Mobile logo
Top

Sigorta Acentesi Veri İşleyen midir?

Olay İnceleme Yazı

Sigorta Acentesi Veri İşleyen midir?

Her hangi bir veri aktarım sözleşmesinin tarafların haklarını ve yükümlülüklerini doğru  tanımlayan bir belge olabilmesi için ilk şart her iki tarafın veri koruma hukuku bağlamında statülerinin ne olduğunun doğru bir şekilde belirlenmesidir.  Kısacası veri ilişkisinin her iki tarafın bağımsız birer veri sorumlusu mu, (eğer Avrupa Birliği bağlamında değerlendiriyorsak birer ortak veri sorumlusu mu) veri işleyen mi, yoksa alt veri işleyen mi olduklarının tanımlanması yapılacak ilk iştir.

Bu doğru tanımlanmazsa kurulacak veri aktarım veya veri işleme sözleşmesi kanunun emredici hükümleri karşısında yok hükmünde olacak ve tarafları gereksiz hukuksal süreçlere ve olası zararlara muhatap bırakacaktır. 
Her iş ilişkisinde tarafların veri koruma hukukundan kaynaklanan rollerini tanımlamak zannedildiği kadar kolay bir iş değildir. Sigorta şirketleri ile sigorta acenteleri arasıdaki veri alışverişinin niteliği de aynı şekilde tartışmalı bir konudur ve Avrupa dahil bu tartışmalar halen sürmektedir. 

Yakın zamanda bir sigorta şirketi ile aralarında acentelik sözleşmesi bulunan acentesi arasındaki veri ilişiksini inceleme şansı elde ettim. Sigorta şirketi, acentesine gönderdiği kişisel veri aktarım sözleşmesi acenteyi bir veri işleyen olarak tanımlıyordu. Bu rol tanımlamasının doğru olup olmadığı tartışması bizi veri koruma hukukunun en karmaşık sorularından birisi ile baş başa bıraktı. Sigorta acentesi, sigorta şirketi nezdinde bir veri işleyen midir? Konuyu incelemeye ve tartışmaya çalışalım.
Sigorta Acentesinin tek bir sigorta şirketinin acenteliğini yaptığı, tarafların rollerinin daha net tanımlanabildiği ve iş süreçlerinin daha basit olduğu durumların bu yazılanlar kapsamında değerlendirilmemesi gerektiğini baştan söylemiş olalım. Ancak  iş hayatının pratikleri genellikle bu şekilde değil ve acenteler aynı anda birden fazla sigorta şirketinin acenteliğini üstlenmekteler. 
Bu önemli bir ayırımdır ve sigorta acentesinin sigorta şirketinden ne kadar bağımsız olduğu konusuyla doğrudan ilgilidir. Bu aynı zamanda iki taraf arasındaki veri ilişkisini de doğrudan etkileyen bir konudur. 

Sigorta Hukuku Bakımından

Şunu hemen belirtelim Sigorta Şirketi kesin bir şekilde bir veri sorumlusu. Bunda tartışılacak bir durum yok. Öte yandan sigortacılık ile ilgili yasalar ve acente ile sigorta şirketi arasındaki sözleşmeler incelendiğinde açık bir şekilde, acentenin veri işleme faaliyetini Sigorta şirketinin talimatlarına uygun olarak yerine getirme yükümlülüğü bulunduğunu gösteriyor. 
Sigorta şirketi ile acente arasındaki iş ilişkisi 5684 sayılı Sigortacılık Kanunu, 22.04.2014 tarih ve 28980 sayılı R.G’de yayınlanan Sigorta Acenteliği Yönetmeliği ve taraflar arasında imzalanan Acentelik Sözleşmesine göre ortaya çıkmış bir ilişkidir.

Yasa, yönetmelik ve sözleşmenin çizdiği çerçeve kimin veri sorumlusu, kimin veri işleyen olduğunu belirlemede yardımcı araçlar olarak kullanılabilir.  Ama sigorta hukuku ve bu hukuktan kaynaklanan sözleşmeler kimin veri sorumlusu, kimin veri işleyen olduğunu tanımlamamız için yeterli görünmüyor.

Nitekim gerek AB ve gerekse ülkemiz mevzuatı sektörün gündelik çalışma alışkanlıklarından ortaya çıkan acente çeşitliliğini düzenlemiş değildir. AB’nin 2002/92/EC sayılı Sigorta Aracılığı Direktifi ile onun yerini alan 2016/97 sayılı Sigorta Dağıtım Yönetmeliği gibi yönetmeliklerde acente, broker gibi sigorta şirketi ile gerçek kişi arasında aracılık yapan tüm kişi ve kuruluşlar genel bir tanım olarak “sigorta aracıları” başlığı altında toplanmaktadır.

Her iki yönetmelikte de bu aracıların ayrı ayrı türleri için farklı hükümler getirilmemekte, aksine tamanını bağlayan kurallar konulmaktadır. Konumuz açısından sigorta acentelerinin türleri ve ne kadar özerkliğe sahip oldukları önem arz etmektedir. Mevzuatta belirtilmemiş olmakla beraber AB Komisyonu resmi raporlarında bu konu tartışılmıştır. 

Sigorta Acenteleri Ne Kadar Özerktir?

Avrupa Komisyonu Rekabet Genel Müdürlüğü’ne ait Ocak 2207 tarihli “Ticari Sigorta Sektörü Araştırması” ara raporu sigorta acentelerini münhasır ve çoklu acente olmak üzere iki farklı türde sınıflandırır. Münhasır Acente bir sözleşme ile yalnızca tek bir sigorta şirketinin ürünlerin veya birden fazla sigorta şirketinin birbirleriyle yarışmayan farklı ürünlerini pazarlamakla sınırlandırılan acentedir. Raporda da belirtildiği gibi bu tür acenteler çok istisnaidir. Çoklu acente ise müşterilerine birden fazla sigorta şirketinin “birbirleriyle rekabet” eden ürününü sunma imkanı bulunan acentelerdir. Acentelerin neredeyse tamamı bu şekilde yapılandırılmıştır. Bu ayrımı yapan rapor sigorta acentelerinin özerkli problemini şu üç soru çerçevesinde ele alır: 

  1. Sigorta acentesi imzaladığı bir sözleşme ile yalnızca tek bir sigorta şirketinin ürünlerini pazarlamakla sınırlandırılmış mıdır? Ya da birden fazla sigorta şirketinin “birbiriyle rekabet eden ürünlerini” pazarlayabilmekte midir?
  2. Acente bu faaliyetini sigorta konusuna uzmanlaşmış asli işi olarak mı, yoksa asli faaliyetlerinin yanı sıra ek bir faaliyet olarak mı sürdürmektedir?
  3. Acente kime karşı sorumludur? Sigorta Şirketine mi yoksa gerçek kişiye karşı mı?

Raporda da belirtildiği gibi bir sigorta acentesi, birden fazla sigorta şirketinin “birbiriyle rekabet eden” ürünlerini müşteriye aynı anda tercih olarak sunabiliyorsa, bir brokerdan pek de farklı olmayan bir özerkliğe sahiptir. İkinci sorunun cevabı ise acentelerin pek çoğunun bu işi asli ve tam zamanlı işleri olarak yapıyor olduklarıdır.

Nitekim sigorta acenteliği uzmanlık gerektiren, tam zamanlı ve asli iş olarak yürütelen ve bu sahada faaliyet gösterebilme için belgelendirilme gerektiren bir faaliyet alanıdır. Üçüncü soru, yasa gereği acentenin sigorta şirketini temsil ettiği ve dolayısıyla sigorta şirketine sorumlu olduğu söylenerek kestirmeden cevaplanabilir.

Ama bu yazıda da örneklendiği üzere acente, bazı durumlarda müşteri namına da hareket etmektedir. Nitekim müşteri bir sigorta acentesine geldiğinde, acenteden kendisi için birbiriyle aynı sigorta alanı konusunda rekabet eden birden fazla sigorta şirketi arasında kendisi için fiyat ve kapsam açısından en uygun seçeneğin önerilmesi konusunda bir tavsiye istemektedir. Sigorta talep eden müşterinin bilgilendirilmesi hem acente, hem de sigorta şirketi için yasal bir yükümlülüktür.

Bu yükümlülük 14.02.2020 tarih ve 31039 sayılı R.G’de yayınlanan Sigorta Sözleşmelerinde Bilgilendirmeye İlişkin Yönetmelik’te hükme bağlanmıştır. Söz konusu yönetmelik, acenteyi yalnızca tek bir sigorta şirketinin tek bir ürünü hakkında yapması beklenen bilgilendirme ile sınırlı tutulmuş olsa da, dürüstlük kuralı ve Culpa in Contrahendo (sözleşme öncesi kusura dayalı sorumluluk) ilkesi gereği acente aralarındaki güven ilişkisine istinaden müşterisine farklı sigorta şirketlerinin sunduğu farklı tercihler hakkında bilgilendirme yapmakla yükümlü sayılmalıdır. 

AB Komisyonu’nun ilgili raporu her üç sorunun cevabından yola çıkarak sigorta acentelerinin, neredeyse sigorta brokerları kadar özerkliğe sahip olduğu sonucunu çıkarmaktadır. Sigorta acentesinin sahip olduğu bu özerklik önemlidir, zira veri işleme amacını doğrudan etkilemekte, verileri kendi iş faaliyetlerini yürütmek, kendi müşterilerine en iyi hizmeti verebilmek amacıyla işlediğini ortaya koymaktadır. Bir başka ifade ile sigorta acentesi müşterinin kişisel verilerini sigorta şirketi namına işlememekte, bağımsız bir veri sorumlusu olarak bu verileri diğer bir veri sorumlusu olan sigorta şirketi ile paylaşmaktadır.

Kişisel Veri Hukuku Bakımından

Bilindiği üzere veri koruma hukuku ülkemizde oldukça yeni bir hukuk alanıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, AB üyelik sürecinde uyum yasalarından birisi olarak hazırlanıp çıkarılmıştır ve  Kişisel Verileri Koruma Kurumu ve Kurulu işlem ve kararlarında yalnızca 6698 sayılı yasaya göre değil, aynı zamanda Avrupa Birliği’ne ait Genel Veri Koruma Regülasyonu’na (GDPR) atıf yapmaktadırlar.

Sigorta Acentesi ile sigorta şirketi arasındaki ilişkide tarafların veri koruma hukuku bakımından statülerinin belirlenmesinde Avrupa Birliği mevzuat, içtihat ve uygulamalarının dikkate alınması önemli doneler sunmaktadır.  Avrupa Veri Korumu Kurulu yayınladığı bir kılavuzunda bu duruma değinmektedir. 

Kişisel Veri Hukuku Önceliklidir

Avrupa Veri Koruma Kurulu (EDPB)’nin en son yayınladığı veri sorumlusu ve veri işleyen konseptlerini açıklayan 7/2020 sayılı ve 2.09.2020 tarihli kılavuzunda,
“11) Veri sorumlusu ve veri işleyen kavramları işlevsel kavramlardır: tarafların mevcut rollerini dikkate alarak sorumlulukları paylaştırmayı amaçlar. Bu sebeple bir tarafın “veri sorumlusu”  mu, “veri işleyen” mi olduğuna ilişkin statüsü, resmi olarak “veri sorumlusu” veya “veri işleyen” olarak nasıl tanımlandıklarına bakarak değil (örn. bir sözleşmeyle) her özel durumdaki faaliyetleri dikkate alınarak belirlenmelidir.
12) “Veri sorumlusu” ve “veri işleyen” statülerinin belirlenmesinde her ne kadar harici yasal kaynaklar yardımcı olarak kullanılabilse de, asıl olarak veri koruma hukuku (AB) dikkate alınarak yorumlama yapılmalıdır. “Veri sorumlusu” kavramı, diğer hukuk alanlarındaki kavramlar -bazen çakışsa ve üst üste gelseler dahi- tarafından gölgelenmemelidir. Örneğin fikri mülkiyet hukukundaki eser sahibi ve hak sahibi gibi kavramlar ile rekabet hukukunda kullanılan kavramlar da olduğu gibi.” denilmektedir


Metinden de anlaşılacağı üzere acente ile sigorta şirketi arasındaki veri aktarımından kaynaklanan bir sorun yaşandığında, ilgili merciler sorumlulukları belirlerken tarafların yaptıkları sözleşmelerle birbirlerini “veri sorumlusu” mu, “veri işleyen” mi olarak tanımladıklarına değil fiili duruma yani veri ilişkisinin niteliğine bakma eğiliminde olacaklardır. Görüleceği üzere mevcut durumda sigorta şirketi tarafından önerilen veri aktarım sözleşmesinde sigorta acentesinin “veri işleyen” olarak tanımlanması tek başına bir anlam ifade etmeyecektir.

Acentelerin Çalışma Şekilleri Bakımından Konunun İncelenmesi

Rehberde belirtildiği üzere önceliği taraflar arasındaki veri ilişkisinin kapsamı ve niteliğine vermemiz yerinde olacaktır. Öte yandan AB Komisyonu Rekabet Genel Müdürlüğü’nün ara raporunda da belirtildiği üzere alanı düzenleyen mevzuat, acentelerin çalışma şekillerini ve farklılıklarını kapsamamaktadır. Her iki çalışmayı dikkate aldığımızda iki taraf arasındaki veri ilişkisi etkileyen acentenin çalışma tarzını ilgilendiren şu hususlar göze çarpmaktadır:

  1. Acente, müşterinin bilgilerini sigorta şirketinin web tabanlı uygulamasına yükleyerek ilgili kişinin verilerini işlemektedir. 
  2. Acente, yalnızca ilgili sigorta şirketinin değil birden fazla sigorta şirketinin acenteliğini yapmaktadır. 
  3. Acente, müşteriyle ilk temas kuran taraf olarak portföyündeki sigorta şirketlerinin birisinden, bir kaçından veya tamamından teklif alma ya da almama yani ilgili kişinin verilerini hangi sigorta şirketleri ile paylaşacağını belirleme imkanına sahiptir. 
  4. Acente, müşteri verilerini yalnızca sigorta şirketinin web tabanlı uygulaması üzerinde değil, aynı zamanda sigorta şirketinin hiç bir kontrolünün bulunmadığı kendi yazılımları, bilişim sistemleri ve bilişim alt yapısı üzerinde işlemektedir. 
  5. Acente, poliçesi devam eden müşterilerine yenileme için mevcut poliçenin tarafı olan sigorta şirketi de dahil olmak üzere acenteliğini yaptığı tüm sigorta şirketlerinden yenileme amaçlı teklif alma imkanına sahiptir. 
  6. Acente, farklı sigorta şirketleri ile aynı müşterinin, aynı verilerini paylaşmakta ve sigorta şirketlerinden bağımsız olarak aynı müşterinin, aynı verilerini kendisi de işlemektedir. 

İki taraf arasındaki veri ilişkisini tanımlamamıza yardım eden bu faaliyet ve hususlardan yola çıkarak, sigorta acentesinin, özellikle bütün veri koruma hukukun amacı olan gerçek kişi  olan veri sahibinin (ilgili kişi) yani müşterinin bilgilerini yalnızca ve münhasıran sigorta şirketinin talimatları dahilinde işlemediği, sigorta şirketinin talimatı ve bilgisi dışında da pek çok veri işleme faaliyeti gerçekleştirdiği görülecektir. Bu AB Komisyonu Rekabet Genel Müdürlüğü’nün raporu ile de uyumlu bir sonuçtur.
Bu açıdan bakıldığında acentenin bir veri işleyen olarak tanımlanmasının mevcut veri ilişkisinin niteliği bakımından yanlış olduğu, tarafları hak ve sorumluluklarını eksik ve hatalı olarak betimlediği, bu sebeple EDPB’nin kılavuzunda da belirtildiği gibi her ne kadar tarafların hak ve yükümlülüklerini korur gibi görünse de, kişisel verilerden kaynaklanan bir problem yaşanması halinde ilgili merciler nezdinde etkisiz kalacağı ve gerçek kişilerin haklarını korumada yetersiz kalacağı söylenebilir. Bütün veri ilişkilerinde öncelikle dikkat edilmesi gereken konu veri sahibi olan gerçek kişinin haklarının en etkin ve doğru bir şekilde korunmasıdır. 

Veri Sahibinin Haklarının Korunması


EDPB’nin belirttiği şekilde taraflar arasındaki ilişkiyi düzenleyen hukuku değil, veri koruma hukukunu öncelediğimizde bütün veri ilişkisinin tek amacının veri sahibi olan gerçek kişiyi etkili ve doğru bir biçimde korumak olduğu görülecektir. Bir başka ifade ile veri ilişkisinin merkezinde veri sahibi gerçek kişi bulunmaktadır. Bu sebeple ilgili kişinin verisini işleyen ve birbirleriyle paylaşan taraflar rol ve sorumluluklarını veri sahibi gerçek kişiyi koruyacak şekilde yapılandırmaları önerilebilir. EDPB bahsi geçen kılavuzunda, 
“ 13) “Veri sorumlusu” statüsünün bir tarafa yüklenmesinin altında yatan amaç hesap verebilirliği ve kişisel verinin etkili ve kapsamlı bir şekilde korunabilmesinin sağlanmasıdır. Bu sebeple “veri sorumlusu” kavramı veri koruma hukukunun (AB) tam kapsamlı olarak etkili olmasını sağlayacak şekilde yorumlanmalıdır. Böylece yasal boşlukların oluşması ve kuralların etrafından dolaşılmasına engel olunabilecektir.“ demektedir
Bir başka ifade ile taraflar arasındaki veri ilişkisi, veri sahibi gerçek kişinin haklarının etkin ve doğru bir biçimde korunmasına engel olmamalı, buna sebep olabilecek yasal boşluklar doğurmamalı ve kuralların etrafından dolaşılmasına imkan vermemelidir. 
Bir Anlığına Sigorta Acentelerini Veri İşleyen Sayarsak Ne Olur?Yukarıda sayılan ve iki taraf arasındaki veri ilişkisinin niteliğini tanımlayan olguları tekrar dikkate aldığımızda, acentenin veri işleyen olarak tanımlanmasının muhtelif sorunlara sebep olacağı görülmektedir. Acenteyi bir veri işleyen sayan bir veri aktarım sözleşmesi şu tür sorunlar doğuracaktır:

  1. Veri işleyenin, aydınlatma yükümlülüğü bulunmamaktadır. Oysa yukarıda sayılan olgular da dikkate alındığında acente, sigorta şirketleri ile  yaptığı veri paylaşımları hakkında veri sahibi gerçek kişiyi aydınlatma yükümlülüğünü taşımaya devam etmektedir. Bu bağlamda iki taraf arasında acenteyi veri işleyen statüsünde sayan veri aktarım sözleşmesi, acenteyi aydınlatma yükümlülüğünü yerine getirmekten kurtarmayacaktır. 
  2. Acente, sigorta şirketinden bağımsız olarak ve bilgisi dışında müşterilere ait kişisel verileri kendi günlük işleyişinin bir parçası olarak bir kısmı yurt dışında olan veri işleyen hizmet sağlayıcılarıyla (özellikle bilişim hizmetlerinde) paylaşmaktadır. Eğer acente bir veri işleyen sayılırsa yurt dışı veri aktarımı için acenteliğini yaptığı bütün sigorta şirketlerinden izin ve onay alması gerekecektir. Oysa acente, sigorta şirketlerinin bilişim alt yapısının bir parçası değildir, kendi belirlediği önceliklere göre kendi belirlediği araçlarla bu verileri işlemektedir ve kendi bilgi güvenliği ve silme ve imha politikaları bulunmaktadır. 
  3. Acente, aynı şekilde yurt dışına veri aktarımı konusunda veri sahibi gerçek kişilerden ayrıca özel açık rıza almak zorundadır (KVKK m.9). Bu veri sorumlusuna ait olan bir yükümlülüktür. Veri işleyenlerin böyle bir sorumluluğu bulunmamaktadır. Acentenin bir veri aktarım sözleşmesi ile veri işleyen olarak tanımlanmış olması onu bu yükümlülükten kurtarmamaktadır. 
  4. Acentenin gündelik işleyişinde sigorta şirketine sormadan ve iznini almadan müşteri bilgilerini alarak değerlendirmekte ve aynı verileri diğer sigorta şirketleri ve iş ortakları ile paylaşmaktadır. Veri işleyen olarak tanımlanan bir acente, veri sorumlusuna sormadan bu paylaşımları yapamayacaktır. Bu durumda acente, acenteliğini yaptığı her bir sigorta şirketinde diğer sigorta şirketleri ile veri paylaşabilmek için ayrı ayrı izin ve onay almak zorunda kalacaktır.  

Acentenin, veri işleyen olarak tanımlanmasının doğuracağı sorunlar bunlarla sınırlı değildir. 

Acente Bağımsız bir Veri Sorumlusudur

Profesyonel görüşüm ortaya çıkabilecek bütün bu sorunlarla ve bunlardan gelecekte doğabilecek problemlerle yüzleşmek yerine veri sahibi gerçek kişiye karşı her iki tarafın sorumluluklarını ayrı ayrı yerine getirmesine imkan veren bir veri sorumlusundan, diğer bir veri sorumlusuna veri aktarımını düzenleyen bir sözleşmenin kullanılmasının daha uygun olacağıdır. Yukarıda bahsedilen sorunları veri sorumlusundan veri işleyene veri aktarım sözleşmesine istisna ve kısıtlamalar koyarak çözmeyi düşünsek bile bu istisnalar öyle bir hal almaktadır ki, sözleşme iki veri sorumlusu arasındaki veri aktarım sözleşmesine benzemektedir. Böyle bir sözleşme için önerilen düzeltmek ve eklemeler bu soruları kısmen çözüyormuş gibi görünse de EDPB’nin belirttiği gibi tarafların ayrı birer veri sorumlusu olduğu gerçeği karşısında bu düzeltmeler yetersiz ve anlamsız kalmaktadır. 
Sonuç olarak bir acentenin birden fazla sigorta şirketinin acenteliğini yaptığı durumlarda, bir veri sorumlusu olarak görülmesi veri sahibi gerçek kişinin haklarının korunması bakımından çok daha etkili, daha kolay işletilebilir ve gerçek duruma daha uygun sözleşmelerin üretilmesini sağlayacak bir çözüm gibi görünmektedir. Tabii ki konu uzun tartışmalara hala açıktır. 

Görsel İçin Kaynak: Dataprivacymanager.net

2 Nisan 2021
0
0
sigorta acentesi veri aktarım sözleşmesi veri işleyen
Related Posts
Kişisel Verilerin Aktarılması
 15 Nisan 2018
Kişisel Sağlık Verilerinin İşlenmesi
 10 Mart 2018
Veri Sorumlusu ve Veri İşleyen Ayrımı
 11 Ocak 2018
Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
Yorum Bulunmuyor

Yorum Yapın