Makale
Sigorta şirketleri, poliçe süreçleri ve yasal yükümlülükleri kapsamında kişisel verileri yurt içi ve yurt dışındaki kurumlara aktarmaktadır. Bu aktarımlar KVKK’nın 8. ve 9. maddeleri ile 7499 sayılı Kanun değişiklikleri ışığında, yeterlilik kararları, standart sözleşmeler ve uygun güvenceler çerçevesinde hukuka uygun olarak yürütülmelidir.
Sigortacılıkta Veri Aktarımı: Yurt İçi ve Yurt Dışı
Sigortacılık faaliyetlerinin doğası gereği, sigorta şirketleri risk analizi yapmak, tazminat taleplerini değerlendirmek ve yasal yükümlülüklerini yerine getirmek amacıyla elde ettikleri kişisel verileri üçüncü taraflara aktarmak durumundadır. Sigortacılık sektöründe veri aktarımı, hem yurt içi aktarım hem de yurt dışı aktarım olmak üzere iki temel boyutta gerçekleşmektedir. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin korunmasını temel bir hak olarak güvence altına alırken, sigorta şirketlerinin veri aktarım süreçlerini de sıkı kurallara bağlamaktadır. Özellikle son dönemde 7499 sayılı Kanun ile yapılan değişiklikler, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyum sağlama amacı taşımakta olup yurt dışına veri aktarımı süreçlerinde köklü yenilikler getirmiştir. Bir hukuk bürosu perspektifinden bakıldığında, sigorta şirketlerinin ve acentelerin bu aktarım şartlarını hukuka ve dürüstlük kuralına uygun şekilde uygulaması, olası idari yaptırımların ve itibar kayıplarının önlenmesi adına kritik bir öneme sahiptir.
Sigortacılık Sektöründe Yurt İçi Veri Aktarımı
KVKK'nın 8. maddesi uyarınca, kişisel verilerin yurt içinde aktarılması, kural olarak ilgili kişinin açık rızası ile mümkündür. Ancak, Kanun'un 5. ve 6. maddelerinde yer alan hukuka uygunluk sebeplerinden birinin varlığı halinde, açık rıza aranmaksızın veri aktarımı yapılabilmektedir. Sigorta şirketleri, kanunlardan doğan yükümlülüklerini yerine getirebilmek adına mahkemeler, icra müdürlükleri, Sigorta Tahkim Komisyonu ve Mali Suçları Araştırma Kurulu (MASAK) gibi yetkili kurum ve kuruluşlara veri aktarımı gerçekleştirmektedir. Örneğin, MASAK mevzuatı gereğince sigorta şirketlerinin şüpheli işlemleri bildirirken müşterilere bilgi vermeksizin veri paylaşması yasal bir zorunluluktur. Ayrıca, Sigorta Bilgi ve Gözetim Merkezi (SBM) ile risk değerlendirmesine esas bilgilerin paylaşılması da Sigortacılık Kanunu'na dayanan ve açık rıza gerektirmeyen bir başka veri aktarım türüdür. Bu süreçlerde yetkili mercilere yapılacak aktarımların her zaman amaçla bağlantılı, sınırlı ve ölçülü olmasına dikkat edilmelidir.
İş Ortakları, Acente ve Reasürans Şirketleri ile
Sigorta sektöründeki karmaşık iş süreçleri, verilerin acente, broker, reasürans şirketleri ve destek hizmeti sağlayıcıları ile paylaşılmasını zorunlu kılar. Bir sigorta şirketinin, kendi emir ve talimatları doğrultusunda işlem yapan bir acenteye veya destek hizmeti sağlayıcısına veri iletmesi, KVKK bağlamında veri sorumlusundan veri işleyene aktarım niteliğinde olduğundan, KVKK madde 8 kapsamında üçüncü kişiye aktarım sayılmamaktadır. Ancak brokerler veya reasürans şirketleri, kendi işleme amaçlarını ve araçlarını belirledikleri için bağımsız birer veri sorumlusudurlar. Dolayısıyla sigorta şirketinden reasüröre yapılacak aktarımlar, veri sorumlusundan veri sorumlusuna aktarım statüsündedir. Bu tür aktarımlar, KVKK'nın 5. maddesindeki sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması veya bir hakkın tesisi, kullanılması ya da korunması şartlarına dayandırılarak açık rıza olmaksızın hukuka uygun biçimde gerçekleştirilebilir.
7499 Sayılı Kanun Sonrası Yurt Dışına Veri Aktarımı
KVKK'nın 9. maddesinde 7499 sayılı Kanun ile yapılan değişiklikler, ticari hayatta bulut tabanlı yazılımların ve çok uluslu şirket yapılarının ihtiyaçlarına cevap verebilmek amacıyla GDPR'a uyumlu yeni usuller öngörmüştür. Yeni düzenleme kapsamında, yurt dışına veri aktarımı yapılabilmesi için kademeli bir yapı belirlenmiştir. Bu sistemde, KVKK'nın 5. veya 6. maddelerindeki temel veri işleme şartlarından birinin mevcut olması zorunludur. Mevzuat değişikliği ile birlikte, sigorta şirketleri uluslararası veri paylaşımlarını yürütürken hiyerarşik olarak aşağıdaki aktarım usullerini uygulamalıdır:
| Aktarım Yöntemi | Kapsam ve Şartlar |
|---|---|
| Yeterlilik Kararı | KVK Kurulu tarafından aktarım yapılacak ülke, sektör veya uluslararası kuruluş için güvenli kabul edilen bir yeterlilik kararının bulunması halidir. |
| Uygun Güvenceler | Yeterlilik kararı yoksa; KVK Kurulu onaylı standart sözleşmeler, bağlayıcı şirket kuralları veya taahhütnameler ile güvence sağlanmasıdır. |
| Arızi Haller | İlk iki şartın sağlanamadığı durumlarda başvurulan, muhtemel riskler açıklanarak alınan açık rıza gibi süreklilik arz etmeyen istisnai aktarımlardır. |
Bu yöntemler, özellikle yurt dışı kaynaklı sunucular ve global düzeydeki reasürans sözleşmeleri kapsamında işlem yapan sigorta şirketlerinin uymak zorunda olduğu en güncel hukuki çerçeveyi oluşturmaktadır.
Yurt Dışına Aktarımda Güvenceler ve İstisnai Haller
Yeterlilik kararının bulunmadığı hallerde, sigorta şirketlerinin yurt dışı veri aktarımı yapabilmesi için KVK Kurulu tarafından onaylanan uygun güvence yöntemlerini kullanması gerekmektedir. Yurt dışındaki bir reasüröre düzenli veri aktarımında en sık başvurulan yöntem standart sözleşmelerdir. Standart sözleşmeler, KVK Kurulu tarafından ilan edilen içeriklerin değiştirilmeden taraflarca imzalanmasını ve imzalandığı tarihten itibaren beş iş günü içinde Kuruma bildirilmesini gerektirir. Çok uluslu sigorta grupları arasındaki aktarımlar için ise Kurul onaylı bağlayıcı şirket kuralları tercih edilebilir. Tüm bu yöntemlerin sağlanamadığı hallerde ise, arızi olmak kaydıyla istisnai hükümler devreye girer. Örneğin, yurt dışındaki bir reasürör ile tek seferlik özel bir risk değerlendirmesi yapılması durumunda arızi aktarım koşullarına dayanılarak ilgili kişinin riskler hakkında aydınlatılması ve açık rızasının alınması yoluyla yurt dışına veri aktarımı hukuka uygun bir şekilde tamamlanabilir.