Anasayfa/ Makale/ Sigortacılıkta Veri Aktarımı: Yurt İçi ve Yurt Dışı

Sigortacılıkta Veri Aktarımı: Yurt İçi ve Yurt Dışı

Sigorta şirketleri, poliçe süreçleri ve yasal yükümlülükleri kapsamında kişisel verileri yurt içi ve yurt dışındaki kurumlara aktarmaktadır. Bu aktarımlar KVKK’nın 8. ve 9. maddeleri ile 7499 sayılı Kanun değişiklikleri ışığında, yeterlilik kararları, standart sözleşmeler ve uygun güvenceler çerçevesinde hukuka uygun olarak yürütülmelidir.
search
6 dk okuma Yayınlanma: Güncelleme:
AÇIK RIZA KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Sigortacılık faaliyetlerinin doğası gereği, sigorta şirketleri risk analizi yapmak, tazminat taleplerini değerlendirmek ve yasal yükümlülüklerini yerine getirmek amacıyla elde ettikleri kişisel verileri üçüncü taraflara aktarmak durumundadır. Sigortacılık sektöründe veri aktarımı, hem yurt içi aktarım hem de yurt dışı aktarım olmak üzere iki temel boyutta gerçekleşmektedir. Bu kapsamda, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin korunmasını temel bir hak olarak güvence altına alırken, sigorta şirketlerinin veri aktarım süreçlerini de sıkı kurallara bağlamaktadır. Özellikle son dönemde 7499 sayılı Kanun ile yapılan değişiklikler, Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyum sağlama amacı taşımakta olup yurt dışına veri aktarımı süreçlerinde köklü yenilikler getirmiştir. Bir hukuk bürosu perspektifinden bakıldığında, sigorta şirketlerinin ve acentelerin bu aktarım şartlarını hukuka ve dürüstlük kuralına uygun şekilde uygulaması, olası idari yaptırımların ve itibar kayıplarının önlenmesi adına kritik bir öneme sahiptir.

Sigortacılık Sektöründe Yurt İçi Veri Aktarımı

KVKK'nın 8. maddesi uyarınca, kişisel verilerin yurt içinde aktarılması, kural olarak ilgili kişinin açık rızası ile mümkündür. Ancak, Kanun'un 5. ve 6. maddelerinde yer alan hukuka uygunluk sebeplerinden birinin varlığı halinde, açık rıza aranmaksızın veri aktarımı yapılabilmektedir. Sigorta şirketleri, kanunlardan doğan yükümlülüklerini yerine getirebilmek adına mahkemeler, icra müdürlükleri, Sigorta Tahkim Komisyonu ve Mali Suçları Araştırma Kurulu (MASAK) gibi yetkili kurum ve kuruluşlara veri aktarımı gerçekleştirmektedir. Örneğin, MASAK mevzuatı gereğince sigorta şirketlerinin şüpheli işlemleri bildirirken müşterilere bilgi vermeksizin veri paylaşması yasal bir zorunluluktur. Ayrıca, Sigorta Bilgi ve Gözetim Merkezi (SBM) ile risk değerlendirmesine esas bilgilerin paylaşılması da Sigortacılık Kanunu'na dayanan ve açık rıza gerektirmeyen bir başka veri aktarım türüdür. Bu süreçlerde yetkili mercilere yapılacak aktarımların her zaman amaçla bağlantılı, sınırlı ve ölçülü olmasına dikkat edilmelidir.

İş Ortakları, Acente ve Reasürans Şirketleri ile

Sigorta sektöründeki karmaşık iş süreçleri, verilerin acente, broker, reasürans şirketleri ve destek hizmeti sağlayıcıları ile paylaşılmasını zorunlu kılar. Bir sigorta şirketinin, kendi emir ve talimatları doğrultusunda işlem yapan bir acenteye veya destek hizmeti sağlayıcısına veri iletmesi, KVKK bağlamında veri sorumlusundan veri işleyene aktarım niteliğinde olduğundan, KVKK madde 8 kapsamında üçüncü kişiye aktarım sayılmamaktadır. Ancak brokerler veya reasürans şirketleri, kendi işleme amaçlarını ve araçlarını belirledikleri için bağımsız birer veri sorumlusudurlar. Dolayısıyla sigorta şirketinden reasüröre yapılacak aktarımlar, veri sorumlusundan veri sorumlusuna aktarım statüsündedir. Bu tür aktarımlar, KVKK'nın 5. maddesindeki sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması veya bir hakkın tesisi, kullanılması ya da korunması şartlarına dayandırılarak açık rıza olmaksızın hukuka uygun biçimde gerçekleştirilebilir.

7499 Sayılı Kanun Sonrası Yurt Dışına Veri Aktarımı

KVKK'nın 9. maddesinde 7499 sayılı Kanun ile yapılan değişiklikler, ticari hayatta bulut tabanlı yazılımların ve çok uluslu şirket yapılarının ihtiyaçlarına cevap verebilmek amacıyla GDPR'a uyumlu yeni usuller öngörmüştür. Yeni düzenleme kapsamında, yurt dışına veri aktarımı yapılabilmesi için kademeli bir yapı belirlenmiştir. Bu sistemde, KVKK'nın 5. veya 6. maddelerindeki temel veri işleme şartlarından birinin mevcut olması zorunludur. Mevzuat değişikliği ile birlikte, sigorta şirketleri uluslararası veri paylaşımlarını yürütürken hiyerarşik olarak aşağıdaki aktarım usullerini uygulamalıdır:

Aktarım Yöntemi Kapsam ve Şartlar
Yeterlilik Kararı KVK Kurulu tarafından aktarım yapılacak ülke, sektör veya uluslararası kuruluş için güvenli kabul edilen bir yeterlilik kararının bulunması halidir.
Uygun Güvenceler Yeterlilik kararı yoksa; KVK Kurulu onaylı standart sözleşmeler, bağlayıcı şirket kuralları veya taahhütnameler ile güvence sağlanmasıdır.
Arızi Haller İlk iki şartın sağlanamadığı durumlarda başvurulan, muhtemel riskler açıklanarak alınan açık rıza gibi süreklilik arz etmeyen istisnai aktarımlardır.

Bu yöntemler, özellikle yurt dışı kaynaklı sunucular ve global düzeydeki reasürans sözleşmeleri kapsamında işlem yapan sigorta şirketlerinin uymak zorunda olduğu en güncel hukuki çerçeveyi oluşturmaktadır.

Yurt Dışına Aktarımda Güvenceler ve İstisnai Haller

Yeterlilik kararının bulunmadığı hallerde, sigorta şirketlerinin yurt dışı veri aktarımı yapabilmesi için KVK Kurulu tarafından onaylanan uygun güvence yöntemlerini kullanması gerekmektedir. Yurt dışındaki bir reasüröre düzenli veri aktarımında en sık başvurulan yöntem standart sözleşmelerdir. Standart sözleşmeler, KVK Kurulu tarafından ilan edilen içeriklerin değiştirilmeden taraflarca imzalanmasını ve imzalandığı tarihten itibaren beş iş günü içinde Kuruma bildirilmesini gerektirir. Çok uluslu sigorta grupları arasındaki aktarımlar için ise Kurul onaylı bağlayıcı şirket kuralları tercih edilebilir. Tüm bu yöntemlerin sağlanamadığı hallerde ise, arızi olmak kaydıyla istisnai hükümler devreye girer. Örneğin, yurt dışındaki bir reasürör ile tek seferlik özel bir risk değerlendirmesi yapılması durumunda arızi aktarım koşullarına dayanılarak ilgili kişinin riskler hakkında aydınlatılması ve açık rızasının alınması yoluyla yurt dışına veri aktarımı hukuka uygun bir şekilde tamamlanabilir.

Sigorta şirketi benden habersiz bilgilerimi devlete veya başkasına verebilir mi? expand_more
Kişisel Verilerin Korunması Kanunu uyarınca kural olarak verilerinizin üçüncü kişilere aktarılması için açık rızanızın bulunması gerekmektedir. Ancak sigorta şirketleri, kanunlardan doğan yükümlülüklerini yerine getirebilmek amacıyla Mali Suçları Araştırma Kurulu (MASAK) veya Sigorta Bilgi ve Gözetim Merkezi (SBM) gibi kurumlara sizden habersiz veri aktarımı yapabilmektedir. Özellikle MASAK mevzuatı gereğince, şüpheli işlemlerin bildirilmesi yasal bir zorunluluk olduğundan bu süreçte müşteriye bilgi verilmez ve açık rıza aranmaz. Yine de yetkili mercilere yapılacak bu aktarımların her zaman işleme amacıyla bağlantılı, sınırlı ve ölçülü olması hukuki bir zorunluluktur.
Acenteme verdiğim bilgilerim başka şirketlerle veya aracılarla paylaşılır mı? expand_more
Sigortacılık sektöründeki işleyişin doğası gereği, kişisel verilerinizin acente, broker veya reasürans şirketleri gibi çeşitli aktörlerle paylaşılması mecburi olabilmektedir. Sigorta şirketinin kendi emir ve talimatları doğrultusunda hareket eden bir acenteye veri iletmesi, veri sorumlusundan veri işleyene aktarım niteliği taşıdığından doğrudan üçüncü kişiye aktarım sayılmamaktadır. Buna karşın, kendi amaç ve araçlarını belirleyen bağımsız veri sorumlusu konumundaki brokerler veya reasürans şirketlerine yapılan aktarımlarda durum farklıdır. Bu aktarımlar ise ancak sözleşmenin kurulması, ifası veya bir hakkın tesisi gibi kanuni şartlara dayandırılarak açık rıza aranmaksızın hukuka uygun şekilde gerçekleştirilebilir.
Sigorta şirketinin bilgilerimi yurt dışına aktarması kanunen yasal mıdır? expand_more
Evet, 7499 sayılı Kanun ile KVKK'nın 9. maddesinde yapılan güncel değişiklikler ışığında kişisel verilerinizin yurt dışına aktarılması belli şartlara tabi tutularak yasal hale getirilmiştir. Bu aktarımın yapılabilmesi için öncelikle Kişisel Verileri Koruma Kurulu tarafından ilgili ülke veya sektör için verilmiş bir yeterlilik kararının bulunması şartı aranır. Yeterlilik kararı bulunmayan durumlarda ise standart sözleşmeler veya bağlayıcı şirket kuralları gibi uygun güvencelerin sağlanması gerekmektedir. Bu iki temel yöntemin de uygulanamadığı olağanüstü (arızi) hallerde, muhtemel riskler hakkında aydınlatılmanız koşuluyla açık rızanız alınarak tek seferlik yurt dışı veri aktarımı hukuka uygun biçimde yapılabilir.
Yurt dışındaki şirketlerle verilerim paylaşılırken devlet bunu denetliyor mu? expand_more
Yeterlilik kararı olmayan ülkelere veri aktarılırken, kişisel verilerinizin güvenliğini sağlamak adına uygun güvence yöntemlerinden biri olan standart sözleşmelerin kullanılması yasal bir yöntemdir. Kurul tarafından ilan edilen bu standart sözleşmelerin içeriği, taraflarca hiçbir şekilde değiştirilemez. Ayrıca bu sözleşmeler imzalandıktan sonra en geç beş iş günü içerisinde Kişisel Verileri Koruma Kurumu'na bildirilmek zorundadır. Bu sıkı bildirim yükümlülüğü sayesinde idari otorite, uluslararası boyuttaki veri aktarımlarını denetim altında tutarak hak ihlallerinin önüne geçmeyi amaçlamaktadır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir