KVKK 2021/333 Karar Özeti Sigorta Şirketi Tarafından Kişisel Verilerin Üçüncü Kişiye Aktarılması ve Eksik Aydınlatma
05/04/2021 tarihli ve 2021/333 sayılı KVKK Kararı, bir sigorta şirketinin kasko hasar sürecinde ilgili kişinin kişisel verilerini üçüncü bir şirkete aktarması ve bu aktarım hakkında aydınlatma yükümlülüğünü eksik yerine getirmesi nedeniyle incelenmiştir.
Kurul; veri sorumlusu sigorta şirketi, veri işleyen destek hizmeti kuruluşu ve aydınlatma metinleri üzerinden kapsamlı bir değerlendirme yapmış, veri aktarımının hukuka uygunluğunu ve aydınlatma metinlerindeki eksiklikleri ayrı ayrı ele almıştır.
Karar No: 2021/333
Tarih: 05/04/2021
Konu: Sigorta şirketi tarafından kasko hasar dosyasında işlenen
kişisel verilerin (kaza fotoğrafları, ruhsat, iletişim bilgileri)
üçüncü bir şirkete aktarılması ve veri aktarımına ilişkin aydınlatmanın eksik yapılması.
Kurul, veri aktarımını sözleşmenin ifası kapsamında hukuka uygun bulmuş, ancak aydınlatma metninin belirsiz ve genel ifadeler içerdiği gerekçesiyle veri sorumlusunu aydınlatma metnini düzeltmesi ve başvuruları Tebliğe uygun yönetmesi hususunda talimatlandırmıştır.
1. Olayın Özeti ve Şikâyet Konusu
İlgili kişi, maliki olduğu araçla trafik kazası geçiriyor ve sigorta şirketi ile yaptığı kasko poliçesi kapsamında hasar dosyası açılıyor. Sürecin ilerleyişinde:
- İlgili kişi, sigorta şirketinin çağrı merkezini aradığında, aracının pert sürecinin üçüncü bir şirket tarafından yürütüldüğünü öğreniyor.
- Şikâyete göre, sigorta şirketi ilgili kişinin kaza fotoğraflarını, kimlik bilgilerini içeren ruhsatını ve iletişim bilgilerini bu üçüncü şirkete onayı ve bilgisi olmadan aktarıyor.
- İlgili kişi, poliçe ve sigortacılık genel şartlarında, hasarın ve rayiç/sovtaj değerinin tarafsız ve bağımsız sigorta eksperi tarafından tespit edileceğinin belirtildiğini, üçüncü şirketin ise poliçede yer almadığını ileri sürüyor.
- Ayrıca kişisel verilerinin işlenmesine ilişkin açık rızasının alınmadığı, veri aktarımı hakkında aydınlatma yapılmadığı ve veri sorumlusuna yaptığı başvuruya da yanıt verilmediğini belirtiyor.
İlgili kişi, bu gerekçelerle 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında Kuruma şikâyette bulunuyor ve veri sorumlusu sigorta şirketi hakkında gereğinin yapılmasını talep ediyor.
2. Hukuki Çerçeve: KVKK, Sigortacılık Kanunu ve Destek Hizmeti Yönetmeliği
Kurul, olayı değerlendirirken hem KVKK hükümlerini hem de sigortacılık mevzuatını birlikte ele almıştır.
2.1. KVKK Bakımından
KVKK’nın 3. maddesindeki tanımlar uyarınca:
- Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi,
- İlgili kişi: Kişisel verisi işlenen gerçek kişi,
- Veri sorumlusu: Kişisel verilerin işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi,
- Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel veri işleyen gerçek veya tüzel kişi
olarak tanımlanır. Bu çerçevede, olayda:
- Sigorta şirketi veri sorumlusu,
- Kişisel verilerin aktarıldığı üçüncü şirket veri işleyen,
- İlgili kişiye ait kimlik, iletişim, araç ve hasar bilgileri ise kişisel veri olarak kabul edilmektedir.
2.2. Sigortacılık Mevzuatı ve Destek Hizmetleri
5684 sayılı Sigortacılık Kanunu ve Sigortacılık Destek Hizmetleri Hakkında Yönetmelik hükümleri, sigorta şirketlerinin ana faaliyet alanlarıyla ilgili konularda yardımcı veya tamamlayıcı nitelikte destek hizmeti almasına imkân tanımaktadır.
İlgili Yönetmeliğin 4. maddesinde sovtaj yönetimi hizmetleri, dışarıdan temin edilebilecek destek hizmetleri arasında sayılmıştır. Ayrıca Yönetmelik;
- Destek hizmetinin kimin adına verildiğinin açıkça belirtilmesini,
- Bu hizmeti sunan kuruluşların, sigortalılara ve hak sahiplerine ait sırların korunması için gerekli tedbirleri almasını
zorunlu kılmaktadır. Bu nedenle, ağır hasarlı/pert araçların yönetimi için üçüncü bir şirketten sovtaj yönetimi desteği alınması, sigortacılık mevzuatına uygundur.
3. Kurulun Değerlendirmesi: Veri Aktarımı ve Veri İşleyen İlişkisi
Kurul, öncelikle veri aktarımının hukuka uygun olup olmadığını, ardından da üçüncü şirketin rolünü (veri sorumlusu mu, veri işleyen mi?) değerlendirmiştir.
3.1. Veri İşleme Şartı: Sözleşmenin Kurulması veya İfası
Veri sorumlusu sigorta şirketi, kişisel verilerin üçüncü şirkete aktarımını; Kanun’un 5/2(c) bendine dayandırmaktadır:
“Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.”
Kurul, poliçeden doğan hasar tazmin yükümlülüğünü yerine getirebilmek için sovtaj yönetimi hizmeti alınmasının;
- Sigortacılık mevzuatına uygun bir destek hizmeti olduğunu,
- Bu kapsamda kişisel veri işlenmesinin, sözleşmenin ifasıyla doğrudan bağlantılı ve gerekli nitelikte olduğunu
değerlendirerek, veri işleme bakımından “açık rıza” şartının aranmadığı sonucuna varmıştır.
3.2. Veri Sorumlusu – Veri İşleyen Ayrımı
Sigorta şirketi ile üçüncü şirket arasında imzalanan Ağır Hasarlı Araç Satış Sözleşmesi incelendiğinde:
- Üçüncü şirketin, sigorta şirketinin talimatları çerçevesinde ve onun adına hareket ettiği,
- Kişisel verileri, veri sorumlusunun belirlediği amaçlarla ve sınırlı şekilde işlediği
anlaşılmıştır. Bu nedenle üçüncü şirket “veri işleyen” olarak değerlendirilmiş ve sigorta şirketi ile onun adına kişisel veri işleyen arasında yapılan bu veri paylaşımlarının, KVKK m.8 kapsamındaki “üçüncü kişiye aktarım” hükümlerinden farklılık gösterdiği belirtilmiştir.
3.3. Veri Aktarımında Hukuka Aykırılık Var mı?
Kurul, söz konusu veri işleme faaliyetini;
- Sigorta sözleşmesinin ifası,
- Sigortacılık destek hizmetleri mevzuatı,
- Veri sorumlusu–veri işleyen ilişkisi
çerçevesinde değerlendirerek, kişisel verilerin işlenmesinde hukuka aykırılık bulunmadığı sonucuna varmıştır.
4. Aydınlatma Yükümlülüğü ve Metindeki Eksiklikler
İlgili kişi, kişisel verilerinin aktarımı hakkında aydınlatılmadığını iddia etmiştir. Kurul, sigorta şirketinin aydınlatma metnini ve uygulamasını detaylıca incelemiştir.
4.1. Aydınlatma Metninin Sorunlu İfadeleri
İncelenen aydınlatma metninde, “Kişisel Verilerin İşlenme Amaçları” başlığı altında:
“Sayılan amaçlarla ve bunlarla sınırlı olmamak üzere kişisel veriler işlenebilir ve aktarılabilir.”
anlamına gelen genel ve muğlak ifadeler kullanılmıştır. Kurul, bu yaklaşımın;
- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ m.5/1-g’de yer alan “belirli, açık ve meşru amaç” ilkesine,
- “Genel nitelikte ve muğlak ifadelere yer verilmemelidir” hükmüne
aykırı olduğu kanaatine varmıştır.
4.2. Hangi Veri, Hangi Hukuki Sebeple İşleniyor?
Kurul ayrıca, aydınlatma metninin “Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi” bölümünde;
- Hangi kişisel verinin,
- Hangi veri işleme şartına (örneğin; sözleşmenin ifası, hukuki yükümlülük, meşru menfaat vb.)
dayanılarak işlendiğinin açık ve net bir şekilde ortaya konulmadığını tespit etmiştir.
Sigorta şirketi daha sonra internet sitesindeki aydınlatma metnini güncellemiş olsa da, Kurul, hâlâ “veri türü – hukuki sebep eşleştirmesinin net olmadığını” vurgulamış ve bu eksikliğin giderilmesi gerektiğini ifade etmiştir.
5. Kurulun Sonuç ve Talimatları
Kişisel Verileri Koruma Kurulu, 05/04/2021 tarihli ve 2021/333 sayılı kararında aşağıdaki sonuçlara ulaşmıştır:
- Veri aktarımı bakımından: Üçüncü şirketin veri işleyen olduğu, sovtaj yönetimi hizmetinin sigortacılık mevzuatı kapsamında destek hizmeti olarak alınabildiği ve kişisel veri işlemenin KVKK m.5/2(c) – sözleşmenin ifası şartına dayandığı; bu nedenle veri işlemenin hukuka aykırı olmadığı değerlendirilmiştir.
- Aydınlatma metni bakımından: Metinde yer alan “bunlarla sınırlı olmamak üzere” tipi muğlak ifadelerin Tebliğ’e aykırı olduğu, hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin açıkça gösterilmediği tespit edilmiştir.
- Başvuruların yönetimi bakımından: Veri sorumlusunun, ilgili kişi başvurularını Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun şekilde, titizlikle kayıt altına alarak süresi içinde yanıtlaması gerektiği vurgulanmış ve bu konuda talimatlandırılmasına karar verilmiştir.
Kurul, bu kararda doğrudan bir idari para cezası hükmünden özellikle bahsetmemiş, odak noktasını aydınlatma metninin düzeltilmesi ve başvuru süreçlerinin iyileştirilmesi üzerine kurmuştur.
6. Sigorta Şirketleri İçin KVKK Uyum Dersleri
Bu karar, Türkiye’de faaliyet gösteren sigorta şirketleri, reasürörler ve destek hizmeti kuruluşları için önemli uyum mesajları içermektedir.
6.1. Açık Rıza Her Zaman Zorunlu Değil, Ama Şartlar Net Olmalı
Hasar sürecinde poliçe yükümlülüklerini yerine getirmek için gerçekleştirilen veri işleme faaliyetlerinde “sözleşmenin ifası” veri işleme şartına dayanmak çoğu durumda mümkündür. Ancak bunun için:
- İşlenen kişisel verilerin amaçla doğrudan ilgili ve gerekli olması,
- Destek hizmeti sağlayıcısının veri işleyen sıfatının açıkça tanımlanması,
- İlgili kişiye yapılan aydınlatmanın, bu akışı anlaşılır şekilde ortaya koyması
gerekir. Aksi halde, açık rıza tartışmaları ve uyum riskleri gündeme gelebilir.
6.2. Veri İşleyen ile Paylaşımlar “Aktarım” Gibi Yönetilmemeli
Bu karar, veri sorumlusu ile onun adına çalışan veri işleyen arasındaki veri akışının, her durumda “üçüncü kişiye aktarım” gibi değerlendirilmemesi gerektiğini teyit etmektedir.
Ancak bu durum, veri işleyenlerin;
- Güvenlik önlemleri,
- Sır saklama yükümlülüğü,
- Talimat dışına çıkmama
gibi hususlarda sözleşmesel ve teknik tedbirlere tabi olmadığı anlamına gelmemelidir.
6.3. Aydınlatma Metinlerinde Muğlak İfadelerden Kaçının
“…ve bunlarla sınırlı olmamak üzere” gibi ilave ve belirsiz amaçlara kapı açan ifadeler; “belirli, açık ve meşru amaç” ilkesine aykırı kabul edilebilmektedir.
Sigorta şirketlerinin aydınlatma metinlerinde:
- Hangi veri kategorilerinin (kimlik, iletişim, poliçe, hasar, sağlık vb.),
- Hangi amaçlarla (poliçe düzenleme, risk analizi, tazminat değerlendirmesi, sovtaj yönetimi vb.),
- Hangi hukuki sebebe (sözleşmenin ifası, hukuki yükümlülük, meşru menfaat vb.)
dayanarak işlendiğini net ve sade şekilde eşleştirmesi KVKK uyumu için kritik önemdedir.
7. Sık Sorulan Sorular (SSS)
Bu kararda veri aktarımı hukuka aykırı bulundu mu?
Hayır. Kurul, sigorta şirketinin kişisel verileri sovtaj yönetimi hizmeti sunan üçüncü şirkete aktarmasını; sigorta sözleşmesinin ifası kapsamında ve destek hizmeti mevzuatına uygun bulmuştur. Bu nedenle veri işleme bakımından hukuka aykırılık tespit edilmemiştir.
Kurulun eleştirdiği temel husus neydi?
Temel eleştiri, sigorta şirketinin aydınlatma metninin kalitesi ve başvuru süreçlerinin yönetimindeki eksiklikler üzerinedir. Özellikle; “ve bunlarla sınırlı olmamak üzere” gibi muğlak ifadeler ve hangi verinin hangi hukuki sebebe dayalı işlendiğinin net gösterilmemesi, Tebliğ’e aykırı bulunmuştur.
Sigorta şirketleri açık rıza almak zorunda mı?
Sigorta şirketleri, poliçe kurulması ve hasar sürecinde çoğu işlem için KVKK m.5/2’deki istisnalardan (özellikle sözleşmenin ifası, hukuki yükümlülük) yararlanabilir. Ancak bu, her durumda açık rızanın gereksiz olduğu anlamına gelmez; özellikle pazarlama, profil çıkarma, isteğe bağlı hizmetler gibi ek amaçlar için açık rıza gerekebilir.
Veri işleyen ile yapılan paylaşımlar “yurtiçi/yurtdışı aktarım” sayılır mı?
Veri sorumlusu adına ve talimatıyla çalışan veri işleyenlere yapılan aktarımlar, KVKK m.8 kapsamında klasik “üçüncü kişiye aktarım” değerlendirmesinden teknik olarak farklıdır. Yine de veri işleyenle yapılacak sözleşmelerde gizlilik, güvenlik ve talimatlara uyum yükümlülükleri açıkça düzenlenmelidir.
