyetlerinde tüketicilerin karşı karşıya kaldığı en büyük problem, elektronik ticaret faaliyetinin her anında var olması gereken güvenilirliğin kimi zaman yetersiz oluşudur. Öte yandan tüketiciler açısından büyük bir tedirginlik teşkil eden güven unsuru, kimi zaman elektronik ticaret faaliyetinin karşı tarafı olan işletmeler açısından da bir sorun haline gelebilmektedir[8]. Söz konusu güven sorununun temeli ise kişisel verilerin korunması konusuna dayanmakta olup, tüketiciler açısından elektronik ticaret faaliyetleri kapsamında toplanan kişisel verilerin amaca aykırı kullanımı tehlikesini doğurmaktadır.
Kişisel verilerin bu denli önem taşımasının temel sebebi ise gelişen teknoloji ile birlikte kolayca ulaşılabilir hale gelen bu verilerin, şirketler için gelecek planlaması ve belirlenecek politikalar açısından belirleyici olmasıdır. O kadar ki, toplanan kişisel verilerin artık maddi bir değere sahip olduğu, verilerin para karşılığında satılabildiği ve kişisel verilerin şirketlerin pazar araştırmalarında esas alınan temel unsur haline geldiği söylenebilecektir. Nitekim OECD Genel Sekreteri Angel Gurria, “İnternet Ekonomisinin Geleceği Üzerine” adlı bir toplantıda kişisel verileri para birimi olarak lanse etmiştir[9].
Elektronik ticaret faaliyetini yürüten ve tüketicilere hizmet sağlayan kişilerce (“Elektronik Ticaret Hizmet Sağlayıcısı”) yüklü miktarda kişisel veri elde edilmekte ve bu verilerin işlenmesi/analiz edilmesi sonucunda yurt dışında “Big Data” olarak adlandırılan veri havuzları meydana getirilmektedir. Türkçe karşılığı “Büyük Veri” olan “Big Data” kapsamında elde edilen yüklü miktardaki işlenmiş/analiz edilmiş kişisel veri, şirketlerin gelecek planlarını belirlemektedir[10]. Hal böyle olunca kişisel verilerin önemi şirketler için büyümekte ve kişisel veriler başarıya ulaşabilmek için kilit nokta olarak görülmektedir. Analiz edilme gibi nispeten zararsız amaçların yanı sıra kimi zaman da tüketicilere ait ödeme aracı bilgileri (kart bilgileri, hesap bilgileri vb.) gibi kişisel verilerin kötü niyetli kişilerce elde edilmesi durumunda tüketici nezdinde büyük zararlar meydana gelebilmektedir.
A. Mevzuat Altında Koruma
Elektronik Ticaret faaliyetlerinin esas ve usulünü belirleyen ana mevzuat olan ETDHK, kişisel verilerin korunması hususunu da hüküm altına almaktadır. ETDHK’nın Kişisel Verilerin Korunması başlıklı 10. Maddesi şu şekildedir:
Kişisel verilerin korunması
MADDE 10 – (1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı:
- a) Bu Kanun çerçevesinde yapmış olduğu işlemler nedeniyle elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumludur.
- b) Kişisel verileri ilgili kişinin onayı olmaksızın üçüncü kişilere iletemez ve başka amaçlarla kullanamaz.
İlgili madde uyarınca Elektronik Ticaret Hizmet Sağlayıcısının, elektronik ticaret faaliyetleri kapsamında elde etmiş olduğu kişisel verileri koruması ve ilgili kişinin açık rızası olmaksızın bu verileri başka amaçlarla kullanmaması ya da üçüncü kişilere aktarmaması gerekmektedir. Söz konusu madde ile getirilen sorumluluğun amacının elektronik ticarete olan güvenin tesis edilmesi olduğu söylenebilecektir[11]. Bu kapsamda kişisel verileri korunacak kişinin, hizmet sağlayıcı ve aracı hizmet sağlayıcılar ile arasında bir sözleşme ilişkisinin bulunması şart olmayıp, tüketicinin ya da herhangi bir şekilde elektronik ortama kişisel verisi girilmiş olan herhangi bir kişinin kişisel verisinin korunması gerekecektir[12].
ETDHK’nın yanı sıra Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik[13] de kişisel verilerin korunması konusunda bir başka emredici hükmü barındırmaktadır. Söz konusu yönetmeliğin “Kişisel “Verilerin Korunması” başlıklı 10. maddesi şu şekildedir:
“(1) Hizmet sağlayıcı ve aracı hizmet sağlayıcı, bu Yönetmelik çerçevesinde yaptığı işlemler ve sunduğu hizmetler nedeniyle elde ettiği kişisel verilerin, 23.2.2006 tarihli ve 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu ve diğer ilgili mevzuat hükümleri saklı kalmak kaydıyla muhafazasından ve hukuka aykırı olarak bunlara erişilmesini ve işlenmesini önlemek amacıyla gerekli tedbirlerin alınmasından sorumludur.
(2) Kişisel veriler, ilgili kişinin açık irade beyanını içerecek şekilde önceden alınan onayı olmaksızın üçüncü kişilerle paylaşılamaz, işlenemez ve başka amaçlarla kullanılamaz.”
Gerek ETDHK, gerekse de bu kanun kapsamında çıkarılan yönetmelik, elektronik ticaret faaliyetleri esnasında toplanan kişisel verilere ilişkin detaylara yer vermediğinden, bu noktada 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu (“KVKK”) esas almak ve KVKK’da hüküm altına alınan veri işleme esas ve usullerine riayet etmek gerekecektir.
B. Ödeme Bilgilerinin Korunması
Elektronik ticaret faaliyetleri esnasında tüketici mal veya hizmeti elektronik ortamda satın almakta olduğundan, aynı şekilde satıcıya yapılacak mal veya hizmet bedeli ödemesinin de elektronik ortamda gerçekleştirilmesi gerekmektedir. Hal böyle olunca tüketiciler, kredi kartı, banka kartı ve hesap bilgileri gibi ödeme aracı bilgilerini de paylaşmaktadır. Söz konusu ödeme bilgileri de KVKK kapsamında kişisel veri olarak kabul edildiğinden, diğer tüm kişisel verilere uygulanması gereken koruyucu tedbirlerin ödeme bilgilerine de uygulanması esastır. Söz konusu verilere ilişkin genel korumanın yanı sıra 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu’nda da özel bir düzenleme bulunmaktadır[14]. Söz konusu kanunun “Bilgilerin Saklanması” başlıklı 23. maddesinde üye işyerleri tarafından elde edilen ödeme bilgilerinin, veri sahiplerinin rızası olmadan üçüncü kişilerle paylaşılamayacağı, çoğaltılamayacağı ve saklanamayacağı hüküm altına alınmaktadır. Öte yandan hükmün devamında ise söz konusu ödeme bilgilerinin korunması konusunda üye iş yerleri ile anlaşma yapan bankalar ile sair kuruluşlara gözetim yükümlülüğü getirilmektedir[15].
C. Profilleme
Elektronik ticaret faaliyetlerinde toplanan kişisel veriler, tüketicilerin ve/veya elektronik ticaret sitesi kullanıcılarının tercihlerinin ve eğilimlerinin belirlenmesi ve bu yönde ticari faaliyetlere girilmesi açısından şirketler nezdinde büyük öneme sahiptir. Bu kapsamda tüketici/kullanıcı profilleri; tüketicilerin/kullanıcıların, elektronik ortamda yaptıkları işlemlerin tespit ve sonrasında analiz edilmesini takiben her bir tüketici/kullanıcı özelinde oluşturulan alışveriş tercihi, kişisel alışkanlık ve eğilimi yansıtan kişi profilleridir[16].
Profilleme işleminin hammaddesi olan veriler ise bu amaca hizmet eden çerezler sayesinde elde edilmektedir. Çerezler bir internet sitesi tarafından tüketici/kullanıcı cihazında oluşturulan ve isim-değer formatında veri barındıran küçük metin dosyalarıdır. Çerezler, ziyaret edilen internet sitesinin tüketici/kullanıcı cihazında bilgi saklamasını ve bu bilgileri sonraki ziyaretler sırasında kullanmasını mümkün kılmaktadır. Çerezler günümüzde, internet teknolojilerinin önemli bir parçası haline gelmiştir ve temel işlevleri çevrimiçi tüketici/kullanıcının tercihlerinin hatırlanması ve bağlantı sırasında cihazın tanınması olup, neredeyse her internet sitesinde çerez kullanımı söz konusudur.
Çerezler aracılığıyla toplanan veriler, analiz edildikten sonra şirketler tarafından yürütülen pazarlama faaliyetlerine öncülük etmektedir. Örneğin, tüketicinin/kullanıcının kişisel tercihleri ve alışveriş eğilimleri göz önünde bulundurularak bahsi geçen tüketiciye/kullanıcıya en uygun reklamın gönderilmesi çerez kullanımı ve profillemenin bir örneğidir.
Her ne kadar bir internet sitesi tarafından oluşturulan çerezlerin siteye erişim için kullanılan internet tarayıcısı tarafından saklanmakta olduğu ve çerezlerin tüketiciye/kullanıcıya ait isim, cinsiyet veya adres gibi kişisel verileri içermediği belirtilmekte olsa da gelişen teknoloji ile birlikte ilgili kişilerin kolaylıkla saptanabileceği ihtimali tüketiciler nezdinde oluşan güven sorununun bir başka örneğidir[17]. Nitekim birçok tüketici/kullanıcı, internet taramasına konu olan bir mal ya da hizmet için başkaca sitelerde reklamlarla karşılaşması sebebiyle tedirgin olabilmekte ve kişisel verilerinin güvende olup olmadığından endişe edebilmektedir. Bu kapsamda, ETDHK’nın 10. Maddesinde hüküm altına alınan hizmet sağlayıcılar ve aracı hizmet sağlayıcıların kişisel verilerin korunması kapsamındaki sorumlulukları muhakkak ki çerezleri, bir başka deyişle profilleme amacıyla elde edilen verileri de kapsamalıdır[18]. Nitekim Avrupa Birliği Adalet Divanı da çerezleri kişisel veri kategorisinde değerlendirmektedir[19].
D. İleti Yönetim Sistemi (İYS)
Elektronik ticaret faaliyetlerinin desteklenmesi ve geliştirilmesi amacıyla birçok Elektronik Ticaret Hizmet Sağlayıcısı tarafından alıcılara yönelik ticari elektronik ileti gönderimi yapılmaktadır. Mevzuatımızda, ticari elektronik iletilere ilişkin ETDHK ve bu kanunun ilgili maddelerine dayanılarak çıkarılan Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik kapsamında çeşitli düzenlemeler yapılmıştır. Bu kapsamda Yönetmelik uyarınca ticari elektronik ileti “Telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletileri” olarak tanımlanmaktadır.
Bazı istisnalar dışında, kural olarak Elektronik Ticaret Hizmet Sağlayıcıları, mal ve hizmetlerin tanıtılması, pazarlama, işletme tanıtımı ya da kutlama ve temenni gibi içeriklerle tanınırlığını artırmak amacıyla alıcılara ticari elektronik ileti göndermek için alıcılardan önceden onay almalıdır. Fakat günlük hayatta ise birçok Elektronik Ticaret Hizmet Sağlayıcısı’nın alıcıların rızası olmaksızın ticari elektronik ileti gönderimi yapması sebebiyle uyuşmazlıklar meydana gelmektedir. Her ne kadar mevzuatta açıkça rızaya ilişkin düzenlemeler bulunmakta olsa da, uygulamada yaşanan bu belirsizlik ve uyuşmazlıkların çözümü için 4 Ocak 2020 tarihli Resmi Gazete’de Ticari İletiler ve Ticari Elektronik İletiler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik yayımlanmış, Ticari Elektronik İleti Yönetim Sistemi (“İYS”) adı verilen bir sistemin kurulması kararlaştırılmıştır.
Getirilen bu yeni sistem sayesinde Türkiye’de bulunan alıcılara ticari elektronik ileti göndermek isteyen gerçek ya da tüzel kişilerin İYS’ye kayıt olarak onaylı alıcı listelerini sisteme yüklemeleri gerekmektedir. Böylelikle alıcılar her zaman İYS üzerinden ticari elektronik ileti gönderimi için vermiş oldukları onayları görüntüleyebilecek, diledikleri zaman onaylarını geri çekebilecek, izinsiz gönderimleri şikâyet edebilecek; hizmet sağlayıcılar ise arama, mesaj ve e-posta gibi farklı türden ticari elektronik iletilere ilişkin alıcılardan almış oldukları onayları sistem üzerinde saklayıp yönetebilecektir.
IV. Sonuç
Gerek tüm dünyayı kasıp kavuran COVID-19 pandemisi gerekse de durmak bilmeyen bir hızla gelişen teknoloji sebebiyle elektronik ticaretin dünyamızdaki önemi ve hacmi önemli ölçüde artmıştır. İnsanlar evlerinden çıkmadan sanal ortamda tüm ihtiyaçlarını çok kısa süre içerisinde karşılayabilmekte, bu sayede sanal ortamda tüketicilere ait birçok kişisel veri işlenmektedir. Söz konusu kişisel veriler olduğunda ise bireylerin hassasiyeti fazlalaşmakta, kişisel verilerin güvenliğinin sağlanabilmesi için harcanan gayret ve çaba artmaktadır. Bu kapsamda fazlaca kişisel veri işleme faaliyetini içerisinde barındıran elektronik ticaret faaliyetlerinin yürütülmesi esnasında da tüketicilere ait kişisel verilerin gizliliğinin sağlanması en önemli husus haline gelmektedir. Her ne kadar ilgili mevzuat çerçevesinde yukarıda da açıklandığı üzere tüketici gizliliğinin sağlanması amacıyla bazı düzenlemelere yer verilmekte ise de sanal dünyanın kapalı bir kutu olması ve kötü niyetli kişilerin korsan yazılımlar, virüsler vb. araçlar ile sürekli olarak tüketicilerin kişisel verilerini hedef alması sebepleriyle elektronik ticaret faaliyetleri devam ettiği sürece tüketici gizliliğinin tam anlamıyla sağlanıp sağlanmadığı her zaman tartışma konusu olmaya devam edecektir.
Aralık 2021
[1] Halil Elibol, Burcu Kesici; “Çağdaş İşletmecilik Açısından Elektronik Ticaret,” Selçuk Üniversitesi Sosyal Bilimler Enstitüsü Dergisi, No: 11, 2014, s.306.
[2] Engin Yılmaz, İbrahim Sarper Karakadılar; “Türkiye’deki Elektronik Ticaret Uygulamalarına Müşteri Gözenden Bakış ve İyileştirme Önerileri,” İstanbul Gelişim Üniversitesi Sosyal Bilimler Dergisi 6, No: 1, 2019, s. 54.
[3] Esra Hamamcıoğlu, “Elektronik Ticaretin Hukuksal Boyutu,” Kocaeli Üniversitesi Sosyal Bilimler Dergisi, No: 35, 2018, s. 45.
[4] https://www.resmigazete.gov.tr/eskiler/2015/08/20150826-10.htm “R.G. Yayım tarihi: 26.08.2015”
[5] https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=20914&MevzuatTur=7&MevzuatTertip=5 “R.G. Yayım tarihi: 15.07.2015”
[6] Ömer Faruk Kuntoğlu, “Elektronik Ticarette Kişisel Verilerin Korunması”, Bilişim Hukuku Dergisi, 2021, Sayı: 1, s. 204
[7] Hamamcıoğlu, “a.g.e” s. 46.
[8] Hamamcıoğlu, “a.g.e” s. 44.
[9] Merih Taşkaya, Ömür Talay; “Dijital Gözetimin Pazarlama amaçlı araçları: Çerezler ve çerez kullanımında açık rıza”, Akdeniz Üniversitesi İletişim Fakültesi Dergisi, No: 31, 2019, s. 362.
[10] Muammer Ketizmen, Aslıhan Kart, “Kişisel Veri ve Rekabet hukuku kapsamında Big Data”, Kişisel Verileri Koruma Dergisi, Cilt: 1 Sayı: 1, 2019, s. 66.
[11] TBMM, “Elektronik Ticaretin Düzenlenmesi Hakkında Kanun Tasarısı”, s. 11.
[12] Harun Demirbaş, “6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun Kapsamında Hizmet Sağlayıcıları ve Aracı Hizmet Sağlayıcılarının Yükümlülükleri”, Ankara, Seçkin Yayıncılık, 2015, s. 64.
[13] https://www.resmigazete.gov.tr/eskiler/2015/08/20150826-10.htm “R.G. Yayım tarihi: 26.08.2015
[14] Demirbaş, “a.g.e.” s. 68; Kuntoğlu, “a.g.e.”, s. 209.
[15] Demirbaş, “a.g.e.” s. 69-70.
[16] Wiedmann, Klaus-Peter & Buxel, H & Walsh, G.; “Customer profiling in e-commerce: Methodological aspects and challenges”, The Journal of Database Marketing, Volume 9, s 170. Erişim tarihi: 25.08.2021, Erişim adresi: https://www.researchgate.net/publication/233567086_Customer_profiling_in_ecommerce_Methodological_aspects_and_challenges
[17] Yıldırım Keser, “Tüketicinin Kişisel Verisinin İşlenmesinde Açık Rıza”, Selçuk Üniversitesi Hukuk Fakültesi Dergisi, No: 28, 2020, s. 1211.
[18] Demirbaş, “a.g.e.” s. 70-71.
[19] Keser, “a.g.e.” s. 1210.
İlgili Kişiler
Kerem Arıç
Ortak
Abdurrahim Alınay
Avukat
Bu makale, makalenin yazım tarihi itibarıyla yürürlükte olan mevzuat dikkate alınarak Yazıcı Avukatlık Ortaklığı tarafından hazırlanmıştır. Her bir olaydaki maddi vakalar ve olay özellikleri ile bunların uygulama ve sonuçları farklı olacağından, bu makale yalnızca bilgilendirme amaçlı olarak hazırlanmış olup, bir hukuki görüş veya öneri teşkil etmez ve bu şekilde yorumlanamaz.