Anasayfa/ Makale/ Sigorta Sektöründe KVKK Yükümlülükleri ve...

Makale

Sigorta şirketleri, yüksek hacimli veri işlemeleri nedeniyle Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında aydınlatma, veri güvenliğini sağlama, VERBİS’e kayıt olma ve veri ihlallerini bildirme gibi pek çok hukuki yükümlülüğe tabidir. Bu yükümlülüklere aykırılık halinde ise ağır idari para cezaları ve yaptırımlar uygulanmaktadır.

Sigorta Sektöründe KVKK Yükümlülükleri ve Yaptırımlar

KVKK HUKUKA AYKIRILIK AYDINLATMA YÜKÜMLÜLÜĞÜ

Sigorta şirketlerinin faaliyetlerini sürdürebilmesi için kişisel verilerin işlenmesi zorunlu olduğundan, bu verilerin hukuka uygun bir şekilde korunması hukuk uygulamaları bağlamında büyük bir hassasiyet gerektirmektedir. Sigorta poliçesinin düzenlenmesinden hasar tazminatının ödenmesine kadar geçen tüm süreçlerde veri sorumlusu sıfatını taşıyan sigorta şirketleri, başta aydınlatma yükümlülüğü ve veri güvenliğini sağlama olmak üzere birçok temel yasal yükümlülük altındadır. Dijital altyapıların yoğun kullanımı ve karmaşık veri akışları, sigorta şirketlerini siber saldırı risklerine ve veri sızıntılarına açık hale getirmektedir. Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, veri güvenliğini sağlamaya yönelik idari ve teknik tedbirlerin alınmaması, kişisel verilerin hukuka aykırı şekilde işlenmesi ve ihlal durumlarının yetkili otoritelere zamanında bildirilmemesi son derece ciddi ihlaller olarak değerlendirilmektedir. Bu ihlaller neticesinde sigorta şirketleri, hem kişisel veri sahiplerinin maddi ve manevi zararlarını tazmin etme riskiyle karşı karşıya kalmakta hem de Kişisel Verileri Koruma Kurulu tarafından uygulanan ağır idari para cezaları ve hukuki yaptırımlara maruz bırakılmaktadır.

Sigorta Şirketlerinin Temel KVKK Yükümlülükleri

Veri sorumlusu konumundaki sigorta şirketlerinin en temel sorumluluklarından biri aydınlatma yükümlülüğü olup, bu yükümlülüğün kişisel verilerin elde edilmesi esnasında usulüne uygun şekilde yerine getirilmesi zorunludur. Aydınlatma metinlerinde; veri sorumlusunun kimliği, verilerin hangi yasal amaçla işleneceği, kimlere aktarılabileceği ve hukuki sebeplerin açık, sade ve anlaşılır bir dille belirtilmesi şarttır. Sigorta mevzuatına özgü bilgilendirme görevleri ile KVKK kapsamındaki aydınlatma yükümlülükleri birbirinden tamamen farklı olup, hukuki geçerlilik için her ikisinin de bağımsız olarak sağlanması gerekmektedir. Bununla birlikte, sigorta sözleşmesinin sona ermesi, hukuki ihtilafların çözülmesi veya yasal saklama sürelerinin dolması gibi işleme amaçlarının tamamen ortadan kalktığı durumlarda, şirketlerin kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğü doğmaktadır. Bu işlemlerin mevzuata uygun gerçekleştirilebilmesi için şirket bünyesinde resmi bir veri saklama ve imha politikası oluşturulmalı ve periyodik imha süreçleri işletilmelidir.

Veri Güvenliğinin Sağlanması: İdari ve Teknik Tedbirler

Kişisel verilerin korunması hukukunun özünü oluşturan veri güvenliği, sigorta şirketleri açısından taviz verilemez nitelikte hayati bir yasal zorunluluktur. KVKK’nın 12. maddesi uyarınca veri sorumluları, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla gerekli her türlü idari ve teknik tedbiri almak mecburiyetindedir. İdari tedbirler kapsamında; kurum içi düzenli risk analizlerinin yapılması, kurumsal kişisel veri güvenliği politikalarının hazırlanması ve şirket çalışanlarına yönelik sürekli farkındalık eğitimlerinin verilmesi gerekmektedir. Ayrıca, hizmet alınan üçüncü taraf kuruluşlarla olan ilişkilerde mutlaka katı gizlilik sözleşmeleri ve protokoller yapılmalıdır. Teknik tedbirler boyutunda ise; etkin bir siber güvenliğin sağlanması, güvenlik duvarı ve ağ geçidi gibi sağlam altyapıların kurulması, düzenli sızma testleri ile sistem zafiyet taramalarının gerçekleştirilmesi zorunludur. Alınan tüm bu entegre tedbirler, siber risklerin ve veri ihlallerinin önüne geçilmesinde birincil savunma hattını oluşturmaktadır.

VERBİS Kayıt ve Kurul'a Bildirim Yükümlülükleri

Kişisel veri işleme faaliyetlerinde hukuki şeffaflığı sağlamak amacıyla oluşturulan Veri Sorumluları Sicil Bilgi Sistemi (VERBİS), istisna kapsamında değerlendirilmeyen tüm sigorta şirketleri için bağlayıcı ve katı bir kayıt yükümlülüğüdür. Sigorta şirketleri, işledikleri verileri kanuni kriterlere göre kategorize ederek kapsamlı bir kişisel veri işleme envanteri hazırlamalı ve veri işlemeye başlamadan önce sicile kayıt işlemlerini eksiksiz olarak tamamlamalıdır. Diğer taraftan, alınan tüm güvenlik önlemlerine rağmen sistemlere yönelik bir siber saldırı gerçekleşmesi ve kişisel verilerin yetkisiz kişiler tarafından hukuka aykırı şekilde ele geçirilmesi durumunda, Kurul'a bildirim yükümlülüğü devreye girmektedir. Sigorta şirketleri, tespit edilen veri ihlalini en geç 72 saat içerisinde Kişisel Verileri Koruma Kurulu'na bildirmekle görevlendirilmiştir. İlgili bildirim süresine ve usullerine uyulmaması, veri sorumlusu açısından çok daha ağır yasal yaptırımların ve derinlemesine denetim süreçlerinin tetiklenmesine sebebiyet vermektedir.

KVKK İhlalleri, İdari Yaptırımlar ve Tazminat

Sigorta şirketlerinin Kanun'da öngörülen yasal sorumluluklarını yerine getirmemesi veya kişisel veri güvenliğini ihlal etmesi, Kişisel Verileri Koruma Kurulu tarafından yürütülen denetimler sonucunda çok ağır idari para cezalarına neden olmaktadır. Bu ihlallerin tespiti halinde, sigorta şirketleri milyonlarca liraya ulaşabilen yüksek cezalar ödemek durumunda kalarak ticari faaliyetlerinde ciddi krizler yaşayabilmektedir. KVKK'nın 18. maddesi çerçevesinde, sigorta şirketleri hakkında idari yaptırım uygulanmasını gerektiren başlıca hukuka aykırılık halleri ve kabahatler şu şekilde sıralanabilir:

  • Aydınlatma yükümlülüğünün kanuna uygun olarak yerine getirilmemesi
  • Veri güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınmaması
  • Kişisel Verileri Koruma Kurulu tarafından verilen kararların zamanında ve eksiksiz uygulanmaması
  • Veri Sorumluları Siciline (VERBİS) usulüne uygun kayıt ve bildirim yükümlülüklerinin ihlal edilmesi

Kurul tarafından uygulanan caydırıcı idari yaptırımların haricinde, kişisel verileri hukuka aykırı şekilde işlenen, dışarıya sızdırılan veya yetkisiz üçüncü kişilerle paylaşılan kişisel veri sahiplerinin, veri sorumlusu konumundaki sigorta şirketine karşı doğrudan tazminat talep etme hakkı da bulunmaktadır. Veri sahipleri, verilerinin hukuka aykırı işlenmesi sebebiyle maddi ve manevi zarara uğramaları halinde, genel hükümler çerçevesinde açacakları tazminat davaları ile yargı mercilerinden zararlarının giderilmesini isteyebilirler. Haksız fiil sorumluluğuna dayanan bu süreçte, sigorta şirketleri gerekli idari ve teknik tedbirleri tam anlamıyla aldıklarını ve gözetim yükümlülüklerini kusursuz bir şekilde yerine getirdiklerini somut delillerle ispat edemedikleri takdirde, ciddi tutarlarda tazminat ödemeye mahkûm edilmektedir. Bu hukuki süreçler, sektör oyuncuları için hem öngörülemez bir ağır finansal kayıp hem de onarılması oldukça güç bir kurumsal itibar zedelenmesi anlamına gelmektedir.

5 dk okuma Yayınlanma: Güncelleme: