Kişisel Verileri Koruma Kurulu (KVKK), yetkisiz ve yasa dışı faaliyet gösteren hasar aracıları ile ilgili Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Kararı aldı ve karar bugünkü Resmi Gazetede yayımlandı. Aynı zamanda KVKK, kamuoyu duyurusu da yayınladı. Buna göre, hasar danışmanlık şirketleri ve yetkisiz kişilerin mağdurlara ait verilere hukuka aykırı erişimine karşı yaptırım uyarısı yapıldı.

SİGORTA GAZETESİ/ÖZEL HABER
Kişisel Verileri Koruma Kurulu (KVKK), yetkisiz ve yasa dışı faaliyet gösteren hasar aracıları ile ilgili Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Kararı aldı ve karar bugünkü Resmi Gazetede yayımlandı. Aynı zamanda KVKK, kamuoyu duyurusu da yayınladı. Buna göre, hasar danışmanlık şirketleri ve yetkisiz kişilerin mağdurlara ait verilere hukuka aykırı erişimine karşı yaptırım uyarısı yapıldı.
Kararda, hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendilerini avukat olarak tanıtan, ancak baro levhası sorgulaması yapıldığında avukat olmadığı tespit edilen kişiler tarafından iş kazaları, trafik kazaları veya benzeri olumsuz olayların mağdurlarıyla istekleri dışında iletişime geçildiği yönünde muhtelif sayıda şikâyet ve ihbarın KVKK’ya intikal ettiğine değinilerek, şu ifadeler kullanıldı:
“Bu kapsamda, iletişime geçilen kişilere vekalet vermeleri halinde tazminat alacağı vaat edilerek gerekli başvuruların yapılabileceğinin belirtildiği; mağdurlar tarafından kendilerine ve kazaya ilişkin bilgilerin nasıl elde edildiği hususunda yöneltilen sorulara ise tatmin edici bir cevap verilemediği ifade edilmektedir. Mağdurlarla yapılan görüşmeler sonrasında kimi durumlarda ısrarlı arama ve hak kaybı yaşanabileceğine ilişkin korkutmalar neticesinde vekâletname alındığı kimi durumlarda ise herhangi bir bilginin ya da talimatın verilmemesine karşın mağdurlar adına iş ve işlemler gerçekleştirildiği görülmektedir. Kişisel Verileri Koruma Kurulu (Kurul) tarafından yapılan incelemeler neticesinde mağdurlara ilişkin kimlik, iletişim bilgileri ile diğer kişisel verilerin yer aldığı kaza tutanakları gibi dokümanlara yukarıda belirtilen kişiler tarafından kaza sonrası süreçte farklı kanallar üzerinden erişilebildiği anlaşılmıştır. Söz konusu hukuka aykırı kişisel veri erişim ve müteakip işleme faaliyetlerinin yaygınlığı sebebiyle Kurul tarafından İlke Kararı alınması gereği hasıl olmuştur.”
SUÇ DUYURUSUNDA BULUNULACAK
KVKK, kamuoyu duyurusunda da sigortacılık kanunu gereği, sigortacılık yapan kurum veya kuruluşlardan talep edilecek tazminat alacaklarının yalnızca hak sahibine ya da onun resmi vekili olan avukatına ödenebileceğine dikkat çekilerek, şu tespitler yapıldı:
“Tazminat alacaklarının avukat olmayan üçüncü kişilere ya da hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren oluşumlara devredilmesi hukuken geçersiz olmakla birlikte Türk Ceza Kanunu bakımından da suç teşkil edebilecektir. Bu kapsamda kişisel verileri hukuka aykırı olarak ele geçiren, paylaşan veya bu veriler üzerinden kazazedeleri arayarak iş takibi teklif eden kişi ve kurumlar hakkında Cumhuriyet Savcılıklarına suç duyurusunda bulunulabilecek olup ayrıca idari yönden ilgili Bakanlıklara ve Baro Başkanlıklarına da gerekli bildirimler yapılabilecektir.”
SİGORTA EKSPERLERİNE DE UYARI
Kurul kararına göre; sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve Kişisel Verilerin Korunması Kanunu hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin, ekspertiz şirketlerinin, avukatların, avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda, ilgili kişilerce Kurul’a şikayette bulunulabilecek.
Diğer taraftan, sigorta eksperlerinin kişisel veri işleme faaliyetleri; Sigortacılık Kanunu ve ikincil mevzuat çerçevesinde, hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi gibi yasal görevlerin ifasıyla sınırlı ve bu faaliyetlerle doğrudan bağlantılıdır. Sigorta eksperleri görevlerini yerine getirirken Kişisel Verilerin Korunması Kanunu’nda belirtilen şartlarına dayanarak kişisel veri işleyebilmektedir. Kararda, sigorta eksperlerinin, kendilerine tevdi edilen kişisel verileri yalnızca görevleri dahilinde kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliğine ilişkin yükümlülükleri almaları ve mesleki sır saklama yükümlülüğüne riayet etmelerinin zorunlu olduğu da vurgulandı.
KVKK HANGİ KARARLARI ALDI?
Bu gerekçelerde KVKK, şu kararları aldı:
Sigortacılık sektörü içerisinde farklı kanallarla işlenmekte olan kişisel verilere hukuka aykırı erişen veya bu verileri kanun hükümleri uyarınca işleyen hasar danışmanlık şirketleri ile yetki sınırlarını aşan eksper, ekspertiz şirketleri veya avukatların herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatını haiz olduğunun tespiti halinde, ilgili kişilerce KVKK’na şikayette bulunulabilecek.
Sigorta eksperlerinin yasal görevleri doğrultusunda kişisel veri işleme faaliyetinde bulunabileceğine; ancak görevleri gereği işledikleri kişisel verileri yetkisiz üçüncü kişilere aktarmaları durumunda Kanuna aykırılık oluşacağına ve bu kişisel veri işleme faaliyetlerinin Türk Ceza Kanunu’nun “kişisel verileri hukuka aykırı olarak verme veya ele geçirme” suçuna neden olacak.
Kaza mağdurlarına ilişkin kişisel verileri uhdesinde bulunduran veya işleyen veri sorumlularının; çalışanlarına yönelik kişisel verilerin korunması konusunda eğitim ve bilinçlendirme faaliyetlerini gerçekleştirmekle birlikte kişisel verilere erişimde asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve takip mekanizmaları gibi kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbirleri alması gerekiyor.
Bahse konu önlemleri almayarak Kanun hükümlerine aykırı şekilde bu uygulamalara devam eden ve bu İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında idari işlem uygulanacak.















