E-Ticaret Sitelerinde Kart Bilgisi Dayatmasına Geçit Yok: 2023/567 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 11/04/2023 tarihli ve 2023/567 sayılı kararı ile e-ticaret dünyasında standart hale gelmeye başlayan ancak kullanıcı haklarını ihlal eden “kart bilgilerini kaydetme zorunluluğu” uygulamasını mercek altına almıştır. Bu karar, alışverişi tamamlamak için kartın sisteme (cüzdana) kaydedilmesinin şart koşulmasını hukuka aykırı bulmuştur.

Şikayetin Konusu: “Kaydetmeden Alışveriş Yapamazsın” Zorlaması

İlgili kişi, bir e-ticaret sitesinden alışveriş yaparken kart bilgilerini sisteme kaydetmeden “devam et” butonunun çalışmadığını, yani tek seferlik ödeme yapmasına izin verilmediğini belirterek şikayetçi olmuştur. Kullanıcı, rızası dışında kart verilerinin sistemde tutulmasını Kanun’a aykırı bulmuştur.

Veri Sorumlusunun Savunması: “Hız ve Kolaylık İçin”

E-ticaret şirketi özetle; kart bilgilerinin sözleşmenin ifası (Md. 5/2-c) ve meşru menfaat (Md. 5/2-f) kapsamında işlendiğini, müşterinin dilerse alışveriş bittikten sonra “kartlarım” sekmesinden kartı silebildiğini, bu sistemin sonraki alışverişleri kolaylaştırmak amacıyla kurulduğunu savunmuştur.

Kurulun Hukuki Değerlendirmesi: “Amaç Değişirse Şart da Değişir”

Kurul, yaptığı sistem testleri sonucunda veri sorumlusunun savunmasını şu gerekçelerle haksız bulmuştur:

1. Mevcut Alışveriş vs. Gelecek Alışveriş: Mevcut alışverişin tamamlanması için kart bilgilerinin işlenmesi “sözleşmenin ifası” (Md. 5/2-c) şartına dayanabilir. Ancak verinin alışverişten sonra da saklanması, “sonraki alışverişleri kolaylaştırmak” gibi yeni ve farklı bir amaçtır.
2. Açık Rıza Zorunluluğu: Avrupa Veri Koruma Otoritesi (EDPB) kararlarına da atıf yapan Kurul, kart bilgilerinin sonraki alışverişler için saklanmasının ancak kullanıcının açık rızası (Md. 5/1) ile mümkün olabileceğini belirtmiştir.
3. Hukuka ve Dürüstlük Kuralına Aykırılık: Bilginin önce zorunlu olarak kaydedilmesi, sonra kullanıcıdan silmesinin beklenmesi “dürüstlük kuralına” aykırıdır ve kullanıcıyı yanıltmaktadır.
4. Ölçülülük İlkesi: Alışverişi tamamlamak için saklamayı şart koşmak, “amaçla bağlılık, sınırlılık ve ölçülülük” ilkelerini (Md. 4) ihlal etmektedir.

Karar Sonucu: 500.000 TL Para Cezası ve Sistem Değişikliği

Kurul;

• Veri güvenliği yükümlülüklerinin yerine getirilmemesi nedeniyle veri sorumlusuna 500.000 TL idari para cezası uygulamıştır.
• Şirkete, kart bilgilerinin kaydedilmesi için kullanıcının aktif onayını (opt-in) alacak bir sistem geliştirmesi talimatını vermiştir.
• Aydınlatma metinlerinin bu yeni yapıya uygun hale getirilmesini istemiştir.

Özgür Eralp Perspektifi: “Kolaylık, Hukuksuzluğun Gerekçesi Olamaz”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, e-ticaret devlerinin “kullanıcı deneyimi” (UX) adı altında hukuki zorunlulukları nasıl esnetmeye çalıştığını sıkça gördük. “İsteyen sonra silebilir” yaklaşımı, KVKK’nın ruhuna aykırıdır; çünkü asıl olan verinin toplanma aşamasında hukuka uygunluktur.

Bir yatırımcı avukat vizyonuyla uyarım şudur: E-ticaret platformları, “tek tıkla ödeme” konforunu sunarken, bunu bir zorunluluk değil, bir seçenek olarak sunmalıdır. Kullanıcıya “Kartımı bu alışverişten sonra kaydetme” kutucuğunu işaretletmeden kartı saklamak, bugün 500.000 TL olan yarın milyonlara ulaşan idari yaptırımların kapısını açar. Tüketiciler ise ödeme ekranında “Kartımı Kaydet” seçeneğinin önceden işaretlenmiş (pre-ticked) olmamasına dikkat etmeli, kontrolün kendilerinde olduğunu bilmelidir.

---

Sıkça Sorulan Sorular

1. E-ticaret sitesi kartımı kaydetmeden alışveriş yapmama izin vermiyor, bu yasal mı?

Hayır. Kurul’un 2023/567 sayılı kararına göre bu uygulama hukuka aykırıdır. Site size “kaydetmeden devam et” seçeneğini sunmak zorundadır.

2. Alışveriş bittikten sonra kartımı silmem yeterli değil mi?

Kullanıcı olarak silebilirsiniz ancak hukuki sorun, verinin sizden alınırken zorunlu tutulmasıdır. Veri sorumlusu, en başta sizin rızanızı almadan o veriyi sisteminde “saklı tutma” hakkına sahip değildir.

3. “Sözleşmenin ifası” gerekçesi kart saklamak için neden geçersiz?

Sözleşmenin ifası, o anki ödemenin alınması için geçerlidir. Ödeme tamamlandıktan sonra kartın saklanmaya devam etmesi sözleşmenin ifası için değil, gelecekteki olası bir sözleşmenin hazırlığıdır ve bu durum ancak açık rıza ile mümkündür.

4. Kayıtlı kartımın güvenliğinden kim sorumlu?

Eğer kartınızı kaydetmeye rıza verdiyseniz, veri sorumlusu (e-ticaret sitesi) ve ödeme sistemleri sağlayıcısı, bu veriyi şifrelemek ve sızmalara karşı korumakla (KVKK Md. 12) yükümlüdür.

5. Bu karardan sonra e-ticaret siteleri ne yapmalı?

Ödeme ekranına “Kart bilgilerimi sonraki alışverişlerim için kaydedilmesini onaylıyorum” şeklinde işaretlenmemiş bir kutucuk eklemeli ve bu kutucuğu işaretlemeyenlerin de alışveriş yapabilmesini sağlamalıdırlar.

---

Kaynaklar

• KVKK Kurumu – 2023/567 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 4, 5, 12, 18)
• EDPB – 02/2021 Sayılı Tavsiye Kararı (Kredi Kartı Verilerinin İşlenmesi)
• 6563 Sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun