Milyon lirayı aşan cezalarla sonuçlanabilen kişisel verilerin korunmasından en çok etkilenen sektörlerin başında, büyük miktarda veri girişi olan sigortacılık geliyor. Müşteri güveninin öneminin had safhada olduğu sigorta sektöründe, bir şirketin kişisel verilerle ilgili yapabileceği hata tüm sektörün itibarını etkiliyor. Şirketler için yeni bir kültürel dönüşüm anlamına gelen “Kişisel Verilerin Korunması Kanunu” ezberlerin bozulup veri işlemede sürekli yeni sayfalar açılmasını gerektiriyor.
****
Kişisel verilerin korunması, 2016 yılının Mart ayından bu yana gündemimizdeki bir konu. Avrupa Birliği’nde 1995 yılında yürürlüğe konan uygulama, Türkiye’de biraz geç bile gündeme geldi denebilir. Ülkemizde 20 yıl gecikmeyle işlerliğe konan kanuna göre, kişisel veriler sahibinin açık rızası olmadıkça saklanamıyor, işlenemiyor ve aktarılamıyor.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi, kılık ve kıyafeti, sivil toplum kuruluşu üyeliği, sağlığı, cinsel hayatı, ceza mahkumiyeti, biyometrik ve genetik verileri özel nitelikli kişisel veri sayılıyor.
Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi ve aktarılması yasak. Bu verilerin işlenmesinde ayrıca Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli önlemlerin alınması şartı bulunuyor. Verinin işlenmesini gerektiren nedenler ortadan kalkınca silinmesi, yok edilmesi veya anonim hale getirilmesi gerekiyor. Anonim hale getirme, verinin hiçbir surette gerçek bir kişiyle ilişkilendirilemez hale getirilmesi anlamına geliyor.
Öte yandan kişiye ait sağlık verilerinin işlenip, aktarılmasında aranan yazılı rıza şartı ise sonradan kaldırıldı. Çalışan sayısı 50’nin, cirosu 25 milyon liranın üstündeki şirketlerin çalışanlarıyla ilgili kişisel verileri bu yıl sonuna kadar KVKK bünyesinde bulunan Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kaydetmesi gerekiyor.
Cezalar geliyor
Kanuni süreçle birlikte cezalar da gelmeye başladı. Facebook’un aldığı cezaysa en çok yankı getireni oldu. Ünlü sosyal ağ, Türkiye’deki kullanıcılarının fotoğraf verilerinin uygunsuz işlenmesi nedeniyle geçtiğimiz Mayıs ayında 1 milyon 650 bin liralık para cezasına çaptırıldı. Facebook cezayı ödedi ancak sonrasında itiraz etti. Geçtiğimiz ay ise bir yatırım şirketine, izni olmadan bir kişiyi araması ve bu kişinin mahkemeye başvurması sonucunda 75 bin lira para cezası kesildi.
Kanundan en çok etkilenen sektörlerden biriyse sigortacılık oldu. Müşteri güveninin hayati önemde olduğu sektörde binlerce veri işleyen şirketler, bu verilerin işlenmesinde yeni döneme uyabilmek için sistemlerini dönüştürmek zorunda kaldı. Şirkete bir kez giren veri, artık sadece giriş amacı için kullanılabildiğinden dolayı, şirketlerin eski alışkanlıklarından sıyrılıp yeni bir veri kültürü oluşturmaları neredeyse zorunluluk haline geldi. Ayrıca bu kültürün yeni gelişmelerle sürekli güncellenmesi göz ardı edilmemesi gereken başka bir husus olarak belirdi.
Bir şirketin hatası sadece kendisine zarar vermiyor
Sigorta şirketlerinin geniş bir ekosistem olduğu göz önünde bulundurulduğunda, şirketler ve iş ortaklarının verinin işlenmesi konusunda yapacağı bir hata tüm ekosistemi etkileyebiliyor. Hatta bir şirketin bu konuda bilerek ya da farkında olmayarak yapacağı bir hata, müşteri nezdinde tüm sektöre mâl olabiliyor.
Kanun kapsamında genel ilkeler
Kişisel verilerin işlenmesinde genel ilkeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu m. 4 hükmünde düzenlendi. Bu hükme göre, kişisel verilerin işlenmesinde, hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunlu. Kişisel verilerin işlenmesine ilişkin genel ilkelerin, kişisel verilerin korunması kapsamında bütün yasal düzenlemelere uygunluk açısından dikkate alınması gerekiyor. Bu açıdan, genel ilkeler, veri koruma düzenlemelerine uygunluğun temelini oluşturuyor.
KVKK için kayıt yükümlülüğü yıl sonuna kadar uzatıldı
Sigorta şirketlerinin de bulunduğu, yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan şirketlerin Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen süre, 30 Eylül’den yıl sonuna kadar uzatıldı.
Kişisel Verileri Koruma Kurulu’ndan (KVKK) yapılan açıklama şöyle:
Türkiye Odalar ve Borsalar Birliği (TOBB) ve muhtelif sektör temsilcileri tarafından Kişisel Verileri Koruma Kuruluna intikal ettirilen Veri Sorumluları Siciline kayıt sürelerinin uzatılmasına ilişkin taleplerin değerlendirilmesi neticesinde Kişisel Verileri Koruma Kurulunun Kararıyla;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2019 tarihine kadar uzatılmasına,
- Bu kararın Kurum internet sayfasında duyurulması ve Resmi Gazetede yayımlanmasına karar verilmiştir.
…………….
Anadolu Sigorta Genel Müdür Yardımcısı Fatih Gören:
Amaç hiç kullanmamak değil, amacına uygun kullanmak
“Kanun konusunda yeterli bilincin henüz oluşmaması sebebiyle açık rıza alınmaksızın işlenebilecek kişisel verilerin kullanılması ve saklanmasıyla ilgili tereddütler mevcut. KVKK’nın amacının kişisel verileri hiç kullanmamak değil, kanunda belirtilen ilkelere uygun şekilde kullanmak olduğunun sigortalı ve sigortalı adaylarına anlatılması gerekiyor.”
*****
Anadolu Sigorta Genel Müdür Yardımcısı Fatih Gören, öncelikle, bir sigorta şirketi için meşru amaçlarla kişisel veri işlenmesinin; risk değerlendirmesi, fiyatlama gibi süreçler açısından vazgeçilmez bir durum olduğunu söyledi. “Ancak kanun konusunda yeterli bilincin henüz oluşmaması sebebiyle açık rıza alınmaksızın işlenebilecek kişisel verilerin kullanılması ve saklanmasıyla ilgili tereddütler mevcut” diyen Gören, bu durumda KVKK’nın amacının kişisel verileri hiç kullanmamak değil, kanunda belirtilen ilkelere uygun şekilde kullanmak olduğunun sigortalı ve sigortalı adaylarına anlatılması gerektiğini vurguladı.
Sektör ve paydaşların nezdinde kişisel verilerin korunması kültürünün yerleştirilmesi ve farkındalığın artırılması hususlarının önemli güçlükler arasında olduğunu belirten Gören, bunda KVKK’nın henüz genç bir düzenleme olmasının payının büyük olduğunu ekledi.
Rıza verilmemesi sorun yaratabiliyor
Başka bir konunun ise sağlık sigortası olduğunu söyleyen Fatih Gören, bu konuda şöyle konuştu: “Açık rıza almanın zorunlu olduğu sağlık sigortacılığı gibi kişisel sağlık verilerinin işlenmesini gerektiren süreçlerde sigortalılar ve sigortalı adayları bu rızayı vermekten kaçınıyor. Özellikle bu alanda sigortalıların rıza vermemesi poliçeden doğan yükümlülüklerin karşılanmasını imkansız hale getirebiliyor. İlerleyen dönem için bu belirsizliklerin biraz daha azalması ve uygulamaların daha net hale gelmesi bekleniyor. Bu açıdan mevcut güçlükler dışında yeni bir durum öngörülmüyor.”
KVKK’nın özellikle iş süreçlerini daha şeffaf bir hale getirdiğini de söyleyen Gören sözlerini şöyle noktaladı: “Dolayısıyla hesap verebilirlik ilkesinin ön plana çıkması, müşterilerle güven ilişkisinin daha sıkı bir şekilde kurulmasına yardımcı olmaktadır. Bu sayede sektöre olan güven seviyesinin orta/uzun vadede artacağı söylenebilir.”
…………..
TSB Genel Sekreter Yardımcısı Erhan Bozkurt:
Sağlık verilerinin işlendiği sigorta branşları olumsuz etkilendi
“Açık rıza, ferdi poliçelerde sigortalı adayının başvurusuna istinaden teklif sürecinde alınabiliyorken, aile ve grup poliçelerinde kişisel sağlık verilerinin paylaşımına ilişkin açık rıza alınması pratikte mümkün olamamaktadır. Konunun çözümüne ilişkin çalışmalarımız devam etmektedir.”
*****
TSB Genel Sekreter Yardımcısı Erhan Bozkurt, geçtiğimiz Nisan ayında Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) ve söz konusu sistem için gerçekleştirilmesi gereken işlemler hakkında Kişisel Verileri Koruma Kurumu Daire Başkanı Mustafa Erbilli’nin davet edilerek Birliğe üye şirketlere yönelik bir eğitim gerçekleştirildiğini söyledi. Eğitimde, şirketlerin konuyla ilgili tereddütlerinin giderilmeye çalışıldığını belirten Bozkurt, “VERBİS’e ilişkin sigorta şirketlerimizin yükümlülükleri kapsamında yapmaları gerekenler ilk ağızdan öğrenilerek, karşılıklı değerlendirmelerde bulunulmuştur” dedi.
Özel sağlık sigorta sözleşmelerinin kurulması ve ifasının yanında, sigortalının sözleşmeden doğan haklarının tesisi, kullanılması ve korunması için kişisel sağlık verilerinin işlenmesi ve ilgili mevzuatta yetkilendirilen mercilerle paylaşılmasının ön koşul olduğunu söyleyen Bozkurt şöyle devam etti: “6698 sayılı Kişisel Verilerin Korunması Kanunu’nun sağlık verilerinin işlendiği sigorta branşları uygulamalarında veri sahibinin açık rızası şartını getirmesi, başta kamu sağlığının finansmanı noktasında önemli bir yükü üstlenen özel sağlık sigortaları olmak üzere, sağlık verilerinin işlendiği sigorta branşlarını olumsuz yönde etkilemiştir. Zira açık rıza, ferdi poliçelerde sigortalı adayının başvurusuna istinaden teklif sürecinde alınabiliyorken, aile ve grup poliçelerinde kişisel sağlık verilerinin paylaşımına ilişkin açık rıza alınması pratikte mümkün olamamaktadır. Konunun çözümüne ilişkin çalışmalarımız devam etmektedir.”
Sektörden proaktif yaklaşım
Üç yıl önce yürürlüğe giren Kişisel Verilerin Korunması Kanunu öncesinde ülkemizde kişisel verilerin işlenmesi sürecini kontrol edecek ve denetleyecek bir özel bir mevzuat ve kurumun bulunmadığını belirten Gökhan Bozkurt, “Bu yüzden kişisel veriler yeterli düzenleme ve denetime tabi olmaksızın, birçok kişi ve kurum tarafından kullanılabilmekte ve bu durum bazı hak ihlallerinin yaşanmasına sebep olabilmekteydi. Uluslararası belgeler, mukayeseli hukuk uygulamaları ve ülkemizin ihtiyaçları göz önüne alınmak suretiyle hazırlanan 6698 sayılı kanunun yürürlüğe girmesini ve Kurulun faaliyetlerine başlamasını sigorta sektörü olarak büyük bir memnuniyetle karşıladık ve gerek Birlik olarak gerekse şirketler olarak söz konusu mevzuata uyum konusunda proaktif bir yaklaşım gösterdik” şeklinde konuştu. Bozkurt, “KVKK öncesi dönemde de çok iyi regüle edilen bir sektör olan sigorta sektöründe gerek şirketlerimizin uygulamaları gerekse düzenleyici ve denetleyici otoritelerin hassasiyeti nedeniyle herhangi bir güven sorunu bulunmadığı düşünülmektedir” diyerek sözlerini noktaladı.