E-Ticaret Sitelerinde Kişisel Veri Koruması: Neden Daha Kritik?
Teknoloji ve internet alanındaki yenilikler, Covid-19 salgınının ortaya çıkışı ile kurumlarının sayısını fazlalaştırdı. Bu durum da birliklerinde ağlarının yani e-ticaret sayfalarına olan talebin artmasına getirdi.
E-ticaret sayfalarının sayısı teknoloji ve internet alanındaki gelişmelerle her gün artmaktadır. Neredeyse tüm ticaret sitesinde çevrimiçi alışveriş yapabilmek için isim-soyisim, telefon numarası ve adres gibi kişisel bilgilerin bu sitelere girilmesi gerekli hale gelmektedir. Sebebi ticaret sitelerine verilen siparişlerin bu bilgiler olmadan teslim edilememesidir. Girdiğiniz bu bilgiler çerezler aracılığıyla pazarlama ve reklam amaçlı da kullanılabilmektedir.
Kullanıcılar çoğunlukla adres ve iletişim bilgilerinin üçüncü taraflar tarafından çalınmasından ve gizli kullanılmasından endişe etmektedir. Ancak 2016’da yürürlüğe giren KVKK kapsamında şirketlerinin, kullanıcı verileri hakkındaki sorumlulukları açıkça belirtilmiştir. Bundan başkada 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkındaki Kanun’un 10. maddesinde verilerle ilgili açıklamalar bulunmaktadır.
Neden gündemde? Covid-19 sonrası e-ticaret büyüdü; kullanıcı verileri daha fazla işlenmeye başladı.
Hangi veriler? Kimlik/iletişim ve adres bilgileri sipariş teslimi için çoğu zaman zorunludur.
Çerezler: Pazarlama ve reklam amaçlı kullanım, kullanıcı endişelerini artırabilir.
Uyum: E-ticaret şirketleri KVKK ve 6563 sayılı Kanun kapsamında veri güvenliği + şeffaflık yükümlülükleri taşır.
Amaç; hem kullanıcı güvenini artırmak hem de hukuki/operasyonel riskleri yönetilebilir hale getirmektir.
1. E-Ticaret Yönetimi
E-ticaret yönetimi; siparişin alınmasından teslim edilmesine, iade/değişim süreçlerinden müşteri iletişimine kadar uzanan geniş bir operasyonu kapsar. Bu operasyonun sağlıklı yürütülebilmesi için kullanıcıdan bazı kişisel bilgilerin alınması gerekebilir. Örneğin; siparişin teslim edilmesi için adres ve iletişim bilgileri çoğu zaman zorunlu hale gelmektedir.
E-ticaret kurumlar KVKK’daki kişisel verilerin korunması ile ilgili maddelere hem de 6563 Sayılı Kanun’a tabiidir. Bu nedenle e-ticaret şirketlerinin; hem kullanıcıyı doğru bilgilendirmesi (aydınlatma) hem de güvenliği sağlaması (teknik/idarî tedbirler) beklenmektedir.
2. E-Ticarette Hangi Veriler İşlenir? Veri Akışı
Neredeyse tüm ticaret sitesinde çevrimiçi alışveriş yapabilmek için isim-soyisim, telefon numarası ve adres gibi kişisel bilgilerin bu sitelere girilmesi gerekli hale gelmektedir. Bunun yanında e-ticaret süreçleri; üyelik, ödeme, kargo takibi, iade ve müşteri destek adımlarında farklı veri türlerinin işlenmesine yol açabilir.
Yaygın veri türleri ve işleme amaçları (örnek)
| Veri Türü | Örnek | Tipik Amaç | Dikkat Edilmesi Gereken |
|---|---|---|---|
| Kimlik / İletişim | Ad-soyad, telefon, e-posta | Üyelik, bildirim, iletişim | Yetkisiz erişim ve üçüncü taraf paylaşım riskleri |
| Adres | Teslimat / fatura adresi | Ürün teslimi ve iade süreçleri | Adres ifşası ve sosyal mühendislik riski |
| İşlem Kayıtları | Sipariş, iade, kargo durumu | Operasyon yönetimi | Gereksiz uzun saklama süresi riski |
| Çerez / İzleme Verileri | Oturum çerezi, analitik/reklam çerezleri | Sepet, analiz, pazarlama | Şeffaf bilgilendirme + kabul/ret tercihi ihtiyacı |
Üçüncü taraflar ve entegrasyonlar
E-ticaret ekosisteminde veriler; kargo firmaları, ödeme altyapıları, pazarlama/analitik platformları gibi dış servislerle etkileşime girebilir. Kullanıcılar çoğunlukla adres ve iletişim bilgilerinin üçüncü taraflar tarafından çalınmasından ve gizli kullanılmasından endişe etmektedir. Bu nedenle hangi verinin hangi amaçla, hangi taraflarla paylaşıldığı konusu açık ve anlaşılır şekilde yönetilmelidir.
3. KVKK Kapsamında E-Ticaret Şirketlerinin Sorumlulukları
E-ticaret kurumlar KVKK’daki kişisel verilerin korunması ile ilgili maddelere hem de 6563 Sayılı Kanun’a tabiidir. Kısaca ticaret şirketlerinin KVKK kapsamındaki sorumluluklarını özetleyecek olursak;
- Veri Güvenliğine Dair Sorumluluklar
- Aydınlatma Sorumluluğu
- Açık Rıza Alma Sorumluluğu
- Gizlilik ve Çerez Politikası Sorumluluğu
4. Veri Güvenliğine Dair Sorumluluklar
E-ticaret şirketleri KVKK kapsamında kişisel verilerin hukuka aykırı olarak kullanılmasına, erişilmesini önlemek ve verilerin korunmasını sağlamakla sorumludur.
Uygulamada veri güvenliği için sık kullanılan yöntemler
- Erişim kontrolü: Yönetici paneli ve müşteri verilerine erişim, rol bazlı yetkilendirme ile sınırlandırılmalıdır.
- Şifreleme: Veri aktarımı sırasında güvenli bağlantı (örn. HTTPS) sağlanmalı; uygun durumlarda depolama tarafında da şifreleme düşünülmelidir.
- Loglama ve izleme: Şüpheli giriş denemeleri ve kritik işlemler kayıt altına alınarak izlenebilir olmalıdır.
- Güncelleme ve yama: E-ticaret altyapısı ve eklentiler güncel tutulmalı; bilinen açıkların istismar edilmesi önlenmelidir.
- Yedekleme: Veri kaybı ve operasyonel kesintilere karşı düzenli ve kontrol edilen yedekleme yapılmalıdır.
5. Aydınlatma Sorumluluğu
E-ticaret şirketleri KVKK kapsamında:
- Verileri toplayan kişinin varsa bilgilerini,
- Toplanılan kişisel verilerin hangi amaçlarla kullanılacağını,
- İşlenen kişisel verilerin kimlere, hangi amaçlarla aktarılabileceğini, ve
- Kişisel verileri toplamanın yöntem ve hukuki sebebini açıkça belirtmekle sorumludur.
Bilgilendirme (aydınlatma) neden kritik?
Kullanıcı, hangi verisinin neden istendiğini bilmek ister. Şeffaf bir aydınlatma metni; kullanıcı güvenini artırır, yanlış anlaşılmaları azaltır ve veri işleme faaliyetlerinin daha öngörülebilir olmasını sağlar.
6. Açık Rıza Alma Sorumluluğu
E-ticaret sayfasında firmalar veri sahiplerinden, kullanıcılardan bilgilerini kendi istekleriyle verdiklerine dair ‘kabul ediyorum’ ya da ‘kabul etmiyorum’ gibi seçenekler sunarak açık rıza almakla sorumludurlar.
Açık rızanın pratikte doğru kurgulanması
- Seçenek sunulmalı: Kullanıcıya kabul/ret imkanı verilmeli, tek seçenekli dayatmadan kaçınılmalıdır.
- Ayrıştırılmalı: Pazarlama izni ile siparişin tamamlanması gibi zorunlu süreçler birbirine karıştırılmamalıdır.
- Geri alınabilir olmalı: Kullanıcı daha sonra tercihlerini kolayca değiştirebilmelidir.
7. Gizlilik ve Çerez Politikası Sorumluluğu
E-ticaret kurumları, bu ağlarında kullanıcıların bilgilerinin hangi amaçla toplanacağı ve kullanılacağı aydınlatma metni ve gizlilik politikası ile belirtilmek zorundadır. Bunun yanında çerezler yoluyla da toplanılan verilerin amaçlarını belirtmek zorundadır.
Çerez politikasında ne beklenir?
Kullanıcı çerezler hakkında bilgilendirme yaparken, çerezlerin kullanım amaçları ve her çerezin hangi platform tarafından nasıl kullanılacağına dair hususların çerez politikası ile detaylıca ve düzenli şekilde açıklanması beklenmektedir. Bu bilgilendirmenin yanı sıra, ağı ziyaretçileri için çerez politikasını kabul etme veya reddetme seçeneğinin bulunması beklenmektedir.
Örnek: Çerez kategorileri (anlaşılır bir yapı için)
| Kategori | Ne işe yarar? | Örnek kullanım | Beklenen yaklaşım |
|---|---|---|---|
| Zorunlu | Sitenin çalışması için gereklidir | Oturum, sepet | Şeffaf bilgilendirme |
| Fonksiyonel | Tercihleri hatırlar | Dil/ülke seçimi | Bilgilendirme + tercihe bağlı kullanım |
| Analitik | Kullanım istatistiklerini ölçer | Ziyaret sayfası ölçümü | Kabul/ret seçeneği ve açıklama |
| Reklam/Pazarlama | Kişiselleştirilmiş reklam gösterebilir | Remarketing | Açık tercih ve net şeffaflık |
8. Uygulama Kontrol Listesi
Aşağıdaki liste, e-ticaret tarafında KVKK ve çerez süreçlerini daha “yönetilebilir” hale getirmek için pratik bir başlangıç sunar:
- Veri envanteri: Hangi verileri topluyorum, nerede saklıyorum, kim erişiyor?
- Aktarım haritası: Kargo/ödeme/analitik gibi üçüncü taraflara hangi veriler gidiyor?
- Aydınlatma metni: Amaçlar net mi? Kullanıcıya anlaşılır mı?
- Açık rıza: Kabul/ret seçenekleri var mı? Pazarlama izinleri ayrıştırıldı mı?
- Çerez yönetimi: Çerez kategorileri, amaçlar ve sağlayıcılar düzenli şekilde yazıldı mı?
- Güvenlik tedbirleri: Erişim kontrolü, güncelleme, loglama, yedekleme süreçleri işliyor mu?
9. Sık Sorulan Sorular (SSS)
E-ticaret siteleri neden isim, telefon ve adres ister?
Siparişin kullanıcıya teslim edilebilmesi için iletişim ve adres bilgileri çoğu zaman zorunludur. Bu bilgiler olmadan teslimat süreci yönetilemez.
Çerezler neden pazarlama ve reklamla ilişkilidir?
Çerezler, kullanıcı davranışlarını analiz etmek ve pazarlama/reklam hedeflemesi yapmak için kullanılabilir. Bu nedenle amaç ve platform bilgisi şeffaf biçimde açıklanmalıdır.
Kullanıcılar en çok neden endişe eder?
Adres ve iletişim bilgilerinin üçüncü taraflar tarafından çalınması veya gizli kullanılmasından endişe ederler. Bu risk, dolandırıcılık ve istenmeyen iletişim gibi sonuçlara yol açabilir.
Aydınlatma sorumluluğu neyi ifade eder?
Verilerin hangi amaçla toplandığı, kimlere aktarılabileceği ve hukuki sebep/toplama yöntemi gibi temel bilgilerin kullanıcıya açık şekilde sunulmasını ifade eder.
Açık rıza nasıl daha doğru alınır?
Kullanıcıya “kabul ediyorum / kabul etmiyorum” gibi seçenekler sunulmalı; pazarlama izinleri, sipariş zorunluluğu ile karıştırılmamalıdır. Tercihlerin sonradan değiştirilebilir olması da önemlidir.
Çerez politikasında ne tür bilgiler yer almalı?
Çerezlerin amaçları, kullanım süreleri, hangi platform tarafından kullanıldığı ve ziyaretçiye kabul/ret seçeneklerinin nasıl sunulduğu düzenli ve detaylı şekilde açıklanmalıdır.
