“Your Search, Your World”

index.net.tr © all rights reserved

E-Ticaret Sitelerinde Kullanıcı Verilerinin Saklanma Süresi

E-Ticaret Sitelerinde Kullanıcı Verilerinin Saklanma Süresi

Giriş

E-ticaret sistemleri, kullanıcı verilerini işlemeye ve saklamaya dayalı dijital altyapılar üzerine kuruludur. Alışveriş yapan her kullanıcı, kişisel bilgilerini — ad, soyad, adres, iletişim bilgileri, ödeme tercihleri gibi — platforma bırakırken, bu bilgilerin ne kadar süreyle saklanacağı ve nasıl korunacağı önemli bir hukuki ve etik tartışma konusudur. Türkiye’de bu durum, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve ilgili ikincil mevzuat çerçevesinde düzenlenmektedir. Bu makalede, e-ticaret sitelerinde kullanıcı verilerinin yasal olarak ne kadar süre saklanabileceği, hangi verilerin saklanması gerektiği ve bu sürenin sonunda ne yapılması gerektiği detaylı şekilde ele alınacaktır.

KVKK Kapsamında Veri Saklama Süresi

1. Temel İlke: Amaca Uygunluk ve Gerekli Süre

KVKK’nın 4. maddesi gereği, kişisel veriler yalnızca belirli, açık ve meşru amaçlar için işlenebilir ve bu amaçların gerektirdiği süre kadar muhafaza edilebilir. Bu süre sona erdiğinde ise veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

2. Veri Sorumlusunun Yükümlülüğü

E-ticaret platformları, veri sorumlusu sıfatıyla;

  • Hangi verileri ne amaçla topladığını,
  • Bu verileri ne kadar süre saklayacağını,
  • Süre bitiminde ne şekilde imha edeceğini açık bir Veri Saklama ve İmha Politikası ile belirlemek ve kamuoyuyla paylaşmak zorundadır.

Kullanıcı Verilerinin Türlerine Göre Saklama Süreleri

Aşağıda e-ticaret sitelerinde en sık işlenen veri türleri ve bunlara ilişkin yasal saklama süreleri yer almaktadır:

1. Kimlik ve İletişim Bilgileri

  • Ad, soyad, e-posta, telefon, adres
  • Saklama süresi: Sipariş, üyelik veya sözleşme sona erdikten sonra 10 yıl (TBK m.146 gereği genel zamanaşımı süresi)

2. Fatura ve Ödeme Bilgileri

  • Kredi kartı bilgisi (tokenize edilmemiş halde saklanamaz)
  • Fatura içerikleri, ödeme dekontları, sipariş geçmişi
  • Saklama süresi: 10 yıl (Vergi Usul Kanunu ve e-fatura mevzuatı gereği)

3. Çerez ve Oturum Bilgileri

  • IP adresi, giriş saati, oturum süresi
  • Saklama süresi: 6 ay – 2 yıl (açık rıza veya meşru menfaat durumuna göre değişir)

4. Şikayet, Destek Talepleri ve Müşteri Hizmetleri Kayıtları

  • Saklama süresi: 3 yıl (Tüketici Hakem Heyeti ve Mahkeme başvurularında delil teşkil edebilmesi için önerilir)

5. Üyelik Bilgileri ve Kullanıcı Davranış Verileri

  • Favoriler, alışveriş geçmişi, arama geçmişi, gezinme davranışları
  • Saklama süresi: Üyelik süresince + 2 yıl (ticari analiz ve kullanıcı rızasına bağlı işleme koşullarına göre)

Veri Saklama Süresi Dolduğunda Ne Olur?

Veri sorumlusu, saklama süresi sona eren kişisel verileri;

  • Silmek (erişilemez hale getirmek),
  • Yok etmek (geri döndürülemez şekilde ortadan kaldırmak),
  • Anonimleştirmek (kişisel veri niteliğini yitirecek şekilde dönüştürmek)

zorundadır. Bu işlemler “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” kapsamında belgelenmeli ve gerektiğinde KVKK Kurumu tarafından denetlenebilir olmalıdır.

E-Ticaret Siteleri Açısından Riskler

1. Aydınlatma Yükümlülüğünün İhlali

Veri saklama süreleri, gizlilik politikalarında açıkça yer almazsa, veri sahibi aydınlatılmadığı gerekçesiyle şikâyette bulunabilir.

2. Verinin Süresiz Saklanması

Amaç dışı ve süresiz veri saklamaları, KVKK’ya aykırılık teşkil eder ve idari para cezalarına neden olabilir.

3. Veri İhlali Durumlarında Yüksek Cezalar

Verilerin süresinden fazla saklanması durumunda yaşanan bir veri ihlali, hem cezai sorumluluk doğurur hem de marka itibarını ciddi şekilde zedeler.

Uyum İçin Öneriler

  • Veri işleme envanteri oluşturun.
  • Saklama süresi politikalarını belirleyin ve düzenli güncelleyin.
  • Kullanıcılardan açık rıza alınmasını sağlayın (çerezler, üyelik işlemleri vb.).
  • Belirli periyotlarla veri imha işlemleri gerçekleştirin.
  • KVKK uyum denetimleri yapın veya bir veri koruma görevlisi istihdam edin.

Özetle

E-ticaret siteleri kullanıcı verilerini amaca uygun, sınırlı ve ölçülü biçimde işlemekle yükümlüdür. Kimlik, iletişim, ödeme ve davranış verileri gibi bilgiler, ilgili mevzuatlara göre belirli sürelerle saklanmalı; bu sürelerin sonunda silinmeli, yok edilmeli veya anonim hale getirilmelidir. KVKK, VUK ve diğer ilgili kanunlar doğrultusunda belirlenen bu süreler ihlal edildiğinde idari yaptırımlar uygulanabilir. Bu nedenle, her e-ticaret platformu, kapsamlı bir veri saklama politikası geliştirerek hem yasal uyumu hem de kullanıcı güvenini sağlamalıdır.

Anahtar Kelimeler: KVKK, e-ticaret veri saklama süresi, kişisel veri işleme, kullanıcı bilgileri silme, dijital gizlilik, veri envanteri, veri imha politikası, 6698 sayılı kanun, vergi usul kanunu, çevrimiçi veri koruma