Avrupa Veri Koruma Kurulu (EPDB, e-ticaret sitelerinde kullanıcıların alışveriş yapabilmesi için hesap oluşturmaya zorlanmasının hukuki dayanaklarını inceleyen 2/2025 sayılı Tavsiye Kararı'nı kamuoyu görüşüne açtı.

12 Şubat 2026 tarihine kadar görüşe açık kalacak olan bu rehberin öne çıkan başlıkları aşağıdaki şekilde;

Temel İlke: "Misafir Modu" (Guest Checkout) Varsayılan Olmalı: EDPB, genel kural olarak kullanıcıların hesap oluşturmadan ("Misafir Modu" ile) alışveriş yapabilmesinin en uygun yöntem olduğunu belirtmektedir. Kullanıcıları hesap oluşturmaya zorlamak, GDPR'ın veri minimizasyonu ve "varsayılan olarak veri koruma" (data protection by default) ilkelerine aykırı bulunmuştur.

Hukuki Dayanakların Dar Yorumlanması: Kurul, e-ticaret sitelerinin hesap zorunluluğu için sıklıkla başvurduğu hukuki dayanakları (Sözleşmenin İfası, Hukuki Yükümlülük, Meşru Menfaat) incelemiş ve şu sonuçlara varmıştır: Sözleşmenin İfası: Tek seferlik ürün satışlarında hesap oluşturmak sözleşmenin ifası için "gerekli" değildir; siparişin teslimi için gerekli veriler (adres vb.) hesap açılmadan da alınabilir. Hesap zorunluluğu ancak hashtag#abonelik hizmetleri veya belirli bir topluluğa özel üyelik gerektiren durumlar söz konusuysa hukuka uygun kabul edilmektedir. Meşru Menfaat: Sipariş takibi, sonraki alışverişlerin kolaylaştırılması veya müşteri sadakati gibi gerekçelerle hesap oluşturmanın zorunlu tutulması, veri sahibinin temel haklarını ihlal ettiği gerekçesiyle genellikle kabul görmemektedir. Sahteciliğin Önlenmesi: EDPB, hesap oluşturmanın sahteciliği önlemek (fraud prevention) için zorunlu tutulmasını da reddetmektedir. Kurul'a göre, hesap oluşturulması tek başına dolandırıcılığı engellemez; aksine ele geçirilen hesaplar daha büyük riskler doğurabilir. Hukuki ve Muhasebesel Yükümlülükler: Vergi ve muhasebe kanunları gereği fatura saklama yükümlülüğü, aktif bir kullanıcı hesabı tutulmasını gerektirmez. Faturalar ve işlem kayıtları, kullanıcı hesabı olmadan da arşivlenebilir.

Taslak rehber, mevcut haliyle kabul edildiği takdirde, GDPR kapsamında veri işleyen ve "Misafir Modu" seçeneği sunmayan e-ticaret sitelerinin ciddi uyum riskleri ile karşı karşıya kalacaktır.

Söz konusu gelişmelerin ülkemizdeki uygulamaları da etkileyeceği düşünüldüğünden gelişmeleri takip etmenin faydalı olacağını değerlendirmekteyiz.

