E-Ticarette Kişisel Verilerin Korunması
Günümüzde teknolojinin gelişmesiyle birlikte internet kullanımı yaygın bir şekilde hayatımıza girmiş, neredeyse hayatımızın her alanında bize çok büyük kolaylıklar sunmaktadır. Asırlar boyunca ekonominin sağlamlığını, dinamikliğine katkı sağlayan en önemli alan hiç kuşkusuz ticarettir. Alıcı ve satıcıları ticaret amacıyla bir araya gelmesi ve belli sözleşmeler doğrultusunda ticaret yapması ticaret hayatını canlı ve dinamik kılmaktadır. İnternetin kullanımının artması ve buna bağlı olarak dijital teknolojinin gelişim göstermesi ticaret hayatını da kontrol altına almıştır. İnternet teknolojisinin sunduğu hizmetlerle hem vakitten hem de kaynaklardan önemli ölçüde tasarruf edilmektedir. İnternetin sağladığı bu kolaylıkların ticaret hayatına taşınmasına e-ticaret ya da elektronik ticaret denilmektedir.
Bilgi toplumuna dönüşüm sürecinde kişisel verilerin gizliliğinin sağlanması için güvenli bir fiziksel ve elektronik ortamın oluşturulması gerekmektedir. İnternet kullanımının yaygınlaşması ve son yıllarda e- ticaret sektörünün hız kazanmasıyla kişisel verilerin gizliliği konusu ortaya çıkmıştır. Kişisel verilerin gizliği; bireysel, hassas ve kritik verilerin yer aldığı bilgilerin güvenli bir şekilde saklanmasıdır. 4. Kuşak sanayi devrimi olarak adlandırılan Endüstri 4.0’ın kazandırdığı teknolojik yeniliklerle birlikte kişisel verilerin korunması daha da öncem kazanmaya başlamıştır. Zira, bilgi ve iletişim teknolojilerinin yoğun ve hızlı bir şekilde kullanılmaya başlanması kişisel verilerin herhangi bir sınıra bağlı olmadan gelişigüzel bir şekilde saklanmasına, yetki olmadan kişilerle paylaştırılmasına, yayınlanmasına, kötü amaçlarda kullanılarak kişisel hakların ihlal edilmesine yol açtığı için kişisel verilerin korunması, mahrem verilerin saklanması, gizlilik arz eden verilerin kimseyle paylaşılmaması ve veri güvenliği internet kullanımı gerçekleştiren ülkeler açısından gün geçtikçe daha önemli hale gelmeye başlamıştır.
Türkiye’de kişisel verilerin korunması ile ilgili hukuksal zemin, ilk olarak 07 Nisan 2016 tarihinde Kişisel Verilerin Korunması Kanunu ile Resmî Gazetede yayınlanarak yürürlüğe girmiştir. 6698 sayılı bu Kanun’da amaç, kişisel verilerin korunması olmayıp, özel hayatın gizliliği ve diğer temel hak ve özgürlüklerin koruma altına alınmasını sağlamaktır. Veriler, kullanıcı kimliğinin belirlenmesinde ya da belirlenebilir olmasında kullanıldığında bu kapsam içerisinde yer almaktadır. Ad, soyad, kan grubu ya da resimleri kişisel veriler sınıfına dâhil edebiliriz. Kişinin kimliğinin ortaya çıkmasına yönelik yapılan tespitler için kanunda herhangi bir sınırlandırma yoktur. Öte yandan kişiye ait parmak izlerinin alınması ve genetik bilgilerle kişinin tanımlanabilmesinde büyük katkı sağlarken sağlık tarama sonuçları, nüfus bilgileri de kişinin kimliğini ortaya çıkarabilmektedir. Bununla birlikte, çok hızlı bir şekilde gelişim gösteren teknolojik sistemlerle birlikte veri toplama alanında izleme, gözetleme teknikleriyle kişisel veri kayıtları, sürekli artış göstererek kayıt altına alınmaktadır. Bu durum ise doğrudan bireylerin özel hayatının gizliliği ile yakından ilgili olduğu için kişisel verilerin korunması hakkını da ihlal ettiğini söylenebilmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu, ülkemizde yürürlüğe girdiğinde ilk ve en önemli olan internet kullanıcıları arasındaki veri güvenliğine dikkat çekmiştir. E-ticaret ile kullanıcıların sosyal paylaşımları bile bu kanun çerçevesinde özel nitelikli kişisel veriler bakımından koruyucu bir sisteme alınmıştır. Dijital dünyanın sosyal hayatımızdaki en belirgin özelliği ise tüketicilerin birden fazla alışveriş mağazasını gezerek alışveriş yapması yerine, e-ticaret sistemiyle kurulmuş alışveriş merkezlerinde gereksinimlerin karşılaması ve aynı zamanda farklı fiyatlarla, kıyaslama yaparak satın alabilmesidir. Üreticiler için de e-ticaretin en önemli özelliği klasik satış yapmak yerine internet üzerinden daha konforlu bir şekilde ürünlerini pazarlamasıdır. Bu e-ticaret sistemlerinde alışveriş yapabilmek için öncelikle ilgili e-ticaret sitesine üye olup bazı bilgilerimizin kayıt altına alınmasını sağlamak zorundayız. Kayıt ya da üyelik sistemi olmasa bile bazı bilgiler verilmeden alışveriş yapmamız imkânsızdır.
E-ticaret sisteminin yaygınlaşmasıyla, çevrimiçi e-ticaret sitelerinin gerekli güvenlik tedbirlerini almaları gerekmektedir. Alışveriş sitelerinde güvenlik sistemlerin üst düzeyde olması müşteri memnuniyetini bakımından önemli olmasıyla birlikte kanuni olarak bu bir zorunluluk haline getirilmiştir. Bu bağlamda, e-ticaret sitelerinde, tüketicilerin kişisel verilerinin korunması için ilgili mevzuata uygun sistemlerin e-ticaret sitesine entegre edilmesi gerekir. Ayrıca ilgili mevzuatta belirtilen yönetimsel ve teknik şartları yerine getirmesi için gerekli prosedürleri yapmaları lazımdır. E-ticaret sitelerinin büyük bir çoğunluğunda Güvenli Soket Katmanı olarak bilinen SSL sertifikası vardır. Bu sertifika sayesinde müşterilerin kişisel verileri şifrelenmiş olarak kayıt altına alınmaktadır.
Türkiye’de kişisel verilerin korunmasına ilişkin gelişmeler, ilk defa 2015 yılında gündeme gelmiş ve 2015 yılı sonuna kadar bir kanun tasarısı hazırlanması istenilmişse de herhangi bir sonuç alınmamıştır. Emniyet Genel Müdürlüğü, Adalet Bakanlığı, Telekomünikasyon İletişim Başkanlığı tarafından taslak şekilde hazırlanan mevzuat, 2016 yılında Kişisel Verileri Koruma Kanunu olarak kabul edilmiştir. Hazırlanan mevzuatın başarılı bir şekilde uygulamaya konulması ve veri koruma otoritesinin sağlanması için, Kişisel Verileri Koruma Kurumu 2018 yılında kurulmuştur.
Kişisel Verileri Koruma Kurumu’nun en temel ilkesi özel hayatın gizliliği ve korunmasıdır. Bu kuruma e-ticaret kapsamında kişisel verilerin korunmasıyla ilgili yapılan ihlallere yönelik alınan kararları örneklerle açıklayalım. Online olarak uçak bileti satışı yapan bir firmanın internet sitesi üzerinde üyelik oluşturan bir müşteri, e-mail adresini değiştirme talebini yetkili firmaya bildirmiş firma değişikliği reddettiği için müşteri Kişisel Verileri Koruma Kurumuna başvurarak şikâyette bulunmuştur. Müşterinin şikâyet başvurusunu karara bağlayan Kişisel Verileri Korumu Kurumu (KVKK); e-mail değiştirme isteği ilgili firma veri sorumlusu tarafından reddedilmesi eylemine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde yapılabilecek herhangi bir işlem bulunmadığı belirtmiştir. Ayrıca ilgili firmanın veri sorumlusu tarafından müşteri başvurusunun, Başvuru Usul ve Esasları Hakkında Tebliğ çerçevesinde ilgili müşteri tarafından yapılan başvuruyu dürüstlük kuralına uygun olarak sonuca ulaştırmadığı, ilgili Tebliğ kapsamında müşterilerce yapılacak başvuruları daha etkili, hem hukuk hem de dürüstlük kuralları çerçevesinde sonuçlandırılması için her türlü tedbirlerin alınması için ilgili firmaya talimat gönderilmesi kararına gidilmiştir.
Dijital ortamlarda gerçekleştirilen işlem çeşidi ve sayısının her geçen gün artış göstermesi, kişiye özel verilerin koruma altına alınması ve gizliliğinin etkin bir şekilde saklanması konusunda yeni bazı tedbirler alınması ve sistemler yapılmasını zorunludur. Kişisel verilerin işleme alınmasını daha yaygın hale getirebilecek bu verilerin bilgisayar ortamlarında işleme alınması zorunlu hale gelirken, öte yanda da hakkında veri toplanan bireyin kişilik hakkının korunma altına lazımdır.
Bilgi Edinme Hakkının Kısıtlanması Özel kanunda açıkça belirtilmiş olması, üstün özellikli bir kamu yararı, özellikle Devletin hem iç hem de dış güvenliğinin korunması bakımından elzem olması, bilgi verilmesinin idari veya cezai bir soruşturmanın amacının gerçekleşmesini zorlaştırması hallerinde veri sorumlusu, ilgilinin bilgi edinme hakkına sınır koyabilir, ertelenmesini sağlayarak reddedeceğini belirtebilir. Fakat her kısıtlamaya bağlı olarak veri sorumlusu, kısıtlamanın neden meydana geldiğini kişisel verisini tuttuğu kişiye yazılı bir şekilde bildirmelidir.
E-ticaret sistemi kullanan elektronik mağaza sahiplerine devredilen ve gönüllülük esasına dayanan bu tedbirler, doğrudan doğruya düzenleyicilerinin çıkarına karşı olmayacağı için, müşterileri ve vatandaşları koruma altına almaktadır. Kişilerin ihtiyaçlarını yerine getiremeyen bu tedbirler, kişisel verilerin metalaşmasında sağlarken, bazen hiç uygulamaya alınmayabilmektedir. Bazı araştırmalara göre, firmaları ancak kendilerine tehlike unsuru sayılabilecek potansiyele sahip yasa tasarıları olduğunda bu düzenlemeleri uygulama alanına aldığını, tehlike geçtikten sonra da bu tedbirleri dikkate almadan kenara attıklarını belirtmiştir.
Kişisel Verileri Koruma Kurumu’na kişisel verilerin ihlal edilmesine yönelik e-ticaret sistemiyle ilgili yapılan başka bir şikâyet doğrultusunda bağlanan kararını şimdi özetlemeye çalışalım. Veri sorumlusu olarak bilinen Doğuş Planet Elektronik Ticaret ve Bilişim ve başka şahıslarca toplamda 832 tane www.n11.com üyesine ait e-posta adreslerinin internet üzerinden ele geçirildiği belirtilmiştir. Ayrıca ele geçirilen bu e-posta adresleriyle n11.com üyelerinin hesaplarına şifre deneme yoluyla giriş yapıldığı belirlenmiştir. İhlal edilen kişilerin iletişim, kimlik ve işlem bilgilerinin 17.12.2019 tarihinde ele geçirildiği ve bunun aynı gün tespit edildiği belirtilmiştir. Kişisel Verileri Koruma Kurumu, bu veri ihlali ile ilgili gerekli incelemelerin devam ettiği ve Kişisel Verileri Koruma Kurulunun söz konusu veri ihlali bildiriminin Kurumun internet sayfasında ilan edeceğine karar vermiştir.
Kişisel Verileri Koruma Kurumuna yukarda belirtilen şikâyet, kişisel veri güvenliğine yönelik çok kötü sonuçlar doğuracaktır. Bu tür olumsuzluklar için gerekli önlemler alınmalıdır. Nitekim ülkemizde, e-ticaretle alışveriş imkânı veren 50 adet firmanın gizlilik politikalarına ilişkin sözleşme metinlerinde oluşan bir çalışma yapılmıştır. Çalışmada, firmaların hepsinin kendilerine ait verilerin koruma altına alınması hakkında her türlü tedbiri aldıklarını dile getirmişlerdir. Bu firmalardan 11 tanesinin üyelik bilgilerinin gerçekliğini garanti altına alacak sözleşme şartlarına yer verdikleri, 10 firmanın sayfalarında politikasına yönelik bildirimlere verildiği, 11 firmanın güvenlikle ilgili gerekli uyarıları yaptıklarını ancak sorumluluk almadıklarını ve son olarak elektronik ödemelerin korunamayacağına yönelik ise yalnız 3 firmanın sorumluluğu üstlendiği belirtilmiştir.
Ülkemizde ulusal veri güvenliğine yönelik tedbirlerin geliştirilmesi, veri güvenliğine ilişkin standartların oluşturulması, gelişen şartlar kapsamında bir takım güncellemelerin gerçekleştirilmesi, veri mekanizmalarının tasarlanmasından aktif kullanımına kadarki zamanda ilgili kurumlara hem teknik ve beşeri kaynak yardımında bulunulması, kurumlar arası ortak çalışma anlayışının daha yaygın hale getirilmesi ve ulusal yazılım programlarının kodlanmasına ilişkin çalışmaların yürütülmesi son derece önemlidir. Öte yandan kurumsal olarak veri koruma yönetimi çerçevesinde yeni sistemler geliştirilmeli, kişisel verilerin uygulanmasından ortadan kaldırılmasına kadar bütün adım ve işlevlerindeki ölçütler son derece açık olmalı, içeriden kontrol edilebilen denetleme mekanizmaları oluşturulmalı, kurumsal bilgisayar ve elektrik aletlerinin yetkisi bir şekilde kullanımı önlenmeli ve kişisel verilerin korunmasına ilişkin tüm ülkelerce kabul görmüş kurallar personellerine aşılanmalıdır. Türkiye’de kişisel verilerin korunmasına yönelik mevzuatın kabul görmesi ve etkili bir denetleme sistemi oluşturulması Kurul’un başarısına bağlıdır. Toplumsal duyarlık Kurul seviyesinde aktif bir duyarlılık haline gelecektir. Böyle bir kurula her zaman ihtiyaç olduğunu söylemek mümkündür. Başarı ve toplumsal kabul zamanla ortaya çıkacaktır.
Türkiye’de son yıllarda e-ticaret ya da elektronik ticaret olarak tabir edilen kişisel verilerin korunması yönünde bir takım iyi gelişme ve ilerleme yaşandığını görmekteyiz. Ülkemizin sürdürülebilir gelişimi ve kişisel verilerin bir aracı bileşen olarak yer alması için konu ile ilgili olarak kanun, yönetmelik ve genelgelerin üst seviyelere getirilmesi ve gerekli eksikliklerin yerine getirilmesini önermek mümkündür. Türkiye’de gerek kamu kurum ve kuruluşlarda gerekse özel sektör bünyesinde yer alan işletme sahibi ve personellere yönelik kişisel verilerin koruma altına alınması ile ilgili olarak eğitimler vermek fayda sağlayabilir. Avrupa Birliği Genel Veri Koruma Yönetmeliği, ülkemizde yürüklükte olan 6698 ayılı Kişisel Verileri Koruma Kanunu’na yeni maddeler eklenerek güncellenmesi gerektiğini belirtmektedir. Sonuç olarak ülkemizde kişisel verilerin daha etkin bir şekilde korunması, güvenirlik ve gizlilik politikaların uygulanması için KVKK’nın yeni stratejiler geliştirmesi lazımdır. Ayrıca kişisel kurumsal ve teknik alt yapı hazır hale getirilmelidir.