E-Ticaret Yapan Şirketler İçin Kişisel Verilerin Korunması: Açık Rıza, Çerez ve Dijital Reklamların Hukuki Çerçevesi

Giriş

E-ticaret yapan şirketler açısından kişisel verilerin korunması, yalnızca mevzuata uyum meselesi değil; aynı zamanda kurumsal risk yönetiminin ve sürdürülebilir ticaretin temel unsurlarından biridir. KVKK kapsamında açık rıza mekanizmalarının doğru kurgulanmaması, çerez uygulamalarının mevzuata aykırı yürütülmesi veya dijital reklam süreçlerinde sınırların aşılması; şirketleri yüksek idari para cezaları, denetimler ve itibar kaybı riskiyle karşı karşıya bırakabilmektedir. Bu nedenle KVKK uyumu, metin hazırlamakla sınırlı olmayan; şirketin tüm e-ticaret süreçlerini kapsayan bütüncül bir danışmanlık yaklaşımı gerektirir.

Uygulamada pek çok şirkette, KVKK sürecinin yalnızca gizlilik politikası veya çerez metni hazırlanarak tamamlandığı düşünülmektedir. Oysa e-ticaret faaliyetlerinde kişisel veriler; üyelikten siparişe, pazarlamadan müşteri analizine kadar birçok aşamada işlenmekte ve her bir süreç ayrı hukuki değerlendirme gerektirmektedir. Açık rıza gerekip gerekmediğinin doğru tespiti, çerezlerin teknik yapısının hukuki çerçeveyle uyumlu hale getirilmesi ve hedefli reklam faaliyetlerinin sınırlarının netleştirilmesi, ancak şirket özelinde yapılacak kapsamlı bir KVKK değerlendirmesiyle mümkün olacaktır.

Bu yazıda ele alınan başlıklar, e-ticaret şirketlerinin KVKK kapsamında en sık riskle karşılaştığı alanların yalnızca özetidir. Şirketlerin faaliyet yapısına, kullandığı yazılımlara ve pazarlama stratejilerine göre kişisel veri işleme süreçlerinin ayrıca değerlendirilmesi gerekmektedir. Şirketlerin KVKK uyumunun sağlanması; cezai riskleri azaltmanın yanı sıra, müşteri güvenini güçlendiren ve kurumsal itibarı destekleyen stratejik bir adım olacaktır.

1. Açık Rıza ve Aydınlatma İlişkisi

Açık rıza, KVKK madde 3’te “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan onay” şeklinde tanımlanmıştır. Yani bir kişinin kendisine ait verilerin işlenmesine onay vermesi için, öncelikle neye onay verdiğini tam olarak bilmesi ve kararını özgür iradesiyle vermesi gerekir. Bu noktada KVKK madde 10’da düzenlenen aydınlatma yükümlülüğü devreye girer. Veri sorumlusu, kişisel verileri toplarken ilgili kişiyi; kendi kimliği, verilerin hangi amaçlarla işleneceği, aktarılacak alıcı grupları, hukuki dayanaklar ve ilgili kişinin hakları konusunda açık ve anlaşılır şekilde bilgilendirmek zorundadır. Açık rıza alınması gerekiyorsa, ancak bu bilgilendirme yapıldıktan sonra kişinin rızası geçerli hale gelebilir. Kısacası aydınlatma metni (gizlilik bildirimi), veri işlemenin şeffaflığını sağlarken; açık rıza metni ise gerektiğinde kişinin onayını açıkça beyan ettiği ayrı bir izin mekanizmasıdır.

E-ticaret şirketleri çoğunlukla üyelik oluşturma, sipariş ve pazarlama süreçlerinde kullanıcıların onaylarına ihtiyaç duyar. Burada dikkat edilmesi gereken, açık rızanın diğer hukuki işleme şartları ile karıştırılmamasıdır. KVKK, rıza dışında da bazı hallerde verilerin rıza olmaksızın işlenmesine izin vermektedir. Eğer veri işleme faaliyetiniz bu istisnalardan birine dayanıyorsa, ayrıca açık rıza almaya gerek olmayabilir.

Aydınlatma yükümlülüğü, her halükârda veri sorumlularının yerine getirmesi gereken bir zorunluluktur. Kullanıcıya sunulan gizlilik politikalarının anlaşılır ve kapsamlı olması, verilerin kim tarafından hangi amaçlarla işlendiğini net şekilde açıklaması gerekir. Açık rıza, her zaman bilgilendirmeye dayanmalı; aydınlatma da açık rıza aransın ya da aranmasın her veri işleme faaliyetinde yapılmalıdır.

Son olarak, açık rızanın özgür iradeyle verilmesi konusu e-ticaret uygulamalarında özellikle önemlidir. KVKK ve Kurul kararlarına göre, bir hizmetin sunulmasını açık rıza şartına bağlamak hukuka aykırıdır. Örneğin, bir e-ticaret sitesinin üyelik kaydı esnasında kullanıcıya “tüm koşulları ve KVKK metnini okudum, onaylıyorum” şeklinde tek bir onay kutusu sunup bunun içine pazarlama iznini de dâhil etmesi doğru değildir. Kullanıcı, temel hizmeti (alışveriş yapmayı) alabilmek için zorunlu olmayan bir veri işleme faaliyetine (örneğin reklam amaçlı profil çıkarma veya üçüncü taraflarla veri paylaşımı) mecbur bırakılmamalıdır. Açık rıza istenirken, mümkün olduğunca ayrı ve spesifik onaylar alınmalı; kullanıcının tercih hakkı korunmalıdır. Örneğin pazarlama iletişimi izni, üyelik sözleşmesinden ayrı bir onay kutusuyla sorulmalı; kullanıcı reddetse bile temel hizmetten faydalanabilmelidir. Bu prensip, kullanıcı rızasının gerçekten özgürce verildiğinin bir göstergesi olacaktır.

2. Çerez Politikaları

E-ticaret sitelerinde çerezler (cookies) yaygın olarak kullanılmakta olup, bu çerezler aracılığıyla toplanan veriler KVKK kapsamında kişisel veri teşkil edebilmektedir. Çerezler, bir kullanıcının web sitesindeki tercihlerinin hatırlanması, sepet bilgilerinin saklanması gibi işlevlerin yanı sıra ziyaretçilerin site içi hareketlerini izleyerek analiz ve reklam amaçlı veriler elde edilmesine de yarar sağlamaktadır. KVKK uyarınca, çerezlerle kişisel veri işleyen web sitesi işletmeleri, bu işlemleri kanuna uygun hale getirmek için çerez politikaları ve bildirimlerine büyük önem vermelidir.

Öncelikle KVKK Kurulu’nun Haziran 2022’de yayımladığı “Çerez Uygulamaları Hakkında Rehber” hangi tür çerezler için açık rıza gerektiğine dair yol gösterici ilkeler ortaya koymuştur. Rehbere göre, bir web sitesinin düzgün çalışması için zorunlu olan çerezler (örneğin oturum açma, alışveriş sepeti, güvenlik gibi teknik çerezler) kapsamında ilgili kişinin açık rızasına gerek duyulmayabilir; zira bunlar KVKK madde 5/2’deki sözleşmenin ifası veya veri sorumlusunun meşru menfaati gibi hukuki sebeplere dayanabilmektedir. Nitekim “kesinlikle gerekli çerez” olarak adlandırılan bu tür veriler, kullanıcı tarafından talep edilen hizmetin sunulması için zorunludur ve pazarlama amacıyla kullanılmamaları şartıyla, rıza olmaksızın da işlenebilecek kabul edilmektedir. Buna karşın, işlevsellik, analiz ve özellikle pazarlama/reklam çerezleri zorunlu değildir ve bu çerezler aracılığıyla kişisel veri işlenmesi, kural olarak ilgili kişinin açık rızasına tabi olmalıdır. Kurul rehberi, kullanıcıların davranışlarını izleyerek kişiye özel içerik ve reklam sunan davranışsal reklamcılık çerezlerinin mutlaka açık rızayla kullanılabileceğini açıkça vurgulamıştır. Basitçe söylemek gerekirse, e-ticaret sitesine giren bir ziyaretçinin cihazına, onun tercihlerine göre reklam göstermek amacıyla çerez yerleştirilecekse, bu ziyaretçinin bu amaç için onayının alınması gerekmektedir. Kullanıcının siteye girmiş olması tek başına bu onayı verdiği anlamına gelmez; herhangi bir aktif onay süreci olmaksızın çerez kullanımına rıza varmış gibi hareket edilemeyeceği KVKK tarafından altı çizilen bir kuraldır.

Çerezlerle ilgili uyumun sağlanabilmesi için çerez uyarı bantları ve detaylı çerez politikaları kritik rol oynar. Kullanıcı siteye ilk geldiğinde, zorunlu olmayan çerezler için tercihini soran bir mekanizma (ör. “Kabul Et” ve “Reddet” seçenekleri sunan bir pop-up) bulunması en iyi pratiktir. Çerez tercihleri alınmadan pazarlama veya analitik çerezlerin çalışmaya başlamaması gerekir. Ayrıca sitenin Çerez Politikası sayfası, kullanılan tüm çerezlerin listesini, hangi amaçla kullanıldıklarını, sürelerini ve birinci/üçüncü taraf bilgilerini şeffaf şekilde açıklamalıdır. KVKK Kurulu’na yapılan şikayetlerde, bazı e-ticaret sitelerinin gerçekte kullandıkları çerezlerin sadece bir kısmını politika metinlerinde gösterdiği, üçüncü taraf çerezlerin varlığını veya veri transferi boyutunu tam açıklamadığı tespit edilmiştir. Örneğin, bir platformun çerez politikasında “hedefleme ve analiz çerezleri kullanılmaktadır, ancak hedefli reklam yapılmamaktadır” şeklinde bir ifade yer alırken, kullanıcıların tarayıcılarında aslında reklam amaçlı takip çerezleri aktif bulunabiliyordu. Bu tür eksik veya yanıltıcı bilgilendirmeler, KVKK madde 10’daki aydınlatma yükümlülüğünün ihlali anlamına gelmektedir.

3. Reklam, Retargeting ve Profil Çıkarma Hukuku

E-ticaret sektöründe rekabet üstünlüğü sağlamak için kişiselleştirilmiş reklamlar, retargeting kampanyaları (yeniden hedefleme) ve profil çıkarma teknikleri yoğun biçimde kullanılmaktadır. Bir kullanıcı internetten bir ürün baktığında, sonrasında farklı platformlarda aynı ürüne dair reklamlar görüyorsa bu, retargeting sayesinde olmaktadır. Benzer şekilde, kullanıcıların site üzerindeki gezinme geçmişi ve alışveriş geçmişi analiz edilerek her bir müşteri için bir profil oluşturulmakta; bu profiller doğrultusunda kişiye özel ürün önerileri veya pazarlama stratejileri geliştirilmekte (profil çıkarma) ve hedefli reklamlar gönderilmektedir.

Öncelikle, elektronik ticari iletiler (e-posta, SMS gibi reklam içerikli mesajlar) bakımından 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun gereği ilgili kişiden önceden onay alınması gerektiği zaten özel bir düzenleme olarak bulunmaktadır. Ancak KVKK boyutunda da bir müşterinin kişisel verilerinin pazarlama amaçlı kullanımı, verinin ilk elde ediliş amacından farklı bir amaç olabilir ve bu durumda ilgili kişiye baştan bildirilmeli ve gerekirse açık rızası alınmalıdır. Örneğin, bir e-ticaret sitesine üye olan kişinin e-posta adresi, sipariş bilgilendirmesi için alınmış olabilir; bunu alıp da ileride promosyon mailleri göndermek için kullanmak istiyorsanız, bunu aydınlatma metninde pazarlama amacıyla işleyebileceğinizi belirtmiş olmanız ve mümkünse ayrıca ticari ileti izni (açık rıza) almış olmanız gerekecektir. KVKK madde 5/2’de sayılan hukuki işleme şartları arasında “meşru menfaat” bulunsa da doğrudan pazarlama söz konusu olduğunda Kurul genellikle açık rıza arandığı yönünde kararlar vermektedir.

Retargeting ve profil oluşturma çoğunlukla çerez teknolojileri ve üçüncü taraf reklam ağlarıyla gerçekleştiği için, bu faaliyetler aynı zamanda çerez politikasına ilişkin kurallara tabidir. Örneğin, bir e-ticaret sitesi Google veya Facebook gibi üçüncü taraflara ait izleme piksellerini kullanarak ziyaretçilerinin hareketlerini kaydediyor ve sonra bu platformlar üzerinden reklam gösterimi yapıyorsa, burada hem kullanıcıdan açık rıza alınmalı hem de verilerin bu şekilde paylaşılacağı aydınlatma metninde belirtilmelidir.

Profil çıkarma konusuna gelince, KVKK’da açıkça tanımlanmasa da belirli kişisel verilerin analiz edilip ilgili kişinin tercihleri veya davranışları hakkında çıkarımlar yapılması olarak düşünülebilir. Eğer bu profil çıkarma faaliyetleri otomatik yollarla ve kişinin hukuki haklarını etkileyecek şekilde yapılıyorsa (örneğin tamamen otomatik profilleme ile kredi notu belirlemek gibi), Avrupa GDPR’da olduğu gibi KVKK’da da ayrıca değerlendirilebilir. Her halükârda, e-ticaret bağlamında profil oluşturma genellikle pazarlama amacıyla yapıldığından, ilgili kişinin itiraz hakkı dikkate alınmalıdır. KVKK madde 11, kişiye kendisiyle ilgili olumsuz bir sonucun ortaya çıkmasına itiraz etme hakkı tanır ki bu, profil çıkarma sonucu yapılan sınıflandırmalara itirazı da kapsayabilir. Örneğin bir müşteri, sırf önceki alışverişlerine dayanarak düşük değerli müşteri profiline konup bazı indirimlerden mahrum bırakıldığını düşünürse, bunu öğrenme ve değişmesini talep etme hakkına sahiptir.

Özetle, e-ticaret alanında reklam ve profilleme faaliyetlerinin başarısı için kullanılan her türlü kişisel veri, KVKK’nın genel ilkelerine uygun biçimde ele alınmalıdır. Dürüstlük kuralı, amaçla sınırlılık ve şeffaflık, bu faaliyetlerde kilit prensiplerdir.

Kullanıcılar ne tür verilerinin reklam ve analiz için kullanıldığını bilmeli; isterlerse bu kullanıma son verebilmelidir. Şirketler ise elde ettikleri verileri sadece bildirilen amaçlar için kullanmalı, aksi bir kullanım gerekiyorsa yeni rıza mekanizmaları devreye sokmalı; bu süreci de şirketin faaliyet yapısına uygun, denetlenebilir ve sürdürülebilir bir KVKK uyum modeliyle yönetmelidir.

Saygılarımla.

Av. LL.M. Abdulkadir TAPLAMACI