Web Sitelerindeki E-Ticaret Gizlilik Politikası Değerlendirilmesi
Bilindiği üzere hemen hemen tüm e-ticaret sitelerinde gizlilik sözleşmesi, gizlilik politikası v.b. bir takım belgeler bulunmaktadır. Acaba bu sözleşme ya da belgeler hukuken ne anlama geliyor ? İnceleme konus iki adet yüksek trafiğe sahip e-ticaret sitesinin gizlilik sözleşmesi değerlendirilmiştir. Herhangi bir hak ihlali olmaması bakımından e-ticaret sitelerinin isimleri zikredilmemiştir. Ancak E-ticaret sitelerinin genelinde aynı neviden belgeler bulunmaktadır.
Örnek olarak tespit ettiğimiz iki “gizlilik sözleşmesi” adı altındaki belgelerin ilgili web sitelerine baktığımızda, herkez tarafından ulaşılabilen, herhangi bir üyelik aşamasında karşılaşmadığımız, özellikle site üzerinden belirtilen linklerin tıklanması sonucu karşımıza çıkan belgeler olduğu görülmektedir.
Bu belgelerin adlarının sözleşme olmasına rağmen, sözleşme olup olmadıklarının değerlendirilmesi TBK’daki sözleşme tanımına bakarak yapılabilecektir. Buna göre TBK’nın 1. Maddesine baktığımızda “Sözleşme, tarafların iradelerini karşılıklı ve birbirine uygun olarak açıklamalarıyla kurulur. İrade açıklaması, açık veya örtülü olabilir.” Şeklinde tanımlanmıştır. Görüleceği üzere inceleme konusu belgelerde tarafların karşılıklı irade açıklamalarından bahsetmek mümkün değildir. Çünkü her iki belgede de tek taraflı bir irade beyanı sözkonusudur. Kullanıcının örtülü bir iradesinden bahsetmek mümkün olabilirmi diye sorduğumuzda, bununda mümkün olamayacağı çok açık ve nettir.
Sözleşmelerin kişisel verilerin korunması açısından değerlendirdiğimizde, öncelikle kişisel verinin ne olduğunun tanımlamakta fayda olacaktır. Hukukumuzda “kişisel veri” kavramı, gerek Anayasanın 20. Maddesinde ve gerekse 5237 sayılı TCK 135. Maddesinde geçmekte ise mevzuatımızda Elektronik Haberleşme Sektörüne ilişkin yönetmelik dışında herhangi bir tanıma rastlamak mümkün olmamaktadır. Ancak Kişisel Verilerin Korunması kanun tasarısına baktığımızda, 108 sayılı Avrupa Konseyi sözleşmesindeki tanım ile hemen hemen aynı olan “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi ” olarak tanımlandığını görmekteyiz.
Yukarıdaki bilgiler ışığında bahse konu “gizlilik sözleşmesi” adlı belgeler değerlendirildiğinde, özellikle birinci E-Ticaret sitesinin sözleşmesinin ilk satırında bazı kişisel verilerin E-Ticaret sitesi tarafından talep edildiği, bu bilgilerin dönemsel kampanya, müşteri profillerine yönelik özel promosyon faaliyetlerinin kurgulanması amacı ile kullanılacağı ifade edilmektedir. Yukarıda da bahsedildiği üzere bu belgenin bir sözleşme olmadığı aslında bu belgenin bir gizlilik politikası ya da bir gizlilik taahhüdü olarak da tanımlanması mümkün değildir. Çünkü burada kullanıcıdan, bu kişisel verilerin kullanılabileceğine ilişkin herhangi bir onay alınmamamktadır. Anayasanın 20. Maddesinde “ Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir.” Denmektedir. Bu durumda aslında bu belglerle kişisel verilerin kullanılabilmesi de mümkün gözükmemektedir.
Yine Birinci E-Ticaret sitesinin belgesinin diğer bir paragrafında, “müşterinin girdiği tüm bilgilere sadece müşteri ulaşabilmekte ve bu bilgileri sadece müşteri değiştirebilmektedir.” Şeklinde kanımca çok iddialı bir ifade yer almaktadır. Aslında bu bilginin de doğru olamdığı kanaatindeyim. Çünkü sonuç olarak arka planda işin doğasından kaynaklı olarak “admin” yetkisine sahip teknik eleman ya da elemanların bu bilgilere ulaşabildiği ve bu bilgiler üzerinde düzenleme yapabildiği de bilinen bir gerçektir. En azından gerçekten bu iddia sözkonusu ise bunun teknik olarak nasıl gerçekleştirildiği de bu belgede belirtilmesi gerekmektedir.
İncelenen her iki belgede de kişisel verilerin nasıl korunduğu hususunda herhangi bir bilgi bulunmamaktadır. Aslında şu an için bu bilgilerin korunması sorumluluğunun eticaret sitesi üzerinde olup olmadığının da tartışmalı olduğu kanaatindeyim. Çünkü Anayasa kişisel verilerin korunmasını isteme hakkından bahsetmektedir. Buradan kişi koruma talep etmediği sürece, koruma yükümlülüğünün olmayacağı sonucu çıkarılabilir. Ancak, Elektronik Ticaretin Düzenlenmesi Hakkında Kanun tasarısı, mevcut hali ile kanunlaşırsa, 10. Maddesine istinaden doğrudan elektronik ticaret yapanlar ile bu faaliyetlerin yapılmasına ortam sağlayanlar, bu verilerin saklanması ve korunmasından sorumlu hale geleceklerdir.
Bir başka dikkat çekici konu ise ikinci e-ticaret sitesi belgesinin bir paragrafındaki “eticaret.com” üyesi olduğunuz andan itibaren aksi tarafınızdan talep edilmediği sürece günlük ve haftalık bilgilendirme e-mailleri, e-mail adresinize gönderilecektir.” İfadesidir. Dikkat edilirse burada üyeden herhangi bir onay alınmadan mail gönderileceği ifade edilmektedir. Bu hüküm mevcut mevzuat kapsamında kişilik haklarına saldırı ya da TTK 55. Maddedeki saldırgan satış yöntemleri ile haksız rekabet olarak değerlendirilebilir. Ancak yukarıda bahse konu Elektronik Ticaret Kanun tasarısı yasallaştığında, kanun 6. Maddesinde yer alan “ancak önceden onay alınmak şartıyla ticari elektronik posta gönderilebileceği” ifadesi karşısında, eticaret sitelerinin bu tür bir uygulaması mümkün olamayacaktır.
Son olarak her iki belgede de, kişi üyeliğine son vermesi halinde bu kişisel verilerin akıbetinin ne olacağı da belli değildir. Yine mevcut düzenlemeye göre aslında elektronik ticaret şirketlerine böyle bir sorumluluk yüklenmemektedir. Ancak verilerin korunması kanun tasarısında herhangi bir düzeltmeye gidilmez ve tasarı kanunlaşırsa 7. Maddedeki “artık ihtiyaç duyulmayan kişisel veriler silinir” hükmü karşısında bu tür verilerin silinmesi gerekeceği açıktır. Ancak yine bilinen bir teknik gerçek bu bilgilerin aslında geri döndürülmeyecek bir biçimde silinebilmesi pek mümkün gözükmemektedir.
Av.Taner Sevim
