E-Ticaret Sitelerinde Aydınlatma Yükümlülüğü ve Açık Rıza Sorunları

1. Giriş: Dijital Ticaret ve Kişisel Verilerin İşlenmesi Sorunu

Türkiye’de ve dünyada e-ticaret hacmi her yıl büyümekte; tüketicilerin büyük bölümü alışverişlerini çevrim içi platformlar üzerinden gerçekleştirmektedir. Bu durum, e-ticaret sitelerinin;

• Tüketici bilgilerini,

• Ödeme verilerini,

• Davranışsal çerez verilerini,

• Teslimat/adres kayıtlarını,

• Pazarlama amaçlı tercih bilgilerini

işlemesini zorunlu kılmaktadır. Bu çerçevede e-ticaret platformları için KVKK (6698 Sayılı Kanun), 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK), Mesafeli Sözleşmeler Yönetmeliği, Türk Borçlar Kanunu, Türk Ticaret Kanunu (TTK) ve ayrıca e-ticaret yöneticileri için Reklam Kurulu kararları ve KVKK Kurul Kararları büyük önem taşır.

E-ticaret sitelerine yöneltilen şikâyetler incelendiğinde en yaygın hukuki sorunlar:

1. Aydınlatma metinlerinin eksik olması,

2. Hukuka aykırı veya geçersiz açık rıza alınması,

3. Çerez ve takip teknolojilerinin izinsiz kullanımı,

4. Ticari elektronik ileti izninin usulsüz alınması,

5. Mesafeli satış ön bilgilendirme eksiklikleri,

6. Veri minimizasyonu ilkesine aykırı veri işleme,

7. KVKK’ya aykırı kampanya, çekiliş, CRM faaliyetleri

şeklinde ortaya çıkmaktadır.

---

2. Mevzuat Çerçevesi: Hangi Düzenlemeler Uygulanır?

2.1. KVKK (6698 Sayılı Kanun)

Madde 10 – Aydınlatma yükümlülüğü
Madde 5-6 – Kişisel veri işleme şartları
Madde 11 – Veri sahibinin hakları
Madde 12 – Veri güvenliği yükümlülükleri
Madde 18 – İdari para cezaları

2.2. Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563)

Madde 6–8: Ticari elektronik ileti izni
Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik

2.3. Mesafeli Sözleşmeler Yönetmeliği

Ön bilgilendirme, cayma hakkı, sözleşme kurulumu.

2.4. E-Ticaret Kanunu ve Reklam Kurulu Kararları

Şeffaflık, bilgilendirme, aldatıcı reklama ilişkin hükümler.

2.5. GDPR (Avrupa Birliği Genel Veri Koruma Tüzüğü)

Avrupa’ya satış yapan veya Avrupa’da yerleşik müşterisi olan e-ticaret platformları için bağlayıcıdır.

---

3. E-Ticaret Sitelerinde Aydınlatma Yükümlülüğü

3.1. Aydınlatma Neden Gerekir?

E-ticaret siteleri kullanıcıdan ilk anda şu verileri talep eder:

• Ad-soyad, telefon, e-posta

• Teslimat adresi

• IP adresi, tarayıcı bilgisi

• Log kayıtları

• Çerez verileri

• Kart bilgilerinin ödeme aracısı tarafından alınması

Bunların çoğu kişisel veri niteliğindedir. Bu nedenle KVKK m.10 gereği, veri sorumlusu kişisel verileri işlemeye başlamadan önce veri sahibini aydınlatmak zorundadır.

3.2. Aydınlatma Metninin Zorunlu Unsurları

KVKK’ya göre aydınlatma metni;

• Veri sorumlusunun unvanı ve iletişim bilgileri,

• Hangi kişisel verilerin işlendiği,

• İşleme amaçları,

• Verilerin kimlere ve hangi amaçlarla aktarıldığı,

• Veri toplama yöntemi ve hukuki sebebi,

• Veri sahibinin hakları (m.11)

unsurlarını içermelidir.

E-ticaret sitelerinin çoğu bu unsurları eksik veya soyut bırakmaktadır. Örneğin;

“Verileriniz faaliyetlerimizin yürütülmesi amacıyla işlenmektedir.”
şeklindeki genel ifadeler Kurul tarafından yetersiz sayılmaktadır.

Doğru ifade şu şekilde olmalıdır:

• Siparişin alınması, ödemelerin gerçekleştirilmesi, teslimat yapılması,

• Üyelik hesabının oluşturulması,

• Müşteri hizmetleri faaliyetlerinin yürütülmesi,

• Faturalandırma süreçlerinin yürütülmesi

gibi amaçlar tek tek ve somut biçimde belirtilmelidir.

3.3. Aydınlatma Ne Zaman Yapılmalıdır?

Aydınlatma;

• Üyelik formu doldurulurken,

• Sepete ekleme ve sipariş süreçlerinde,

• İlk veri temasında,

• Çerez yerleştirildiği anda

kullanıcıya ulaştırılmalıdır.

Sipariş tamamlandıktan sonra sunulan aydınlatma metni hukuka aykırıdır.
Çünkü veri işleme veri konusu kişiye bilgi verilmeden başlamış olur.

3.4. E-Ticarette Aydınlatmanın En Sık Eksik Bırakılan Alanları

• Çerezlerle ilgili aydınlatma yapılmaması,

• Reklam/pazarlama amaçlı CRM çalışmalarında ayrı bilgilendirme yapılmaması,

• Kargo/teslimat firmalarına veri aktarımının açıklanmaması,

• Ödeme kuruluşlarına aktarımın belirtilmemesi,

• Reklam panelleri (Meta Ads, Google Ads) kullanımı hakkında bilgi verilmemesi,

• Üçüncü taraf çerezleri (Meta Pixel, Google Analytics) hakkında açıklama yapılmaması.

KVKK Kurulu kararlarında özellikle çerez politikalarının “altyapı çerezleri hariç her şey için açık rıza alınması gerektiği” açık şekilde vurgulanmaktadır.

---

4. Açık Rıza Sorunları: E-Ticaret Sitelerinde Yaygın Hatalar

4.1. Açık Rıza Nedir?

Kanuna göre açık rıza:

• Belirli bir konuya ilişkin,

• Bilgilendirmeye dayanan,

• Özgür iradeyle açıklanan izin beyanıdır.

E-ticarette en fazla tartışma konusu olan nokta açık rızanın gerçekten özgür irade ile açıklanıp açıklanmadığıdır.

4.2. E-Ticarette Açık Rıza Hangi Amaçlarla Alınabilir?

Zorunlu olmayan işlemler için:

• Ticari elektronik ileti izni (SMS, e-posta, arama),

• Çerez ve davranışsal reklam çerezlerine izin,

• Sadakat programları, kampanya üyelikleri,

• Profil çıkarma amaçlı pazarlama faaliyetleri,

• Konum bilgisinin işlenmesi,

• Anket ve analiz gibi pazarlama faaliyetleri.

Fatura düzenlenmesi, teslimat yapılması, müşteri hizmetleri gibi zorunlu veri işleme amaçları için açık rıza gerekmez.

4.3. Açık Rızayı Geçersiz Kılan Durumlar

1. “Zorunlu alan” olarak işaretlenen rıza kutuları

KVKK Kurulu bu uygulamayı defalarca hukuka aykırı bulmuştur.

Örneğin:

“Devam etmek için KVKK açık rıza kutusunu işaretlemeniz gerekir.”

Bu ifade açık rızayı geçersiz kılar çünkü kişi alışverişini sürdürmek için rıza vermeye zorlanmaktadır.

2. Önceden işaretlenmiş kutular

“Opt-out” modeli Türkiye’de geçerli değildir.

3. Aydınlatma metni ile açık rızanın karıştırılması

“Aydınlatma ve açık rıza metnini okudum, kabul ediyorum” şeklindeki birleşik metin hukuka aykırıdır.

4. Genel ve belirsiz ifadeler

“Açık rızam vardır” tek başına yeterli değildir.
Açık rıza hangi işleme faaliyetleri için verildiğini açıkça içermelidir.

5. Tek bir rıza ile birden fazla amaç için izin alma

Örneğin:

• Profil çıkarma + reklama izin + 3. taraf çerezler
  tek bir kutuya bağlanamaz.

Kurul bu durumu “kültürel rıza” (bundled consent) olarak nitelendirmekte ve geçersiz saymaktadır.

---

5. Çerezler ve Davranışsal Reklamcılıkta Rıza Sorunu

5.1. Çerez Türleri

1. Zorunlu çerezler (açık rıza gerekmez)

2. Performans çerezleri

3. Reklam/pazarlama çerezleri

4. Üçüncü taraf çerezleri (Facebook Pixel, Google Analytics vb.)

KVKK Kurulu, e-ticaret sitelerinde zorunlu olmayan tüm çerezler için açık rıza alınmasını zorunlu tutmaktadır.

5.2. Çerez Duvarı Yasağı

Çerez duvarı (cookie wall) — yani “çerezleri kabul etmediğiniz takdirde siteyi kullanamazsınız” uygulaması — özgür iradeye aykırı olduğu için geçersizdir.

Kullanıcıya;

• “Kabul et”

• “Reddet”

• “Tercihleri düzenle”

seçeneklerinin aynı ekran üzerinde sunulması gerekir.

5.3. Reklam Kurulu ve KVKK Kurul Kararları

Kararlarda özellikle:

• Facebook Pixel,

• Google Ads Remarketing,

• Hotjar, Mixpanel, Yandex Metrica gibi analiz araçlarının,

açık rıza olmadan kullanılması hukuka aykırı bulunmuştur.

---

6. Ticari Elektronik İleti İzni (SMS – E-posta – Arama)

6.1. ETK’ya Göre İzin Şartı

6563 sayılı ETK ve ilgili yönetmelik gereğince, tüketiciye;

• SMS,

• E-posta,

• Sesli arama,

• Otomatik arama sistemleri

yoluyla tanıtım, kampanya, indirim, bilgilendirme gibi amaçlarla mesaj gönderilebilmesi için İYS (İleti Yönetim Sistemi) üzerinden izin alınması zorunludur.

6.2. E-Ticaret Sitelerinin Yanlış Uygulamaları

• Üyelik formuna gizlenmiş ticari ileti kutusu,

• Önceden işaretlenmiş kutu,

• Üyeliğin ön şartı olarak ticari ileti izni istenmesi,

• “Kampanyalardan haberdar olmak istiyorum” yerine “Üyelik için zorunlu” denmesi,

• Firma tarafından İYS’ye izin yüklenmeden mesaj göndermesi.

Bu hatalar hem ETK kapsamında idari para cezasına hem de KVKK kapsamında hukuka aykırılık tespitine yol açar.

6.3. Doğru İzin Nasıl Olmalıdır?

• “Ticari elektronik iletiler almayı kabul ediyorum.”
  seklindeki kutu işaretlenebilir şekilde bırakılmalıdır.

• Seçimin değiştirilebilmesi gerekir.

• İzin türü ve kanal (SMS/e-posta) ayrı ayrı belirtilmelidir.

• İYS’ye 3 iş günü içinde yansıtılmalıdır.

---

7. Mesafeli Sözleşmeler ve Aydınlatma

E-ticaret sitelerinde tüketicinin korunması için ön bilgilendirme zorunludur. Bu zorunluluk ile aydınlatma yükümlülüğü birbirinden tamamen farklıdır.

Aydınlatma (KVKK):

Kişisel veri işleme faaliyetlerinin açıklanması.

Ön bilgilendirme (MSY):

• Ürün özellikleri,

• Toplam fiyat,

• Kargo bedeli,

• Cayma hakkı,

• Satıcının bilgileri,

• Teslimat süresi.

Her iki yükümlülük de e-ticaret sitesinin farklı sayfalarında, açık ve sade biçimde sunulmalıdır.

---

8. Veri İşleme Amaçlarının Belirlenmesi

E-ticaret platformları kişisel verileri birçok nedenle işler. Ancak her bir işleme amacı için ayrı hukuki sebep veya açık rıza gerekir.

8.1. Üyelik ve Sipariş İşlemleri (Açık Rıza Gerekmez)

• Alışveriş işlemi

• Faturalandırma

• Ürün teslimi

• Ödeme güvenliği

• Müşteri hizmetleri

Bu işlemler KVKK m.5/2-c “sözleşmenin kurulması ve ifası için gerekli olması” kapsamında değerlendirilir.

8.2. Pazarlama – Profil Çıkarma (Açık Rıza Gerekir)

• Kişiye özel kampanya,

• Remarketing,

• Profil çıkarma,

• CRM, segmentation,

• Üçüncü taraf reklam çerezleri.

Bu işlemler ancak açık rıza ile mümkündür.

---

9. E-Ticaret Sitelerinde Sık Yapılan Uyumsuzluklar

9.1. Aydınlatma Metninin Hiç Olmaması veya Gereksiz Derecede Genel Olması

Birçok e-ticaret platformu “Gizlilik Politikası” adı altında kısa ve soyut bir metin yayımlamakta, ancak KVKK m.10 yükümlülüğünü karşılamamaktadır.

9.2. Çerez Politikası Olmaması

Çerezler için ayrı bir politika sunulması ve rıza yönetim paneli kullanılması gerekir.

9.3. Üyeliğin Açık Rızaya Bağlanması

“Üye olmak için pazarlama onayı veriniz.”
Bu uygulama hukuka aykırıdır.

9.4. E-posta/SMS İzninin Önceden İşaretlenmesi

Türkiye’de opt-in sistemi geçerlidir.
Önceden işaretli kutular geçersizdir.

9.5. Çapraz Kurumlardan Veri Aktarımı

• Kargo firmaları

• Ödeme kuruluşları

• Reklam platformları

• Analiz araçları

bu aktarımların her biri için ayrı açıklama yapılmalıdır.

9.6. Gereksiz Veri Toplanması (Veri Minimizasyonu İhlali)

• TCKN talep edilmesi,

• Doğum tarihi zorunlu tutulması,

• Gereksiz konum bilgisi istenmesi,

• Cinsiyet veya medeni hâl gibi bilgilerin bir zorunluluk olmaksızın talep edilmesi.

Bu uygulamalar KVKK m.4 ilke ihlalidir.

---

10. Aydınlatma ve Açık Rıza Süreçlerinin Doğru Tasarlanması

10.1. Sitede Bulunması Gereken Belgeler

1. KVKK Aydınlatma Metni

2. Çerez Politikası

3. Açık Rıza Metni (ayrı)

4. Ticari Elektronik İleti Açık Rıza İzni

5. Mesafeli Satış Ön Bilgilendirme Formu

6. Mesafeli Satış Sözleşmesi

10.2. Kullanıcı Akışı İçinde Doğru Konumlandırma

• Üyelik sayfası → Aydınlatma linki

• Ödeme adımı → Aydınlatma + ön bilgilendirme

• Çerez bannerı → Çerez yönetimi

• Pazarlama sekmesi → Açık rıza kutuları

10.3. Ekran Tasarımı Açısından Gereklilikler

• Açık rıza kutuları boş gelmelidir.

• Aydınlatma linkine tek tıkla ulaşılmalıdır.

• Çerez paneli anlaşılır olmalıdır.

• “Reddet” butonu görünür olmalıdır.

---

11. KVKK ve ETK Kapsamında İdari Yaptırımlar

11.1. KVKK Kapsamında Cezalar (Madde 18)

• Aydınlatma yükümlülüğünün ihlali: 2024 için 150.000 TL – 500.000 TL arası

• Veri güvenliği yükümlülüğünün ihlali: 300.000 TL – 2.000.000 TL arası

• Kurul kararlarına uymama: 300.000 TL – 2.000.000 TL arası

11.2. ETK Kapsamında Cezalar

• İYS’ye kayıt olmadan ileti gönderme,

• İzin almadan SMS/e-posta gönderme,

2024 itibariyle 50.000 TL’ye kadar idari para cezası.

11.3. Reklam Kurulu Yaptırımları

• Aldatıcı aydınlatma metinleri,

• Gizlenmiş ticari ileti izinleri,

• Çerezlerle gizli profil çıkarma

durumlarında faaliyet durdurma, reklam durdurma, idari para cezası uygulanabilmektedir.

---

12. E-Ticaret İşletmeleri İçin Uyum Stratejisi

12.1. Veri Envanteri Çıkarılması

E-ticaret platformu;

• Hangi veriyi topluyor?

• Bu veri hangi amaçla işleniyor?

• Hangi üçüncü taraflarla paylaşılıyor?

• Hukuki sebep nedir?

• Saklama süresi nedir?

sorularına yanıt bulmalıdır.

12.2. Çerez Yönetimi Yazılımı Kullanılması

• CookiePro

• OneTrust

• Iubenda

• Klaro

gibi araçlar kullanılarak şeffaf rıza yönetimi sağlanabilir.

12.3. Açık Rızaların Kayıt Altında Tutulması

E-ticaret işletmeleri, kullanıcıların verdikleri açık rızaların:

• Tarihini,

• Kanalını,

• İçeriğini,

• İsteğe bağlı olup olmadığını,

kaydetmek zorundadır.

12.4. Saklama ve Silme Politikası Hazırlanması

KVKK m.7 çerçevesinde işletmeler, kişisel verileri gerektiğinden fazla süre saklayamaz. Bu nedenle:

• Sipariş verisi → 10 yıl

• Pazarlama verisi → rıza geri çekilene kadar

• Çerez verisi → çerez türüne göre belirlenmiş süre

saklanmalıdır.

---

13. Sonuç: E-Ticaret Siteleri İçin Hukuka Uygun Bir Dijital Ekosistem Kurma İhtiyacı

E-ticaret platformlarında kişisel veri işleme süreçleri, işletmenin doğrudan ticari faaliyetleriyle bağlantılıdır. Bu nedenle aydınlatma yükümlülüğünün doğru ve eksiksiz şekilde yerine getirilmesi, açık rızanın hukuka uygun şekilde alınması ve ticari elektronik ileti izinlerinin ETK’ya uygun yürütülmesi yalnızca hukuki bir zorunluluk değil; aynı zamanda kurumsal itibarın korunması açısından da kritik bir gerekliliktir.

E-ticaret sitelerinin:

• KVKK’ya uygun aydınlatma metni hazırlaması,

• Açık rıza süreçlerini faaliyet bazlı tasarlaması,

• Çerez yönetim araçları kullanması,

• İYS’ye uygun ticari ileti izni alması,

• Üçüncü taraf hizmet sağlayıcılarını denetlemesi,

• Mesafeli satış ön bilgilendirme yükümlülüğünü yerine getirmesi,

hem yasal uyum sağlar hem de müşteri güvenini artırır.

Bu kapsamlı uyum süreci doğru şekilde yönetildiğinde, e-ticaret işletmeleri hem yaptırım riskinden korunmakta hem de veri güvenliğine önem veren marka algısını güçlendirmektedir.