Kişisel Verileri Koruma Kurulunun 05/04/2021 tarih ve 2021/333 sayılı Karar Özeti


“Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması” hakkında Kişisel Verileri Koruma Kurulunun 05/04/2021 tarih ve 2021/333 sayılı Karar Özeti

 

Karar Tarihi : 05/04/2021
Karar No : 2021/333
Konu Özeti : Bir sigorta şirketi tarafından işlenen kişisel verilerin üçüncü kişiye aktarılması ve ilgili kişiye veri aktarımına ilişkin aydınlatma yapılmaması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; maliki olduğu aracı ile geçirdiği trafik kazası sonrası veri sorumlusu sigorta şirketi tarafından kasko poliçesi kapsamında hasar dosyası açıldığı, bununla birlikte veri sorumlusunun çağrı merkezini aradığında aracının pert süreci işlemlerinin üçüncü bir şirket tarafından yapıldığı ve bu şirketin kendisi ile iletişime geçeceğinin söylendiği, söz konusu kasko poliçesinde ve sigorta genel şartları mevzuatında pert işleminde ya da herhangi bir hasar halinde hasarın ya da aracın rayiç değerinin ve sovtaj değerinin tespitinin tarafsız ve bağımsız sigorta eksperince yapılacağının belirtildiği, bununla birlikte veri sorumlusu tarafından üçüncü kişi şirket ile onayı ve bilgisi olmadan kendisine ait aracın kaza fotoğraflarının, kimlik bilgilerini de içeren ruhsatın ve iletişim bilgilerinin paylaşıldığı, ancak üçüncü şirketin veri sorumlusu ile yapılan sözleşmenin tarafı olmadığı, sözleşmede adının geçmediği, rayiç tespiti ve sigortacılık işlemlerinin ilgili şirket ile yürütülmesinin poliçeye ve sigortacılık mevzuatına aykırı olduğu ve poliçe kapsamında kişisel verilerinin sadece sigorta eksperi ile paylaşılabileceği, veri sorumlusu tarafından kişisel verilerinin işlenmesinde onay istenmediği ve bildirim yapılmadığı, ayrıca konuya ilişkin veri sorumlusuna yapmış olduğu başvuruya cevap verilmediği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin olarak veri sorumlusu sigorta şirketinin savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şirketlerinin sigortacılık faaliyetlerini gerçekleştirmek ve mevzuattan doğan yükümlülüklerini yerine getirmek amacıyla çeşitli tedarikçi şirketler ile hizmet satın alımı yoluyla iş birliği yaptığı, bu hizmetlere ilişkin usul ve esasların düzenlendiği Sigortacılık Destek Hizmetleri Hakkında Yönetmeliğin “Hizmet konuları” başlıklı 4 üncü maddesinin (h) fıkrasında sovtaj yönetimi hizmetlerinin alınabilecek destek hizmetleri arasında sayıldığı,
  • Bu çerçevede üçüncü kişi şirket ile Ağır Hasarlı Araç Satış Sözleşmesi düzenlendiği, söz konusu sözleşmenin 13.9. maddesinde sigortalı ya da üçüncü kişilerin kişisel verilerinin Kanun ve ilgili mevzuata göre saklanabileceği, toplanabileceği, işlenebileceği ve aktarılabileceğinin düzenlendiği, yürütülen işlemlerin sigorta mevzuatına uygun olarak eksiksiz bir şekilde yerine getirildiği, kişisel verilerinin sadece sözleşmenin ifası için, ölçülü bir şekilde, hukuka, Kanun ve ilgili mevzuata uygun bir şekilde işlendiği,
  • Şikâyet konusu kişisel veri aktarımının poliçeden doğan hasarı tazmin etme yükümlülüğünü yerine getirmek amacıyla, Kanunun 8 inci maddesinin (2) numaralı fıkrasının (a) bendi atfıyla 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan; “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hukuki sebebine dayanılarak Ağır Hasarlı Araç Satış Sözleşmesinde tanımlanan yükümlülüklere uygun şekilde işlemlerin yürütülmesi amacıyla şirketleri adına veri işleyen sıfatıyla üçüncü kişi şirkete aktarımının yapıldığı,
  • Şikâyete konu aktarım bakımından bilgilendirmenin verinin aktarılmasına başlanmadan önce ilgili kişiye gönderilen bilgilendirme formu aracılığıyla yapıldığı ve kişisel verilerinin poliçenin düzenlenebilmesi, risk değerlendirmesi yapılabilmesi, tazminat değerlendirmesi yapılabilmesi ve poliçedeki yükümlülüklerin yerine getirilebilmesi için şirketlerinin birlikte çalıştığı kuruluşlara aktarıldığı konusunda bilgilendirildiği,
  • Aktarım tarihinde internet sitelerinde yer alan aydınlatma metninde şirketlerinin kişisel verileri “Teklif, risk yönetimi, reasürans, hasar inceleme, tespit, tazmin, tazminat, tahsil, transfer, rücu, asistans hizmeti ve benzer süreçlerin yürütülmesi” amacıyla işlediği ve “Kişisel Verilerin Kimlere ve Hangi Amaçla Aktarılacağı” başlığı altında kişisel verilerin sayılan amaçlarla bağlantılı olarak aktarıldığı konusunda ilgili kişilerin bilgilendirildiği,
  • Güncel çağrı merkezi poliçe satış süreçlerinde de Kanun kapsamında aydınlatma ve bilgilendirmelerin kişisel verilerin elde edilmesi sırasında ilgili kişiye ön bilgilendirme yapılması suretiyle gerçekleştirildiği, ayrıca ilgili kişinin çağrı merkezi aracılığıyla kişinin internet sitesindeki aydınlatmaya yönlendirilmesi suretiyle katmanlı olarak bilgilendirme de yapıldığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 05/04/2021 tarihli ve 2021/333 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasında “kişisel veri”nin; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, “ilgili kişi”nin; “kişisel verisi işlenen gerçek kişiyi”, “veri sorumlusu”nun “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi”, “veri işleyen”in ise “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi” ifade ettiği, Kanunun 3 üncü maddesinde yer alan tanımlar uyarınca, ilgili kişiye ait olan kimlik ve iletişim gibi bilgilerin kişisel veri, ilgili kişinin söz konusu bilgileri üzerinde gerçekleştirilen her türlü işlemin kişisel veri işleme faaliyeti, kişisel verisi işlenen kişinin ilgili kişi ve kişisel verileri işleyen sigorta şirketinin veri sorumlusu, kişisel verilerin aktarıldığı üçüncü kişi şirketin ise veri işleyen olarak değerlendirildiği,
  • 5684 sayılı Sigortacılık Kanununun “Tanımlar” başlıklı 2 nci maddesinde destek hizmeti kuruluşunun “Bu Kanun kapsamındaki kuruluşlara, faaliyet alanlarıyla ilgili konularda yardımcı veya tamamlayıcı nitelikte hizmet veren kuruluşlar”, sigorta şirketinin ise, “Türkiye’de kurulmuş sigorta şirketi ile yurt dışında kurulmuş sigorta şirketinin Türkiye’deki teşkilâtı,” olarak tanımlandığı,
  • Sigortacılık Destek Hizmetleri Hakkında Yönetmelikte sigorta şirketlerinin ana faaliyet alanlarıyla ilgili konularda yardımcı veya tamamlayıcı nitelikte destek hizmeti alımına, destek hizmetlerinin verilişine ve bu hizmetleri sunan destek hizmeti sağlayıcılarına ilişkin usul ve esasların düzenlendiği, anılan Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (h) bendinde ise sovtaj yönetimi hizmetlerinin dışarıdan temin edilebilecek destek hizmetleri arasında sayıldığı, 5 inci maddede destek hizmeti sunumunda hizmetin kimin adına sunulduğunun açıkça belirtileceği ve destek hizmeti sağlayıcılarının bu işleri nedeniyle bilgi sahibi oldukları sigortalılara, hak sahiplerine ve katılımcılara ait sırların korunmasına yönelik gerekli tedbirleri alacağının hüküm altına alındığı,
  • İlgili sigorta mevzuatı hükümleri uyarınca yardımcı veya tamamlayıcı nitelikteki sovtaj yönetimi hizmetlerinin destek hizmeti olarak alınabileceği, bu çerçevede ilgili kişinin, açık rızası alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu veri işleme faaliyetinin sigorta poliçesindeki yükümlülüklerin yerine getirilebilmesini teminen Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan; “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığı,
  • Veri sorumlusu ile veri işleyen üçüncü kişi Şirket arasında imzalanan Ağır Hasarlı Araç Satış Sözleşmesi incelendiğinde ise, üçüncü kişi şirketin veri sorumlusunun verdiği talimatlar doğrultusunda ve veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işlemesi sebebiyle veri işleyen olarak hareket ettiği anlaşıldığından, veri sorumlusu ile onun adına kişisel verileri işleyen arasında yapılan paylaşımların Kanunun 8 inci maddesi kapsamında ele alınamayacağı,
  • İlgili kişiye kişisel verisinin aktarımına ilişkin aydınlatma yapılmadığı iddiasına ilişkin olarak aydınlatma metni incelendiğinde; “Kişisel Verilerinizin Kimlere ve Hangi Amaçla Aktarılabileceği” bölümünde yer alan “Kişisel Verilerin İşlenme Amaçları” başlığı altında “sayılan amaçlarla ve bunlarla sınırlı olmamak üzere kişisel verilerin aktarılabileceğinin” belirtildiği tespit edilmiş olup söz konusu ibarenin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci maddesinin (1) numaralı fıkrasının (g) bendinde yer alan; “Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir.” hükmüne aykırı olduğu; ayrıca “Kişisel Veri Toplamanın Yöntemi ve Hukuki Sebebi” başlığı altında hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin açıkça ortaya konulmadığı, bununla birlikte veri sorumlusunca daha sonra internet sitelerinde yayımlanan aydınlatma metninin güncellendiği ancak hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin hala net olarak ortaya konulmadığı

değerlendirmelerinden hareketle;

  • Veri sorumlusunun kendisine yapılan başvuruları titizlikle kayıt altına alarak Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğe uygun şekilde ilgili kişilerin başvurularına yanıt vermesi konusunda talimatlandırılmasına,
  • Şikâyete konu faaliyette veri sorumlusunun kişisel veri paylaşımı yaptığı üçüncü kişi şirketin veri işleyen olduğu dikkate alındığında, ilgili kişinin, açık rıza alınmadan kişisel verilerinin işlenmesinin hukuka aykırı olduğu iddiasına ilişkin olarak, söz konusu işlemenin Kanunun 5 inci maddesinin (2) numaralı fıkrasının (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayanılarak gerçekleştirildiği anlaşıldığından söz konusu işlemde hukuka aykırılık bulunmadığına,
  • İlgili kişinin, tarafına aydınlatma yapılmadığı iddiasına ilişkin olarak, olay tarihinde yapılan aydınlatmanın usul açısından eksiklikler taşıdığı ancak sonrasında aydınlatma metninin güncellendiği, bununla birlikte söz konusu metinde hâlihazırda hangi kişisel verinin hangi veri işleme şartına dayanılarak işlendiğinin belli olmaması nedeniyle veri sorumlusunun metindeki bu eksikliğin giderilmesi hususunda talimatlandırılmasına

karar verilmiştir.