(ANKARA) - Kişisel Verileri Koruma Kurulu (KVKK), trafik kazaları başta olmak üzere kaza mağdurlarına ait kişisel verilerin hukuka aykırı şekilde işlenmesine ilişkin ilke kararı aldı. Kararda, hasar danışmanlık şirketleri, sigortacılar, avukatlar ve eksperlerin kişisel verilere erişimi ile tazminat süreçlerinde uyulması gereken kurallar hatırlatılırken, aykırı uygulamalarda idari ve cezai yaptırım uygulanabileceği belirtildi.
Kişisel Verileri Koruma Kurulu'nun (KVKK), trafik kazaları başta olmak üzere kaza mağdurlarına ait kişisel verilerin işlenmesine ilişkin ilke kararı, bugünkü Resmi Gazete'de yayımlandı. KVKK'den konuya ilişkin yapılan yazılı açıklamada şu ifadelere yer verildi:
'Son dönemde kurumumuza, 'hasar danışmanlığı', 'sigorta takip merkezi' veya benzeri isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendilerini avukat olarak tanıttığı halde baro levhası sorgulamasında avukat olmadığı anlaşılan kişiler tarafından kaza mağdurlarıyla istekleri dışında iletişime geçildiği yönünde çok sayıda ihbar ve şikayet iletilmiştir. Bu kapsamda, bahse konu kişisel veri işleme faaliyetlerinin hukuka uygun şekilde yürütülmesi amacıyla kamuoyunun ve sektörün bilgilendirilmesine ihtiyaç duyulmuştur.
SUÇ DUYURUSU YAPILABİLECEK
5684 sayılı Sigortacılık Kanunu'nun (Ek Madde 6 hükmü uyarınca, sigortacılık yapan kurum veya kuruluşlardan talep edilecek tazminat alacakları yalnızca hak sahibine ya da onun resmi vekili olan avukatına ödenebilmektedir. 5684 sayılı Kanun'dan kaynaklanan bu tazminat alacaklarının avukat olmayan üçüncü kişilere ya da hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren oluşumlara devredilmesi hukuken geçersiz olmakla birlikte 5237 sayılı Türk Ceza Kanunu bakımından da suç teşkil edebilecektir. Bu kapsamda kişisel verileri hukuka aykırı olarak ele geçiren, paylaşan veya bu veriler üzerinden kazazedeleri arayarak iş takibi teklif eden kişi ve kurumlar hakkında 5237 sayılı Türk Ceza Kanunu uyarınca Cumhuriyet Savcılıklarına suç duyurusunda bulunulabilecek olup ayrıca idari yönden ilgili Bakanlıklara ve Baro Başkanlıklarına da gerekli bildirimler yapılabilecektir. Ek olarak, kişisel verilerinin izinsiz olarak işlendiğini veya hasar şirketleriyle paylaşıldığını düşünen ilgili kişilerin, Kanun'un 13'üncü maddesi ve devamında düzenlenen usul takip edilerek Kişisel Verileri Koruma Kurulu'na şikayette bulunma hakları saklıdır.
Diğer taraftan, sigorta eksperlerinin kişisel veri işleme faaliyetleri; 5684 sayılı Sigortacılık Kanunu ve ikincil mevzuat çerçevesinde, hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi gibi yasal görevlerin ifasıyla sınırlı ve bu faaliyetlerle doğrudan bağlantılıdır. Sigorta eksperlerinin, mesleki görevlerini icra ederken 6698 sayılı Kanunun 5'inci maddesinde düzenlenen işleme şartlarına dayanarak kişisel veri işleyebilmeleri mümkün olup kendilerine tevdi edilen kişisel verileri yalnızca görevlerinin gerektirdiği amaçlarla kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliğine ilişkin teknik ve idari tedbirleri almaları ve mesleki sır saklama yükümlülüğüne azami surette riayet etmeleri zorunludur. Yasal çerçevenin ve mevzuat sınırlarının dışına çıkılarak gerçekleştirilen hukuka aykırı kişisel veri işleme faaliyetleri; 6698 sayılı Kanun uyarınca idari yaptırımlara sebebiyet vermenin yanı sıra, 5237 sayılı Türk Ceza Kanunu'nun ilgili hükümleri (Madde 136 vd.) uyarınca cezai sorumluluk doğurabilecektir.
SİGORTACILARA, EKSPERLERE VE AVUKATLARA UYARI
İş kazaları, trafik kazaları veya benzeri olumsuz olaylar neticesinde; adli/idari soruşturmaların yürütülmesi, mağdurların tedavi süreçlerinin yönetilmesi ve hasara uğrayan araçların onarımı gibi işlemlerin tesisi amacıyla mağdurlara ait kişisel verilerin işlenmesi mümkündür. Ancak faaliyet alanları gereği bu kişisel verileri işleyen veyahut bu verilere erişimi olan veri sorumlularının söz konusu süreçleri Kanun'un 4'üncü maddesi ile 5'inci ve 6'ncı maddelerinde yer alan işleme şartlarına tam bir uyum içinde yürütmesi gerekmektedir. Dolayısıyla, elde edilen bu kişisel veriler ancak kaza sonrası süreçlerin yönetimi amacıyla sınırlı olarak işlemeye konu edilebilecektir.
Sonuç olarak, sigortacılık sektörü içerisinde farklı kanallarla işlenmekte olan kişisel verilere hukuka aykırı erişen ve/veya bu verileri 6698 sayılı Kanun hükümleri uyarınca işleyen hasar danışmanlık şirketleri ile yetki sınırlarını aşan eksper, ekspertiz şirketleri veya avukatların herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatını haiz olduğunun tespiti halinde, ilgili kişilerce Kanun'un 13 ve 14'üncü maddeleri uyarınca Kurula şikayette bulunulabileceğine, sigorta eksperlerinin yasal görevleri doğrultusunda kişisel veri işleme faaliyetinde bulunabileceğine; ancak görevleri gereği işledikleri kişisel verileri yetkisiz üçüncü kişilere aktarmaları durumunda Kanun'a aykırılık oluşacağına ve bu kişisel veri işleme faaliyetlerinin 5237 sayılı Türk Ceza Kanunu'nun 136'ncı maddesindeki 'kişisel verileri hukuka aykırı olarak verme veya ele geçirme' suçuna vücut verebileceğine, kaza mağdurlarına ilişkin kişisel verileri uhdesinde bulunduran ve/veya işleyen veri sorumlularının; çalışanlarına yönelik kişisel verilerin korunması konusunda eğitim ve bilinçlendirme faaliyetlerini gerçekleştirmekle birlikte kişisel verilere erişimde asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve log/takip mekanizmaları gibi Kanun'un 12'nci maddesi uyarınca kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri alması gerektiğine, bahse konu önlemleri almayarak Kanun hükümlerine aykırı şekilde bu uygulamalara devam eden ve bu İlke Kararı'nda belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında, Kanun'un 18'inci maddesi hükümleri çerçevesinde idari işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine ve konuya ilişkin olarak Kurul tarafından İlke Kararı alınmasına karar verilmiştir.'