E-ticaret sitesi sahiplerinin veya site yöneticilerinin, faaliyet gösterdiği dönemde veya sonrasında karşılaşabileceği durumlardan biri de kullanıcı bilgileri veya faaliyetleri ile ilgili kendilerine gelen bilgi talepleridir.
Üçüncü şahıslar hakkında yürütülen bir soruşturma veya açılmış bir dava kapsamında delil olmak üzere bazı kayıtlar, kendilerinden talep edilebilir. Bu talepler genelde savcılık, emniyet veya mahkemeler tarafından yazılı olarak posta veya e-posta yolu ile yapılır. Ayrıca kanunların yetkili kıldığı bazı bakanlıklar veya idari kurumlar da bu tip araştırmaları yapabilmektedir.
Bu taleplerde kullanıcıların belli bir tarih ve saatte kullandığı IP adresi, kimlik bilgileri ve kimi zaman da alışveriş kayıtları gibi bilgilerin talep edilmesi söz konusu olabilir. Genelde bunların sebebi, şüpheli bir işlem, kredi kartı dolandırıcılığı veya tamamen farklı bir olaya konu olmasından ileri gelebilir. Bu noktada bilgi talep edilen kişinin veya site sahibi firmanın da kanuni yükümlülüklerini yerine getirmiş olması kendisinden beklenir. Bu taleplerin, belirtilen süre içinde cevaplanması, talep edilen kayıtların, talep edilen şekilde sunulması yasal zorunluluktur, aksi halde yaptırım uygulanır.
Bu noktada kimin, hangi verileri ne kadar süre ile saklamış olması gerektiği sorunu ortaya çıkar. Bu yükümlülükler de kanunlarla belirlenmiştir. Bunları yazının devamında kısaca açıklayacağım ancak öncelikle bu verilerin gizliliğinin ve güvenliğinin sağlanmasının önemini vurgulamak isterim. Bu zorunluluk hem elektronik ticaretin düzenlenmesi hakkında kanunda, hem internet yasasında, hem de ceza kanunlarında düzenlenmiştir. Nitekim bu veriler, kişileri tanımlamaya yetecek seviyede olduğundan kişisel veri olarak kabul edilir ve bu sebeple de hem Anayasal olarak güvence altındadır, hem de henüz geçtiğimiz ay yürürlüğe giren kişisel veriler kanunu gereği de korunması zorunlu verilerdendir.
Dolayısıyla sadece kendi bünyenizde bu verilerin gizlilik ve güvenliğini, bütünlüğünü sağlamak yetmez, onları kanunun belirttiği süreler sona erdiğinde, silmek ve yok etmiş olmak; veri sahibinin izni olmadan üçüncü kişilerle paylaşmamak gerekir. Elbette bunun tek istisnası, yukarıda belirttiğim şekilde yasal ve idari makamlarca talep edilmiş olmasıdır. Ancak her halükarda, talep edilen verinin belli bir soruşturmaya, belli bir işleme veya kişiye dair olarak talep edilmiş olması gerekir. Örneğin sitenizde kayıtlı bir üyenin bilgileri talep edilirken, belirli bir tarih ve saat aralığı verilmiş olması gerekir. Ayrıca hangi verilerin talep edildiğine de dikkat etmek gerekir. Talep edilenden fazla bilginin paylaşılması da yine kişisel verinin sahibine karşı hukuka aykırılık anlamına gelecektir.
PEKİ KİM, HANGİ VERİLERİ, NE KADAR SÜRE İLE SAKLAMALI DERSEK; 5651 sayılı internet yasası gereği, öncelikle faaliyetinizin hangi kişi grubunda olduğuna dikkat etmek gerekir. Erişim sağlayıcılar; kullanıcılarına internet ortamına erişim olanağı sağlayan her türlü gerçek ve tüzel kişileri ifade eder. Bu gruba en iyi örnek telekomünikasyon firmalarıdır. Yer sağlayıcılar ise; Hizmet ve içerikleri barındıran sistemleri sağlayan gerçek ve tüzel kişileri ifade eder. Hosting firmaları da bu gruba örnektir. Hemen ekleyelim, site sahibi olarak, içerikleri kullanıcılarınız sağlıyorsa ve onlara ortam sağlar nitelikte bir site iseniz, bu durumda yer sağlayıcı konumunda olursunuz.
Kayıt edilecek bilgilere gelince; bu veriler kanunda ‘Trafik Verisi’ olarak tanımlanmış olup; taraflara ilişkin IP adresi, bağlantı başlama ve sonlanma tarih ve saat bilgisi, aktarılan veri miktarı, abone kimlik bilgileri gibi bilgilerdir. Kanunen erişim sağlayıcılar, 6 aydan az ve 2 yıldan fazla olmamak üzere saklamakla; yer sağlayıcılar ise 1 yıldan az ve 2 yıldan fazla olmamak kaydıyla bu verileri saklamak zorundadır.
Elbette bu sırada Anayasal hakların da ihlaline sebebiyet verilmemesi gerekir. Özellikle AB’ye uyum sürecinin hızlandırıldığı son günlerde, bu tür konularda yapılan yeni hukuki düzenlemeler gözetilmeli ve internet üzerindeki ticari faaliyetlerde kişisel verilerin korunması hususuna daha büyük bir hassasiyetle yaklaşılması gerekmektedir.
‘Bu yazı ilk olarak E-ticaret Çağı dergisinin Mayıs 2016 sayısında yayınlanmıştır.’