E-Ticaret Sitelerinde Müşteri Verileri ve KVKK Yükümlülükleri
Müşteri verileri, modern e-ticaret ekosisteminin en kritik girdilerinden biridir. Doğru kurgulanmış bir veri tabanı ve etkili veri yönetimi; kişiselleştirilmiş kampanyalar, daha akıcı bir alışveriş deneyimi ve artan mağaza satışları anlamına gelir. Ancak bu avantajlar, bilgi güvenliği ve müşteri mahremiyeti açısından son derece hassas bir dengeyi de beraberinde getirir.
Türkiye’de her gün milyonlarca kişi online alışveriş yapıyor, önemli bir bölümü haftada birden fazla işlem gerçekleştiriyor. İnternet öncesi dönemde mümkün olmayan bu ölçek, e-ticaret şirketlerine büyük bir iş hacmi sunarken, aynı zamanda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) başta olmak üzere pek çok mevzuata uyum zorunluluğu getiriyor. E-ticaret siteleri, müşterilerinin kişisel verilerini toplamaya başladıkları anda veri sorumlusu sıfatını kazanıyor ve ciddi hukuki sorumluluklar üstleniyor.
E-ticaret şirketleri, web siteleri üzerinden müşterilerine ait kişisel verileri toplamaya başladıkları
andan itibaren KVKK kapsamında veri sorumlusu olarak kabul edilir.
Temel yükümlülükler: Veri güvenliği, aydınlatma metni, açık rıza, gizlilik ve çerez politikası,
VERBİS kaydı ve ilgili kişi başvurularının yönetimi.
Riskler: Yasal zorunlulukların ihlali; idari para cezası, itibar kaybı ve ağır hukuki yaptırımlara
(para cezasından hapis cezasına kadar) yol açabilir.
Bu rehber; Türkiye’de e-ticaret faaliyeti yürüten şirketlerin, müşteri verilerini KVKK’ya uygun olarak nasıl işlemesi gerektiğini ve veri sorumlusu olarak hangi somut adımları atmak zorunda olduğunu uygulamaya dönük şekilde açıklar.
1. E-Ticarette Müşteri Verileri ve KVKK İlişkisi
E-ticaret faaliyetlerinin merkezinde müşteri verileri yer alır. Doğru segmente edilmiş müşteri verileri, kişiselleştirilmiş kampanyalar, alışveriş sepetini terk eden kullanıcıya özel hatırlatma e-postaları, kullanıcı davranışına göre ürün önerileri gibi pek çok pazarlama ve satış fonksiyonunun temelini oluşturur.
Ancak veri tabanının doğru yönetimi yalnızca satışları artırmak için değil, aynı zamanda güvenlik ve müşteri güveni inşası açısından da kritik önemdedir. Milyonlarca kullanıcının her gün ve hatta haftada birden fazla online alışveriş yaptığı bir ortamda, e-ticaret sitelerinin veri sorumlusu olarak hukuka uygun veri işleme yükümlülüklerini yerine getirmesi kaçınılmaz bir gerekliliktir.
KVKK uyarınca, web sitesi üzerinden yapılan tüm kişisel veri işleme faaliyetlerinin hukuka aykırı olmaması gerekmektedir. E-ticaret sitesi sahipleri, elde ettikleri kişisel verilerin saklanmasından ve güvenliğinden açıkça sorumlu tutulmuştur. Kullanıcıya ait kişisel verilerin toplanmaya başlamasıyla birlikte e-ticaret sitesi, “veri sorumlusu” olarak değerlendirilir ve Kanun’da tanımlanan tüm yükümlülüklerin muhatabı haline gelir.
E-Ticaret Şirketleri İçin Neden Bu Kadar Kritik?
KVKK’ya uyum, e-ticaret şirketleri açısından yalnızca bir “uyum projesi” değil, doğrudan iş sürekliliği ve marka itibarı ile ilgili bir zorunluluktur. Zira:
- Kişisel verilerin hukuka aykırı işlenmesi, yüksek tutarlı idari para cezalarına ve bazı ağır ihlallerde cezai sorumluluğa yol açabilir.
- Müşteri verilerinin sızdırılması, itibar kaybı, sosyal medyada olumsuz algı ve uzun vadeli güven sorunu doğurur.
- Yatırım ve iş ortaklıkları süreçlerinde, KVKK uyum düzeyi doğrudan denetim konusu haline gelmektedir.
Bu nedenle e-ticaret şirketlerinin, veri işleme süreçlerini stratejik bir bakış açısıyla ele alması ve KVKK ile diğer ilgili mevzuata uyumunu kurumsal bir politika haline getirmesi gerekmektedir.
2. E-Ticaret Sitelerinde Hangi Kişisel Veriler İşleniyor?
Günümüzde internet ortamında “ayak izi bırakmadan” dolaşmak neredeyse imkânsız hale gelmiştir. E-ticaret sitesi kullanıcıları, herhangi bir işlem yapmasalar dahi siteyi ziyaret ettikleri anda belirli veriler işlenmeye başlar. Bu veriler hem aktif olarak (formlar, üyelikler) hem de pasif olarak (çerezler, loglar) elde edilir.
Aktif Olarak Toplanan Veriler
- Üyelik ve hesap oluşturma sürecinde alınan kimlik ve iletişim bilgileri,
- Sipariş ve fatura bilgileri, teslimat adresi, fatura adresi,
- Ödeme yöntemine ilişkin gerekli bilgiler (çoğunlukla ödeme hizmet sağlayıcılar üzerinden),
- Müşteri hizmetleri, çağrı merkezi ve destek talepleri esnasında paylaşılan veriler,
- Kampanya, bülten, SMS ve e-posta pazarlama izinleri kapsamında toplanan izin kayıtları.
Çerezler ve Davranışsal Veriler
Kullanıcı, e-ticaret sitesine giriş yaptığında herhangi bir form doldurmasa bile; çerezler (cookies) aracılığıyla aşağıdaki türde veriler işlenebilir:
- Görüntülenen sayfa sayısı, ziyaret süresi, tıklanan alanlar,
- IP adresi, yaklaşık lokasyon bilgisi, tarayıcı ve cihaz bilgileri,
- Siteye giriş zamanı, çıkış zamanı, yönlendiren sayfa (referrer) bilgisi,
- Tekrar ziyaretlerde kullanıcı deneyimini iyileştirmeye yönelik tercihler.
Bu verilerin önemli bir kısmı, tek başına ya da başka verilerle eşleştirildiğinde “kimliği belirli veya belirlenebilir gerçek kişi” ile ilişkilendirilebilir durumdadır ve bu nedenle KVKK anlamında kişisel veri niteliği taşır. Dolayısıyla çerezler vasıtasıyla toplanan veriler açısından da kullanıcıların aydınlatılması ve gerekli hallerde açık rızalarının alınması hukuki bir zorunluluktur.
3. KVKK ve İlgili Mevzuat: E-Ticaret Açısından Veri Sorumlusu Kimdir?
E-ticaret şirketlerinin yükümlülüklerinin kaynağında, başta 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) olmak üzere, elektronik ticarete ilişkin çeşitli mevzuat hükümleri bulunmaktadır. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’dan sonra yürürlüğe giren KVKK, kişisel verileri işleyen gerçek ve tüzel kişilere kapsamlı yükümlülükler getirmiştir.
KVKK’da Veri Sorumlusu Tanımı
KVKK’nın 3. maddesi uyarınca veri sorumlusu; “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlanmaktadır. Bu çerçevede:
- Elektronik ticaret faaliyeti yürüten hizmet sağlayıcı e-ticaret şirketi, KVKK kapsamında veri sorumlusu konumundadır.
- E-ticaret sitesi, kullanıcıya ait kişisel verileri elde eden, kaydeden, depolayan, muhafaza eden, gerektiğinde değiştiren veya üçüncü kişilere aktaran ana platformdur.
KVKK’ya göre “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veri olarak kabul edilir. E-ticaret şirketi ise bu verileri; site altyapısı, CRM, pazarlama otomasyon araçları, lojistik entegrasyonları ve ödeme sistemleri üzerinden işlediği için veri sorumlusu sıfatını taşır.
Veri İşleme Faaliyetlerinin Kapsamı
E-ticaret şirketi, veri sorumlusu sıfatıyla müşteriye ait kişisel verileri:
- Toplayabilir ve çeşitli sistemlere kaydedebilir,
- Sunucularında veya bulut ortamında depolayabilir,
- İş süreçlerine göre güncelleyebilir, değiştirebilir veya sınıflandırabilir,
- İş ortakları, tedarikçiler, kargo firmaları, ödeme kuruluşları gibi alıcı gruplarına aktarabilir.
Tüm bu işlemler KVKK anlamında birer “kişisel veri işleme faaliyeti” olup, ilgili işleme şartlarından birine dayanmadığı sürece hukuka aykırı kabul edilir.
4. E-Ticaret Şirketlerinin KVKK ve Diğer Mevzuat Kapsamındaki Yükümlülükleri
KVKK, veri sahiplerinin (müşterilerin) haklarını korumak ve kişisel verilerin hukuka aykırı işlenmesini önlemek
amacıyla veri sorumluları için bir dizi
E-ticaret şirketlerinin KVKK çerçevesindeki başlıca yükümlülüklerini özetlemek gerekirse:
- Veri güvenliğine ilişkin yükümlülükler (KVKK m.12)
- Aydınlatma yükümlülüğü (KVKK m.10 ve ilgili Tebliğ)
- Açık rıza alma yükümlülüğü (KVKK m.5 ve m.6 çerçevesinde)
- Gizlilik ve çerez politikası oluşturma ve yayınlama yükümlülüğü
- Veri Sorumluları Sicili’ne (VERBİS) kayıt yükümlülüğü (KVKK m.16)
Bu yükümlülükler, yalnızca teorik bir liste değildir. Kurul kararları ile birlikte değerlendirildiğinde; e-ticaret şirketlerinin müşteri verilerine ilişkin süreçlerini, sözleşmelerini, web site altyapılarını ve pazarlama mekanizmalarını baştan aşağı gözden geçirmelerini gerektiren pratik sonuçlar doğurmaktadır.
5. Veri Güvenliği, Aydınlatma, Açık Rıza, Gizlilik – Çerez Politikası ve VERBİS
E-ticaret şirketlerinin KVKK’ya uyum sürecinde dikkate alması gereken temel başlıklar aşağıda detaylandırılmıştır. Her bir başlık, hem mevzuat hükmünü hem de e-ticaret uygulamalarına yansımasını içerecek şekilde ele alınmalıdır.
5.1. Veri Güvenliğine İlişkin Yükümlülükler (KVKK m.12)
KVKK’nın 12. maddesine göre veri sorumlusu; veri güvenliğine ilişkin yükümlülükleri kapsamında:
- Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
- Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
- Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür.
E-ticaret özelinde bu tedbirler; güvenli sunucu konfigürasyonları, erişim yetkilendirme politikaları, log kayıtları, şifreleme, sızma testleri, çalışanlara yönelik KVKK eğitimleri ve tedarikçi sözleşmelerinde veri işleme koşullarının açıkça düzenlenmesi gibi unsurları kapsamalıdır.
5.2. Aydınlatma Yükümlülüğü (KVKK m.10 ve Tebliğ)
Veri sorumlusunun asli yükümlülüklerinden biri, KVKK’nın 10. maddesinde düzenlenen ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ ile detayları belirlenen aydınlatma yükümlülüğüdür.
KVKK’ya göre, kişisel verileri işlenen ilgili kişiler en az aşağıdaki hususlarda aydınlatılmalıdır:
- Veri sorumlusunun ve varsa temsilcisinin kimliği,
- Kişisel verilerin hangi amaçla işleneceği,
- İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
- Kişisel veri toplamanın yöntemi ve hukuki sebebi,
- KVKK’nın 11. maddesinde sayılan hakları.
Tebliğ’in 5. maddesi, aydınlatmanın; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamda yerine getirilebileceğini düzenler. Ancak aynı Tebliğ uyarınca, aydınlatma yükümlülüğünün yerine getirildiğini ispat külfeti veri sorumlusuna aittir. Bu nedenle e-ticaret sitelerinde aydınlatma metninin; kayıt anında işaretlenen kutu, log kayıtları veya benzeri yöntemlerle ispatlanabilir şekilde sunulması önemlidir.
5.3. Açık Rıza Alma Yükümlülüğü
KVKK’ya göre, kişisel verilerin işlenmesinde kural ilgili kişinin açık rızasının alınmasıdır. Ancak KVKK m.5/2 hükmünde sınırlı sayıda olmak üzere açık rızanın aranmadığı istisnalar düzenlenmiştir.
E-ticaret süreçlerinde genellikle mal veya hizmet satış sözleşmesi kurulduğundan, siparişin gerçekleştirilmesi için zorunlu olan veri işleme faaliyetleri, çoğu zaman açık rıza şartından bağımsız olarak değerlendirilebilir. Bu durumda ilgili işlem, KVKK m.5/2 kapsamında sözleşmenin kurulması veya ifasıyla doğrudan ilgili olma şartına dayanır.
Ancak pazarlama amaçlı ticari elektronik ileti gönderimi, profil çıkarma, davranışsal reklamcılık gibi faaliyetlerde çoğu zaman açık rıza gerekecektir. Burada dikkat edilmesi gereken kritik nokta şudur:
5.4. Gizlilik ve Çerez Politikası Yükümlülükleri
E-ticaret şirketlerinin web sitesinde, siteyi kullanan müşterinin hangi tür bilgilerinin alındığı, bu bilgilerin nasıl kullanılacağı ve nasıl korunacağına ilişkin açık ve erişilebilir bir gizlilik politikası oluşturması gerekmektedir. Tüketicilerden bilgiler;
- Üyelik/hesap oluşturma formları üzerinden aktif olarak,
- Çerezler yoluyla pasif olarak
elde edilebilmektedir.
Üyelik sırasında alınan veriler çoğu zaman doğrudan kişiyi tanımlayabilecek niteliktedir. Çerezler yöntemiyle toplanan veriler ise, IP adresi, lokasyon bilgisi, ziyaret zamanı ve sayfa görüntüleme bilgileri gibi daha çok davranışsal veriler içerir; ancak bu veriler de kişisel veri statüsüne girebilir.
E-ticaret şirketleri, gizlilik ve çerez politikalarını farklı yöntemlerle sitelerine yansıtabilir; çerez politikası ayrı bir metin olarak ya da genel aydınlatma metni ile birlikte hazırlanabilir. Önemli olan; kullanıcıların çerez kategorileri, amaçları ve tercihleri konusunda şeffaf biçimde bilgilendirilmesi ve tercihlerinin yönetilebilir olmasıdır.
5.5. Veri Sorumluları Sicili’ne (VERBİS) Kayıt Yükümlülüğü
KVKK’nın 16. maddesi uyarınca, veri sorumluları sicili; Kişisel Verileri Koruma Kurulu’nun denetiminde aleni olarak tutulan, sicile kayıt yükümlülüğü bulunan veri sorumlularının veri işlemeye başlamadan önce kaydolmakla yükümlü olduğu bir sistemdir. Veri sorumlusu olan e-ticaret şirketleri de, Kurul tarafından belirlenen istisnalar kapsamında değillerse, VERBİS’e kayıt yaptırmakla yükümlüdür.
VERBİS kaydı; veri kategorileri, alıcı grupları, saklama süreleri, veri konusu kişi grupları ve teknik/idari tedbirler gibi KVKK uyumunun omurgasını oluşturan bilgilerin sistematik hale getirilmesi açısından da önemli bir fırsat sunar.
6. Sık Sorulan Sorular (SSS)
E-ticaret sitesi KVKK’ya göre veri sorumlusu mudur?
Evet. KVKK’nın 3. maddesi uyarınca, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi veri sorumlusu olarak tanımlanır. E-ticaret sitesi, kullanıcıya ait kişisel verileri topladığı ve işlediği anda veri sorumlusu sıfatını kazanır.
Hangi bilgiler e-ticaret açısından “kişisel veri” sayılır?
KVKK’ya göre “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” kişisel veridir. E-ticaret özelinde; isim, soyisim, TCKN, adres, telefon, e-posta, IP adresi, davranışsal veriler, sipariş geçmişi gibi pek çok bilgi bu kapsamda değerlendirilir.
E-ticaret işlemleri için her zaman açık rıza almak gerekir mi?
Hayır. KVKK m.5/2 uyarınca, kişisel verilerin işlenmesi bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili ise ayrıca açık rıza aranmayabilir. Örneğin, siparişin alınması ve teslimatın yapılması için gereken zorunlu veriler bu kapsamdadır. Ancak pazarlama amaçlı iletişim, profil çıkarma ve bazı çerez kullanımları gibi faaliyetlerde genellikle açık rıza gerekecektir.
Aydınlatma metni ile açık rıza onayı aynı şey midir?
Hayır. Aydınlatma yükümlülüğü, ilgili kişiye veri işleme faaliyetleri hakkında bilgi verilmesini ifade eder; açık rıza ise bu işleme faaliyetine özgür iradeyle onay verilmesidir. Tebliğ uyarınca, aydınlatma ve açık rıza süreçleri birbirinden ayrı kurgulanmalı, tek bir onay kutusu ile hem aydınlatmanın hem de açık rızanın alındığı tasarımlardan kaçınılmalıdır.
Çerezler (cookies) KVKK kapsamında kişisel veri midir?
Çerezler, kullanıcıya ilişkin IP adresi, lokasyon, ziyaret zamanı, tıklama geçmişi gibi bilgileri barındırabilir. Bu veriler tek başına ya da başka verilerle eşleştirildiğinde ilgili kişiyi belirlenebilir kılıyorsa, KVKK kapsamında kişisel veri olarak kabul edilir. Bu nedenle çerez kullanımına ilişkin aydınlatma yapılmalı, gerekli hallerde açık rıza alınmalıdır.
VERBİS kaydı tüm e-ticaret şirketleri için zorunlu mudur?
KVKK m.16 uyarınca veri sorumluları, Kurul tarafından belirlenen istisnalar dışında VERBİS’e kayıt yaptırmakla yükümlüdür. E-ticaret şirketlerinin, çalışan sayısı, bilanço büyüklüğü ve işledikleri veri kategorileri dikkate alınarak istisna kapsamında olup olmadıkları değerlendirilmelidir. İstisna kapsamında değillerse, veri işlemeye başlamadan önce VERBİS kaydını tamamlamaları gerekir.
