E-Ticaret Sitelerinde KVKK Uyumu: Müşteri Verileri, Pazarlama İzinleri ve Çerezler
Giriş
E-ticaret siteleri, kişisel verilerin en yoğun işlendiği dijital alanların başında gelir. Bir kullanıcının siteye girmesiyle birlikte IP adresi, cihaz bilgisi, çerez verisi, gezinme davranışları ve ürün görüntüleme geçmişi gibi veriler işlenebilir. Üyelik oluşturulduğunda ad, soyad, telefon numarası, e-posta adresi, doğum tarihi ve şifre bilgisi gündeme gelir. Sipariş aşamasında teslimat adresi, fatura bilgileri, ödeme bilgileri, sepet içeriği, satın alma geçmişi ve müşteri işlem kayıtları işlenir. Ürün tesliminden sonra ise iade, değişim, müşteri destek, kampanya, memnuniyet anketi ve pazarlama süreçleri kapsamında yeni veri işleme faaliyetleri ortaya çıkar.
Bu nedenle e-ticaret sitelerinde KVKK uyumu, yalnızca internet sitesine “KVKK metni” koymaktan ibaret değildir. E-ticaret işletmesi; müşteri verilerini hangi amaçla topladığını, hangi hukuki sebebe dayandığını, hangi verileri zorunlu olarak aldığını, hangi verileri pazarlama amacıyla kullandığını, verileri kimlerle paylaştığını, çerezlerle hangi verileri işlediğini, yurt dışına aktarım yapıp yapmadığını ve müşterilerin haklarını nasıl kullanabileceğini açık şekilde belirlemelidir.
Özellikle pazarlama izinleri ve çerezler, e-ticaret sektöründe en çok şikâyet edilen alanlardandır. Kullanıcıya ürün veya hizmet sunumu için gereken telefon numarası ile reklam ve kampanya mesajı göndermek için gereken iletişim izni aynı şey değildir. Müşterinin siparişini teslim etmek için adres bilgisinin alınması ile bu müşterinin davranışlarına göre reklam profili oluşturulması da aynı hukuki zeminde değerlendirilemez. Kişisel Verileri Koruma Kurulu’nun e-ticaret sektörüne ilişkin 2022/229 sayılı kararında da, kesinlikle gerekli olmayan çerezlerle kişisel veri işlenmesi ve yurt dışına aktarım süreçlerinde hukuki dayanak bulunmaması nedeniyle veri sorumlusu hakkında 800.000 TL idari para cezası uygulanmıştır.
E-ticaret işletmeleri için doğru KVKK uyum süreci; veri envanteri, aydınlatma metni, açık rıza yönetimi, ticari elektronik ileti izinleri, İYS kayıtları, çerez yönetim paneli, veri güvenliği tedbirleri, saklama-imha politikası ve üçüncü taraf hizmet sağlayıcı sözleşmelerinin birlikte ele alınmasını gerektirir.
E-Ticaret Sitelerinde Hangi Kişisel Veriler İşlenir?
E-ticaret sitelerinde işlenen kişisel veriler, sitenin faaliyet alanına ve iş modeline göre değişir. Ancak genel olarak müşteri kimlik verileri, iletişim verileri, adres verileri, finansal veriler, işlem güvenliği verileri, müşteri işlem verileri, pazarlama verileri ve çerez verileri işlenir.
Kimlik verileri arasında ad, soyad, kullanıcı adı, üyelik numarası, fatura bilgileri ve bazı hallerde T.C. kimlik numarası yer alabilir. İletişim verileri; telefon numarası, e-posta adresi ve teslimat/fatura adresinden oluşur. Müşteri işlem verileri ise sipariş geçmişi, sepet içeriği, iade talepleri, değişim kayıtları, müşteri destek yazışmaları, ürün yorumları ve şikâyet kayıtlarıdır. İşlem güvenliği verileri IP adresi, log kayıtları, cihaz bilgisi, oturum bilgisi ve güvenlik doğrulama kayıtları olabilir.
Pazarlama verileri daha farklıdır. Kullanıcının hangi ürünleri incelediği, hangi kampanyalara tıkladığı, hangi ürünleri sepete eklediği, hangi kategorilere ilgi duyduğu, e-posta açma ve tıklama verileri, segmentasyon bilgileri ve reklam hedefleme verileri pazarlama verisi niteliği taşıyabilir. Çerezler ve benzeri teknolojilerle toplanan davranışsal veriler de bu gruba girebilir.
E-ticaret işletmesi, tüm bu verileri aynı metin ve aynı hukuki sebep altında toplu şekilde açıklamamalıdır. Her veri işleme faaliyeti bakımından amaç ve hukuki sebep ayrı belirlenmelidir. Örneğin teslimat adresi, ürünün gönderilmesi amacıyla sözleşmenin ifası kapsamında işlenebilir. Fatura bilgileri, vergi ve muhasebe yükümlülükleri kapsamında işlenebilir. Ancak kampanya SMS’i göndermek, yeniden pazarlama yapmak veya reklam çerezleriyle kullanıcı takibi yapmak farklı hukuki değerlendirme gerektirir.
E-Ticarette Aydınlatma Yükümlülüğü
E-ticaret sitesinin en temel KVKK yükümlülüklerinden biri aydınlatma yükümlülüğüdür. Aydınlatma, kişisel verisi işlenen kişiye verilerinin kim tarafından, hangi amaçla, hangi hukuki sebeple işlendiğini, kimlere aktarılabileceğini, hangi yöntemlerle toplandığını ve KVKK kapsamındaki haklarını açıklamaktır. Kişisel veriler elde edilirken aydınlatma yapılmalı; kullanıcı ancak bu şekilde verilerinin nasıl işlendiğini anlayabilmelidir.
Aydınlatma metni, e-ticaret sitesinin gerçek veri işleme faaliyetlerini yansıtmalıdır. Yalnızca “kişisel verileriniz KVKK kapsamında işlenmektedir” şeklindeki genel ifadeler yeterli değildir. Metinde, üyelik oluşturma, sipariş alma, ödeme, teslimat, fatura, müşteri destek, iade, pazarlama, çerez ve hukuki uyuşmazlık süreçleri ayrı ayrı açıklanmalıdır.
Örneğin müşteri ad-soyad ve iletişim bilgilerinin sipariş sürecinin yürütülmesi, ürün teslimatı ve müşteri destek hizmetlerinin sağlanması amacıyla işlendiği; teslimat adresinin kargo şirketiyle paylaşılabileceği; fatura bilgilerinin muhasebe ve vergi yükümlülükleri kapsamında saklandığı; kampanya ve reklam iletişimi için ayrı izin alınacağı açıkça belirtilmelidir.
Aydınlatma metni ile açık rıza metni birbirine karıştırılmamalıdır. Kişisel Verileri Koruma Kurulu’nun 2025/1072 sayılı ilke kararında da aydınlatma yükümlülüğü ile açık rıza alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği vurgulanmıştır. Bu nedenle e-ticaret sitesinde tek bir kutucukla hem üyelik sözleşmesi, hem KVKK aydınlatması, hem açık rıza, hem ticari elektronik ileti izni alınmaya çalışılması ciddi hukuki risk doğurur.
Müşteri Verilerinin İşlenmesinde Hukuki Sebep Nasıl Belirlenir?
KVKK kapsamında kişisel veri işleme faaliyeti için mutlaka bir hukuki sebep bulunmalıdır. E-ticaret sitelerinde en sık kullanılan hukuki sebepler; sözleşmenin kurulması veya ifası, hukuki yükümlülüğün yerine getirilmesi, bir hakkın tesisi, kullanılması veya korunması, meşru menfaat ve açık rızadır.
Müşterinin ad, soyad, teslimat adresi ve telefon numarasının siparişin teslimi için alınması çoğu zaman mesafeli satış sözleşmesinin ifası için gereklidir. Fatura bilgilerinin işlenmesi, vergi ve muhasebe mevzuatından kaynaklanan hukuki yükümlülüklere dayanabilir. İade ve değişim kayıtları, tüketici mevzuatı ve sözleşmesel yükümlülükler kapsamında işlenebilir. Müşteri destek kayıtları, talep ve şikâyetlerin sonuçlandırılması amacıyla işlenebilir.
Buna karşılık pazarlama, reklam, davranışsal analiz, yeniden hedefleme, özel kampanya segmentasyonu ve ticari elektronik ileti gönderimi için genellikle farklı değerlendirme gerekir. Müşterinin alışveriş yapmış olması, ona sınırsız reklam mesajı gönderilebileceği anlamına gelmez. Aynı şekilde müşterinin telefon numarasını teslimat için vermiş olması, bu numaranın reklam SMS’i için de kullanılabileceği anlamına gelmez.
Bu ayrım özellikle e-ticaret siteleri için hayati önemdedir. Çünkü e-ticaret şirketleri çoğu zaman satış sürecinde alınan telefon ve e-posta bilgilerini daha sonra kampanya, indirim, sepet hatırlatma ve özel teklif amacıyla kullanmak istemektedir. Bu kullanım için hem KVKK hem de ticari elektronik ileti mevzuatı birlikte değerlendirilmelidir.
Pazarlama İzinleri ve Ticari Elektronik İleti
E-ticaret sitelerinin en çok dikkat etmesi gereken alanlardan biri ticari elektronik ileti gönderimidir. SMS, e-posta, otomatik arama, kampanya bildirimi, indirim duyurusu, sepet hatırlatma, yeniden pazarlama mesajı ve benzeri iletişimler ticari elektronik ileti niteliği taşıyabilir.
Ticari elektronik ileti gönderimi bakımından yalnızca KVKK değil, 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik de dikkate alınmalıdır. Bu alanda İleti Yönetim Sistemi, yani İYS, merkezi bir izin yönetim sistemi olarak kullanılmaktadır. Ticaret Bakanlığı, İYS ile vatandaşların verdikleri ileti onaylarını tek noktadan görebilme, kontrol edebilme ve ret hakkını kullanabilme imkânı bulunduğunu; hizmet sağlayıcılara da izin süreçlerinin yönetiminde ispat bakımından hukuki güvenlik sağlandığını açıklamaktadır.
Bu nedenle e-ticaret sitesi müşteriden pazarlama izni alırken, bu iznin hangi kanal için verildiğini açıkça belirlemelidir. SMS, e-posta ve arama izinleri ayrı ayrı yönetilmelidir. Müşteri yalnızca e-posta almak isteyip SMS istemeyebilir. Yalnızca sipariş bilgilendirmesi almak isteyip kampanya mesajı almak istemeyebilir. Bu tercihler açık ve ispatlanabilir şekilde kaydedilmelidir.
Ayrıca müşteri her zaman ret hakkını kullanabilmelidir. İYS de alıcılara ticari elektronik ileti izinlerini tek noktadan yönetme, onay verme ve ret hakkını kullanma imkânı sunmaktadır. E-ticaret sitesi, ret hakkını kullanan müşteriye pazarlama mesajı göndermemeli ve kendi sistemleri ile İYS kayıtları arasında uyum sağlamalıdır.
SMS Doğrulama Kodu ile Pazarlama İzni Alınabilir mi?
E-ticaret sitelerinde ve perakende satış süreçlerinde son yıllarda en çok tartışılan uygulamalardan biri SMS doğrulama kodu ile izin alınmasıdır. Ödeme, üyelik, fatura oluşturma veya bilgi güncelleme gibi işlemler sırasında müşterinin telefonuna kod gönderilmekte; müşteri bu kodu girdiğinde bazen aynı işlemle ticari elektronik ileti izni veya kişisel veri işleme rızası da alınmış gibi kabul edilmektedir. Bu uygulama KVKK bakımından ciddi risk taşır.
Kişisel Verileri Koruma Kurulu’nun 10.06.2025 tarihli ve 2025/1072 sayılı ilke kararında, ürün ve hizmet sunumu sırasında SMS doğrulama kodu gönderilmesi yoluyla kişisel veri işlenmesi ayrıntılı şekilde değerlendirilmiştir. Kurul, ödeme, kayıt açma, üyelik oluşturma veya teklif oluşturma gibi süreçlerde gönderilen SMS kodunun amacı konusunda kişilerin açık ve anlaşılır şekilde bilgilendirilmesi gerektiğini; üyelik sözleşmesi onayı, kişisel veri işleme izni ve ticari elektronik ileti onayı gibi farklı faaliyetlerin tek bir eylemle gerçekleştirilmesine yönelik uygulamalara son verilmesi gerektiğini belirtmiştir.
Bu karar e-ticaret siteleri için doğrudan önemlidir. Müşteriye “siparişinizi tamamlamak için gelen kodu girin” denilip, bu kodun aynı zamanda pazarlama izni anlamına geldiği ileri sürülürse, açık rızanın bilgilendirmeye dayanma ve özgür iradeyle açıklanma unsurları zedelenebilir. Kurul kararında ayrıca ticari elektronik ileti gönderimi amacıyla kişisel verilerin işlenmesine açık rıza verilmesinin ürün veya hizmet sunumunun tamamlanması için zorunlu unsur gibi sunulmaması gerektiği açıkça ifade edilmiştir.
Dolayısıyla e-ticaret sitesinde en sağlıklı yöntem, sipariş ve üyelik için zorunlu işlemler ile pazarlama iznini ayrı ekranlarda, ayrı metinlerle ve ayrı seçim kutucuklarıyla yönetmektir. Müşteri pazarlama izni vermese bile siparişini tamamlayabilmelidir. Pazarlama izni sonradan, açık ve ayrı bir tercih olarak talep edilmelidir.
Açık Rıza Nasıl Alınmalıdır?
Açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rızadır. E-ticaret sitelerinde açık rıza özellikle pazarlama, ticari elektronik ileti, bazı çerezler, davranışsal reklamcılık, bazı yurt dışı aktarım halleri ve açık rıza dışında hukuki sebep bulunmayan veri işleme faaliyetlerinde gündeme gelebilir.
Açık rıza genel ve sınırsız olmamalıdır. “Tüm kişisel verilerimin her türlü amaçla işlenmesini kabul ediyorum” şeklindeki ifadeler hukuken risklidir. Bunun yerine hangi verinin, hangi amaçla, hangi kanal üzerinden işleneceği açıkça belirtilmelidir. Örneğin “telefon numaramın kampanya ve reklam SMS’i gönderilmesi amacıyla işlenmesini kabul ediyorum” veya “e-posta adresime indirim ve tanıtım içerikli ticari elektronik ileti gönderilmesini kabul ediyorum” gibi belirli ifadeler kullanılmalıdır.
Açık rıza kutuları önceden işaretli olmamalıdır. Kullanıcının sessiz kalması, siteyi kullanmaya devam etmesi veya alışveriş yapması açık rıza yerine geçmemelidir. Ayrıca açık rıza, hizmetin zorunlu şartı haline getirilmemelidir. Kurul’un 2025/1072 sayılı ilke kararında, açık rızanın ürün veya hizmet sunumunun ön şartı gibi gösterilmesinin özgür irade unsurunu zedeleyeceği açıkça belirtilmiştir.
E-ticaret sitesinde açık rıza süreçleri ayrıca ispatlanabilir olmalıdır. Hangi kullanıcı, hangi tarihte, hangi metin üzerinden, hangi kanal için izin verdi? İzni hangi IP adresinden verdi? Sonradan geri aldı mı? İYS kaydıyla uyumlu mu? Bu sorulara cevap verilebilmelidir.
Çerezler ve E-Ticaret Siteleri
E-ticaret sitelerinde çerezler çok yaygın kullanılır. Sepetin korunması, oturum güvenliği, kullanıcı girişi, dil tercihi, ödeme güvenliği ve site performansı için bazı çerezler zorunlu olabilir. Ancak analitik çerezler, reklam/pazarlama çerezleri, davranışsal hedefleme çerezleri, yeniden pazarlama pikselleri ve üçüncü taraf takip teknolojileri çoğu zaman açık rıza ve detaylı aydınlatma gerektirir.
Kişisel Verileri Koruma Kurulu’nun 2022/229 sayılı kararında, e-ticaret sektöründe faaliyet gösteren bir şirketin internet sitesi ve mobil uygulamalarında kullanılan çerezler incelenmiş; kesinlikle gerekli olmayan çerezler için açık rıza mekanizması bulunmaması, kişisel veri işleme şartlarına dayanılmaması ve yurt dışı aktarım süreçlerinin uygun olmaması nedeniyle idari para cezası uygulanmıştır. Kurul ayrıca kesinlikle gerekli çerezler dışında kalan işlevsel, performans-analitik ve reklam/pazarlama çerezleri için açık rıza dışında bir veri işleme şartı yoksa, kullanıcının siteye giriş anında aktif iradesiyle onay vermesini sağlayan ve varsayılan olarak çerezlerin çalışmamasını esas alan “opt-in” mekanizmasının uygulanması gerektiğini belirtmiştir.
Bu karar, e-ticaret siteleri bakımından çerez yönetiminin ne kadar önemli olduğunu göstermektedir. “Çerez kullanıyoruz, detaylı bilgi için tıklayın” şeklindeki pasif bilgilendirme çoğu zaman yeterli olmayacaktır. Kullanıcıya çerez kategorileri açıklanmalı, zorunlu olmayan çerezler varsayılan olarak kapalı tutulmalı, kullanıcı “kabul et”, “reddet” veya “tercihlerimi yönet” seçenekleri arasında gerçek tercih yapabilmelidir.
Çerez politikası da sade ve somut olmalıdır. Hangi çerez kullanılıyor, sağlayıcısı kim, amacı nedir, saklama süresi ne kadardır, birinci taraf mı üçüncü taraf mı, yurt dışına aktarım yapıyor mu, kullanıcı tercihini nasıl değiştirebilir? Bu bilgiler açıkça yer almalıdır.
Çerez Yönetim Paneli Nasıl Olmalıdır?
KVKK’ya uygun bir çerez yönetim paneli, kullanıcının gerçek ve özgür tercih yapabilmesini sağlamalıdır. Panelde yalnızca “tümünü kabul et” butonu bulunması yeterli değildir. “Reddet” ve “tercihler” seçenekleri de açık ve görünür olmalıdır. Zorunlu çerezler dışında kalan çerezler için kullanıcının aktif onayı alınmadan çerezler çalıştırılmamalıdır.
E-ticaret sitelerinde sık yapılan hatalardan biri, reklam ve analitik çerezlerin kullanıcı siteye girer girmez otomatik çalışmasıdır. Kullanıcı daha sonra tarayıcı ayarlarından çerezleri kapatmaya yönlendirilse bile, ilk anda veri işleme başlamış olabilir. Kurul’un e-ticaret kararında da, tarayıcı ayarlarına yönlendirme yapılmasının tek başına yeterli görülmediği; kesinlikle gerekli olmayan çerezler bakımından aktif rıza mekanizmasının önem taşıdığı anlaşılmaktadır.
Çerez panelinde kategoriler açıkça ayrılmalıdır. Zorunlu çerezler, işlevsel çerezler, performans-analitik çerezler ve reklam-pazarlama çerezleri ayrı başlıklar altında gösterilmelidir. Kullanıcı analitik çerezleri kabul edip reklam çerezlerini reddedebilmelidir. Ayrıca kullanıcı daha sonra tercihlerini değiştirebilmelidir.
Müşteri Verilerinin Üçüncü Kişilerle Paylaşılması
E-ticaret siteleri müşteri verilerini çoğu zaman üçüncü kişilerle paylaşmak zorundadır. Kargo şirketleri, ödeme kuruluşları, banka ve sanal POS sağlayıcıları, muhasebe programları, fatura entegrasyon firmaları, çağrı merkezi sağlayıcıları, reklam ajansları, e-posta pazarlama platformları, yazılım sağlayıcıları ve bulut hizmet şirketleri bu kapsamda gündeme gelir.
Ancak müşteri verilerinin üçüncü kişilerle paylaşılması, sınırsız ve kontrolsüz yapılamaz. Aydınlatma metninde hangi alıcı gruplarına hangi amaçla veri aktarılabileceği açıklanmalıdır. Örneğin teslimat için kargo firmasına ad, soyad, telefon ve adres bilgisi aktarılması; ödeme için ödeme kuruluşuna işlem bilgisi aktarılması; fatura için mali müşavire veya e-fatura hizmet sağlayıcısına bilgi verilmesi gibi süreçler somutlaştırılmalıdır.
E-ticaret şirketi, veri işleyenlerle yaptığı sözleşmelerde veri güvenliği hükümlerine yer vermelidir. Kargo firması, çağrı merkezi, yazılım şirketi veya e-posta pazarlama platformu müşterilerin verilerine erişiyorsa, bu tarafların verileri hangi amaçla işlediği, ne kadar süre sakladığı, alt işleyen kullanıp kullanmadığı, yurt dışı aktarım yapıp yapmadığı ve ihlal halinde nasıl bildirim yapacağı belirlenmelidir.
Özellikle yurt dışı merkezli reklam, analiz, CRM veya e-posta pazarlama araçları kullanılıyorsa, KVKK’nın yurt dışına aktarım hükümleri ayrıca değerlendirilmelidir. Kurul’un 2022/229 sayılı kararında, çerezler vasıtasıyla yurt dışına kişisel veri aktarımının Kanun’un 9. maddesine uyumlu hale getirilmesi gerektiği ayrıca belirtilmiştir.
Ödeme Bilgileri ve Veri Güvenliği
E-ticaret sitelerinde ödeme bilgileri özel önem taşır. Kredi kartı bilgileri, ödeme işlem kayıtları, taksit bilgileri, ödeme onayları ve iade kayıtları finansal veri niteliği taşıyabilir. Bu verilerin güvenli şekilde işlenmesi, hem KVKK hem de ödeme sistemleri güvenliği bakımından önemlidir.
E-ticaret sitesi, mümkünse kart bilgilerini kendi sisteminde saklamamalı; güvenilir ödeme kuruluşları ve sanal POS altyapıları üzerinden işlem yapmalıdır. Kart saklama hizmeti sunuluyorsa, bu hizmetin teknik ve hukuki altyapısı ayrıca incelenmelidir. Yetkisiz erişim, sızıntı veya sistem açığı halinde hem KVKK veri ihlali bildirimi hem de sektörel yükümlülükler gündeme gelebilir.
Veri güvenliği kapsamında güçlü parola politikası, iki faktörlü kimlik doğrulama, SSL/TLS kullanımı, erişim yetkilendirmesi, log kaydı, şifreleme, yedekleme, güvenlik duvarı, düzenli sızma testi, yazılım güncellemeleri ve çalışan eğitimleri uygulanmalıdır. Müşteri verilerine yalnızca görev gereği erişmesi gereken personel erişebilmelidir. Eski çalışanların sistem yetkileri derhal kapatılmalıdır.
Üyelik Sözleşmesi, Mesafeli Satış Sözleşmesi ve KVKK Metinleri Ayrı Olmalıdır
E-ticaret sitelerinde sık yapılan hatalardan biri, tüm hukuki metinlerin tek onay kutusu altında toplanmasıdır. Üyelik sözleşmesi, mesafeli satış sözleşmesi, ön bilgilendirme formu, KVKK aydınlatma metni, açık rıza metni, çerez politikası ve ticari elektronik ileti izni farklı hukuki işlevlere sahiptir.
Kullanıcı, alışveriş yaparken mesafeli satış sözleşmesini onaylayabilir; ancak bu onay otomatik olarak pazarlama izni veya çerez rızası anlamına gelmez. Kullanıcı aydınlatma metnini okuyabilir; ancak aydınlatma, açık rıza değildir. Kullanıcı üyelik oluşturabilir; ancak bu üyelik reklam SMS’i gönderilmesine izin verdiği anlamına gelmez.
Bu nedenle e-ticaret sitesi hukuki metinlerini sade, erişilebilir ve ayrı işlevlere uygun şekilde düzenlemelidir. Siparişin tamamlanması için zorunlu sözleşmesel onaylar ile isteğe bağlı pazarlama izinleri açıkça ayrılmalıdır. Pazarlama izni vermeyen kullanıcı alışveriş yapabilmelidir. Çerez tercihlerinde zorunlu olmayan çerezleri reddeden kullanıcı sitenin temel fonksiyonlarından yararlanabilmelidir.
Müşteri Verileri Ne Kadar Süre Saklanabilir?
KVKK’ya göre kişisel veriler, işlendikleri amaç için gerekli olan süre kadar saklanmalıdır. E-ticaret siteleri müşteri verilerini süresiz şekilde tutamaz. Ancak bazı verilerin saklanması kanuni yükümlülükler ve uyuşmazlık ihtimali nedeniyle belirli sürelerle gerekli olabilir.
Fatura ve muhasebe kayıtları vergi mevzuatı kapsamında saklanabilir. Sipariş ve teslimat kayıtları tüketici uyuşmazlıkları, iade, garanti, ayıplı mal talepleri ve hukuki savunma amacıyla belirli sürelerle muhafaza edilebilir. Müşteri destek kayıtları, talebin sonuçlandırılması ve olası uyuşmazlıklarda delil amacıyla saklanabilir. Pazarlama izinleri ise iznin varlığını ispat etmek ve ret hakkını uygulamak için gerekli olduğu sürece saklanabilir.
Ancak alışveriş yapmayan ziyaretçilerin çerez verileri, eski üyelerin pasif hesapları, kullanılmayan kampanya listeleri ve gereksiz segmentasyon verileri kontrolsüz şekilde tutulmamalıdır. Saklama ve imha politikası oluşturulmalı; süreler dolduğunda veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.
İlgili Kişi Başvuruları ve Müşteri Hakları
E-ticaret müşterileri KVKK kapsamında ilgili kişi sıfatına sahiptir. Müşteri, e-ticaret şirketine başvurarak kişisel verilerinin işlenip işlenmediğini öğrenebilir, işlenmişse bilgi talep edebilir, işleme amacını sorabilir, verilerinin kimlere aktarıldığını öğrenebilir, yanlış veya eksik verilerin düzeltilmesini isteyebilir, şartları varsa verilerin silinmesini veya yok edilmesini talep edebilir ve zarara uğramışsa zararın giderilmesini isteyebilir.
E-ticaret sitesinde bu başvurular için açık bir kanal bulunmalıdır. KVKK başvuru formu, e-posta adresi, KEP adresi veya fiziki başvuru adresi belirtilmelidir. Müşteri hizmetleri ekibi, KVKK başvurusu ile sıradan müşteri şikâyetini ayırabilmelidir. Başvurular süresinde ve gerekçeli şekilde cevaplanmalıdır.
Ayrıca pazarlama izinleri bakımından müşterinin ret hakkı etkin şekilde kullanılabilmelidir. Müşteri abonelikten çıkmak, SMS almak istememek veya e-posta listesinden ayrılmak istediğinde süreç kolay olmalıdır. Ret hakkının zorlaştırılması, kullanıcıyı çok aşamalı işlemlere zorlamak veya sistemden çıkışa rağmen mesaj göndermeye devam etmek hem KVKK hem ticari elektronik ileti mevzuatı bakımından risk doğurur.
E-Ticaret Sitelerinin En Sık Yaptığı KVKK Hataları
E-ticaret sitelerinin en sık yaptığı ilk hata, sipariş için alınan iletişim bilgisini pazarlama amacıyla da serbestçe kullanabileceğini düşünmesidir. Oysa teslimat için alınan telefon numarası, kampanya SMS’i için otomatik izin anlamına gelmez.
İkinci hata, tek kutucukla tüm onayları toplamaktır. Üyelik, mesafeli satış, KVKK aydınlatması, açık rıza, ticari elektronik ileti izni ve çerez rızası ayrı ayrı yönetilmelidir.
Üçüncü hata, çerezlerin kullanıcı onayı olmadan çalıştırılmasıdır. Özellikle reklam ve pazarlama çerezleri, davranışsal hedefleme ve üçüncü taraf takip araçları bakımından aktif rıza mekanizması kurulmalıdır.
Dördüncü hata, İYS kayıtlarının güncel tutulmamasıdır. Ticari elektronik ileti izinleri, müşterinin verdiği veya geri aldığı onaylarla uyumlu olmalıdır. Ticaret Bakanlığı’nın da belirttiği üzere İYS, onayların merkezi şekilde yönetilmesi ve ret hakkının kullanılabilmesi için kurulmuş bir sistemdir.
Beşinci hata, yurt dışı hizmet sağlayıcıların gözden kaçırılmasıdır. E-posta pazarlama, reklam, analiz, CRM, bulut ve ödeme altyapılarında yurt dışına veri aktarımı olabilir. Bu durum KVKK m.9 kapsamında ayrıca değerlendirilmelidir.
Altıncı hata, veri güvenliği tedbirlerinin yetersiz olmasıdır. Zayıf şifreler, yetkisiz panel erişimleri, eski çalışan hesaplarının açık kalması, müşteri verilerinin Excel listeleri halinde paylaşılması, kargo etiketlerinin kontrolsüz kullanılması ve log kayıtlarının tutulmaması ciddi ihlal riski doğurur.
Yedinci hata, kopyala-yapıştır KVKK metinleri kullanmaktır. Her e-ticaret sitesinin veri işleme süreçleri farklıdır. Başka bir siteden alınan metin, fiili veri akışını yansıtmazsa aydınlatma yükümlülüğü eksik kalır.
E-Ticaret Siteleri İçin KVKK Uyum Kontrol Listesi
E-ticaret işletmeleri öncelikle veri envanteri hazırlamalıdır. Hangi veriler üyelikte, siparişte, ödemede, teslimatta, iadede, müşteri destek sürecinde, pazarlamada ve çerezler yoluyla işleniyor? Bu veriler hangi amaçla, hangi hukuki sebebe dayanarak ve ne kadar süreyle işleniyor? Kimlere aktarılıyor? Yurt dışına aktarım var mı?
İkinci olarak aydınlatma metni güncellenmelidir. Müşteri, üye, ziyaretçi ve çerez aydınlatmaları ayrı ayrı hazırlanabilir. Metinler sade, anlaşılır ve somut olmalıdır.
Üçüncü olarak açık rıza ve ticari elektronik ileti izinleri ayrıştırılmalıdır. Pazarlama izinleri siparişin zorunlu şartı yapılmamalı, müşteriye gerçek tercih hakkı verilmelidir. SMS, e-posta ve arama izinleri ayrı yönetilmelidir.
Dördüncü olarak İYS süreçleri kontrol edilmelidir. İzin kayıtları, ret kayıtları ve sistem entegrasyonları düzenli tutulmalıdır.
Beşinci olarak çerez yönetim paneli kurulmalıdır. Zorunlu olmayan çerezler varsayılan olarak kapalı olmalı; kullanıcı aktif seçimle onay vermelidir.
Altıncı olarak üçüncü taraf hizmet sağlayıcılarla veri işleme sözleşmeleri yapılmalıdır. Kargo, ödeme, yazılım, reklam, e-posta ve bulut sağlayıcılarıyla veri güvenliği yükümlülükleri netleştirilmelidir.
Yedinci olarak veri güvenliği artırılmalıdır. Panel erişimleri sınırlandırılmalı, log kayıtları tutulmalı, şifreleme ve yedekleme yapılmalı, çalışanlara eğitim verilmeli ve veri ihlali müdahale planı hazırlanmalıdır.
Sonuç
E-ticaret sitelerinde KVKK uyumu, satış sürecinin ayrılmaz bir parçasıdır. Müşteri verileri, üyelik, sipariş, ödeme, teslimat, iade, müşteri destek, pazarlama ve çerez süreçleri birlikte değerlendirilmeli; her veri işleme faaliyeti için doğru hukuki sebep belirlenmelidir. E-ticaret işletmeleri, müşterinin alışveriş yapması için zorunlu olan veri işleme faaliyetleri ile pazarlama, reklam ve davranışsal takip gibi isteğe bağlı faaliyetleri birbirinden ayırmalıdır.
Pazarlama izinleri bakımından İYS kayıtları, ticari elektronik ileti mevzuatı ve KVKK birlikte uygulanmalıdır. Müşterinin telefon veya e-posta bilgisini teslimat için vermesi, ona kampanya mesajı gönderilebileceği anlamına gelmez. Kurul’un 2025/1072 sayılı ilke kararı, SMS doğrulama kodu ile farklı onayların tek işlemde alınması ve ticari elektronik ileti izninin hizmetin zorunlu şartı gibi sunulması konusunda e-ticaret işletmeleri için açık bir uyarı niteliğindedir.
Çerezler bakımından ise kesinlikle gerekli çerezler ile reklam, pazarlama, analitik ve davranışsal takip çerezleri ayrıştırılmalıdır. Kurul’un e-ticaret sektörüne ilişkin 2022/229 sayılı kararı, zorunlu olmayan çerezlerde aktif rıza mekanizması, çerez politikasının güncellenmesi ve yurt dışı aktarım süreçlerinin KVKK’ya uygun hale getirilmesi gerektiğini göstermektedir.
Sonuç olarak, KVKK’ya uygun bir e-ticaret sitesi kurmak için yalnızca hukuki metin yayımlamak yeterli değildir. Veri envanteri hazırlanmalı, aydınlatma metinleri somutlaştırılmalı, açık rıza ve pazarlama izinleri ayrı yönetilmeli, İYS süreçleri güncel tutulmalı, çerez yönetim paneli kurulmalı, üçüncü taraf hizmet sağlayıcılar denetlenmeli ve veri güvenliği tedbirleri uygulanmalıdır. Bu süreç doğru yürütüldüğünde e-ticaret işletmesi hem idari para cezası ve şikâyet riskini azaltır hem de müşterilerine güven veren, şeffaf ve hukuka uygun bir dijital alışveriş deneyimi sunar.