Top

Sigorta Acentesi Veri İşleyen midir?

Sigorta Acentesi Veri İşleyen midir?


Her hangi bir veri aktarım sözleşmesinin tarafların haklarını ve yükümlülüklerini doğru  tanımlayan bir belge olabilmesi için ilk şart her iki tarafın veri koruma hukuku bağlamında statülerinin ne olduğunun doğru bir şekilde belirlenmesidir.  Kısacası veri ilişkisinin her iki tarafın bağımsız birer veri sorumlusu mu, (eğer Avrupa Birliği bağlamında değerlendiriyorsak birer ortak veri sorumlusu mu) veri işleyen mi, yoksa alt veri işleyen mi olduklarının tanımlanması yapılacak ilk iştir. Bu doğru tanımlanmazsa kurulacak veri aktarım veya veri işleme sözleşmesi kanunun emredici hükümleri karşısında yok hükmünde olacak ve tarafları gereksiz hukuksal süreçlere ve olası zararlara muhatap bırakacaktır.


Her iş ilişkisinde tarafların veri koruma hukukundan kaynaklanan rollerini tanımlamak zannedildiği kadar kolay bir iş değildir. Konunun halen Avrupa’da da tartışılmakta olduğunu söyleyebiliriz. Yakın zamanda bir sigorta şirketi ile aralarında acentelik sözleşmesi bulunan acentesi arasındaki veri ilişiksini inceleme şansı elde ettim. Sigorta şirketi, acentesine bir kişisel veri aktarım sözleşmesi göndererek imzalanmasını talep etmişti. Ancak gönderdiği sözleşmede acente bir veri işleyen olarak tanımlanıyordu. Böylece bu tanımın doğru olup olmadığı tartışması bizi veri koruma hukukunun en karmaşık sorularından birisi ile baş başa bıraktı.


Sigorta Acentesinin tek bir sigorta şirketinin acenteliğini yaptığı, tarafların rollerinin daha net tanımlanabildiği ve iş süreçlerinin daha basit olduğu durumların bu yazılanlar kapsamında değerlendirilmemesi gerektiğini baştan söylemiş olalım. Ancak iş hayatının pratikleri genellikle bu şekilde değil ve acenteler aynı anda birden fazla sigorta şirketinin acenteliğini üstlenmekteler. Adım adım konuyu incelemeye ve tartışmaya çalışalım.

Sigorta Hukuku Bakımından

Şunu hemen belirtelim Sigorta Şirketi kesin bir şekilde bir veri sorumlusu. Bunda tartışılacak bir durum yok. Öte yandan sigortacılık ile ilgili yasalar ve acente ile sigorta şirketi arasındaki sözleşmeler incelendiğinde açık bir şekilde, acentenin veri işleme faaliyetini Sigorta şirketinin talimatlarına uygun olarak yerine getirme yükümlülüğü bulunduğunu gösteriyor. 
Sigorta şirketi ile acente arasındaki iş ilişkisi 5684 sayılı Sigortacılık Kanunu, 22.04.2014 tarih ve 28980 sayılı R.G’de yayınlanan Sigorta Acenteliği Yönetmeliği ve taraflar arasında imzalanan Acentelik Sözleşmesine göre ortaya çıkmış bir ilişkidir. Yasa, yönetmelik ve sözleşmenin çizdiği çerçeve kimin veri sorumlusu, kimin veri işleyen olduğunu belirlemede yardımcı araçlar olarak kullanılabilir.  Ama sigorta hukuku ve bu hukuktan kaynaklanan sözleşmeler kimin veri sorumlusu, kimin veri işleyen olduğunu tanımlamamız için yeterli mi?

Kişisel Veri Hukuku Bakımından

Bilindiği üzere veri koruma hukuku ülkemizde oldukça yeni bir hukuk alanıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, AB üyelik sürecinde uyum yasalarından birisi olarak hazırlanıp çıkarılmıştır ve  Kişisel Verileri Koruma Kurumu ve Kurulu işlem ve kararlarında yalnızca 6698 sayılı yasaya göre değil, aynı zamanda Avrupa Birliği’ne ait Genel Veri Koruma Regülasyonu’na (GDPR) atıf yapmaktadırlar. Sigorta Acentesi ile sigorta şirketi arasındaki ilişkide tarafların veri koruma hukuku bakımından statülerinin belirlenmesinde Avrupa Birliği mevzuat, içtihat ve uygulamalarının dikkate alınması önemli doneler sunmaktadır. 

Kişisel Veri Hukuku Önceliklidir

Avrupa Veri Koruma Kurulu (EDPB)’nin en son yayınladığı veri sorumlusu ve veri işleyen konseptlerini açıklayan 7/2020 sayılı ve 2.09.2020 tarihli kılavuzunda,


“11) Veri sorumlusu ve veri işleyen kavramları işlevsel kavramlardır: tarafların mevcut rollerini dikkate alarak sorumlulukları paylaştırmayı amaçlar. Bu sebeple bir tarafın “veri sorumlusu”  mu, “veri işleyen” mi olduğuna ilişkin statüsü, resmi olarak “veri sorumlusu” veya “veri işleyen” olarak nasıl tanımlandıklarına bakarak değil (örn. bir sözleşmeyle) her özel durumdaki faaliyetleri dikkate alınarak belirlenmelidir.
12) “Veri sorumlusu” ve “veri işleyen” statülerinin belirlenmesinde her ne kadar harici yasal kaynaklar yardımcı olarak kullanılabilse de, asıl olarak veri koruma hukuku (AB) dikkate alınarak yorumlama yapılmalıdır. “Veri sorumlusu” kavramı, diğer hukuk alanlarındaki kavramlar -bazen çakışsa ve üst üste gelseler dahi- tarafından gölgelenmemelidir. Örneğin fikri mülkiyet hukukundaki eser sahibi ve hak sahibi gibi kavramlar ile rekabet hukukunda kullanılan kavramlar da olduğu gibi.” denilmektedir


Metinden de anlaşılacağı üzere Sigorta Acentesi ile Sigorta Şirketi arasındaki veri aktarımından kaynaklanan bir sorun yaşandığında, ilgili merciler sorumlulukları belirlerken tarafların yaptıkları sözleşmelerle birbirlerini “veri sorumlusu” mu, “veri işleyen” mi olarak tanımladıklarına değil fiili duruma yani veri ilişkisinin niteliğine bakma eğiliminde olacaklardır. Görüleceği üzere mevcut durumda sigorta şirketi tarafından önerilen veri aktarım sözleşmesinde sigorta acentesinin “veri işleyen” olarak tanımlanması tek başına bir anlam ifade etmeyecektir.
Acentenin Faaliyetlerinin İncelenmesiRehberde belirtildiği üzere önceliği taraflar arasındaki veri ilişkisinin kapsamı ve niteliğine vermemiz yerinde olacaktır. Bunu dikkate aldığımızda iki taraf arasındaki veri ilişkisinde şu hususlar göze çarpmaktadır:

  1. Acente, müşterinin bilgilerini sigorta şirketinin web tabanlı uygulamasına yükleyerek ilgili kişinin verilerini işlemektedir. 
  2. Acente, yalnızca ilgili sigorta şirketinin değil birden fazla sigorta şirketinin acenteliğini yapmaktadır. 
  3. Acente, müşteriyle ilk temas kuran taraf olarak portföyündeki sigorta şirketlerinin birisinden, bir kaçından veya tamamından teklif alma ya da almama yani ilgili kişinin verilerini hangi sigorta şirketleri ile paylaşacağını belirleme imkanına sahiptir. 
  4. Acente, müşteri verilerini yalnızca sigorta şirketinin web tabanlı uygulaması üzerinde değil, aynı zamanda sigorta şirketinin hiç bir kontrolünün bulunmadığı kendi yazılımları, bilişim sistemleri ve bilişim alt yapısı üzerinde işlemektedir. 
  5. Acente, poliçesi devam eden müşterilerine yenileme için mevcut poliçenin tarafı olan sigorta şirketi de dahil olmak üzere acenteliğini yaptığı tüm sigorta şirketlerinden yenileme amaçlı teklif alma imkanına sahiptir. 
  6. Acente, farklı sigorta şirketleri ile aynı müşterinin, aynı verilerini paylaşmakta ve sigorta şirketlerinden bağımsız olarak aynı müşterinin, aynı verilerini kendisi de işlemektedir. 

İki taraf arasındaki veri ilişkisini tanımlamamıza yardım eden bu faaliyet ve hususlardan yola çıkarak, sigorta acentesinin, özellikle bütün veri koruma hukukun amacı olan gerçek kişi  olan veri sahibinin (ilgili kişi) yani müşterinin bilgilerini yalnızca ve münhasıran sigorta şirketinin talimatları dahilinde işlemediği, sigorta şirketinin talimatı ve bilgisi dışında da pek çok veri işleme faaliyeti gerçekleştirdiği görülecektir. 


Bu açıdan bakıldığında acentenin bir veri işleyen olarak tanımlanmasının mevcut veri ilişkisi içindeki statüsünü ve fiili durumu tanımlama konusunda yetersiz kaldığı, tarafları hak ve sorumluluklarını eksik ve hatalı olarak betimlediği, bu sebeple EDPB’nin kılavuzunda da belirtildiği gibi her ne kadar tarafların hak ve yükümlülüklerini korur gibi görünse de, kişisel verilerden kaynaklanan bir problem yaşanması halinde ilgili merciler nezdinde etkisiz kalacağı söylenebilir. 

Kişisel Veri Hukukunun Varlık Sebebi

EDPB’nin belirttiği şekilde taraflar arasındaki ilişkiyi düzenleyen hukuku değil, veri koruma hukukunu öncelediğimizde bütün veri ilişkisinin tek amacının veri sahibi olan gerçek kişiyi etkili ve doğru bir biçimde korumak olduğu görülecektir. Bir başka ifade ile veri ilişkisinin merkezinde veri sahibi gerçek kişi bulunmaktadır. Bu sebeple ilgili kişinin verisini işleyen ve birbirleriyle paylaşan taraflar rol ve sorumluluklarını veri sahibi gerçek kişiyi koruyacak şekilde yapılandırmaları önerilebilir. EDPB bahsi geçen kılavuzunda,


“ 13) “Veri sorumlusu” statüsünün bir tarafa yüklenmesinin altında yatan amaç hesap verebilirliği ve kişisel verinin etkili ve kapsamlı bir şekilde korunabilmesinin sağlanmasıdır. Bu sebeple “veri sorumlusu” kavramı veri koruma hukukunun (AB) tam kapsamlı olarak etkili olmasını sağlayacak şekilde yorumlanmalıdır. Böylece yasal boşlukların oluşması ve kuralların etrafından dolaşılmasına engel olunabilecektir.“ demektedir

Bir başka ifade ile taraflar arasındaki veri ilişkisi, veri sahibi gerçek kişinin haklarının etkin ve doğru bir biçimde korunmasına engel olmamalı, buna sebep olabilecek yasal boşluklar doğurmamalı ve kuralların etrafından dolaşılmasına imkan vermemelidir. 


Acente Veri İşleyen Sayılırsa

Yukarıda sayılan ve iki taraf arasındaki veri ilişkisinin niteliğini tanımlayan olguları tekrar dikkate aldığımızda, acentenin veri işleyen olarak tanımlanmasının muhtelif sorunlara sebep olacağı görülmektedir. Acenteyi bir veri işleyen sayan bir veri aktarım sözleşmesi şu tür sorunlar doğuracaktır:

  1. Veri işleyenin, aydınlatma yükümlülüğü bulunmamaktadır. Oysa yukarıda sayılan olgular da dikkate alındığında acente, sigorta şirketleri ile  yaptığı veri paylaşımları hakkında veri sahibi gerçek kişiyi aydınlatma yükümlülüğünü taşımaya devam etmektedir. Bu bağlamda iki taraf arasında acenteyi veri işleyen statüsünde sayan veri aktarım sözleşmesi, acenteyi aydınlatma yükümlülüğü yapmaktan kurtarmayacaktır. 
  2. Acente, sigorta şirketinden bağımsız olarak ve bilgisi dışında müşterilere ait kişisel verileri kendi günlük işleyişinin bir parçası olarak bir kısmı yurt dışında olan veri işleyen hizmet sağlayıcılarla paylaşmaktadır. Eğer sözleşmede belirtildiği gibi bir veri işleyen sayılması durumunda yurt dışı veri aktarımı için acenteliğini yaptığı bütün sigorta şirketlerinden izin ve onay alması gerekecektir. Oysa acente, sigorta şirketlerinin bilişim alt yapısının bir parçası değildir, kendi belirlediği önceliklere göre kendi belirlediği araçlarla bu verileri işlemektedir ve kendi bilgi güvenliği ve silme ve imha politikaları bulunmaktadır. 
  3. Acente, aynı şekilde yurt dışına veri aktarımı konusunda veri sahibi gerçek kişilerden ayrıca özel açık rıza almak zorundadır (KVKK m.9). Bu veri sorumlusuna ait olan bir yükümlülüktür. Veri işleyenlerin böyle bir sorumluluğu bulunmamaktadır. Acentenin bir veri aktarım sözleşmesi ile veri işleyen olarak tanımlanmış olması onu bu yükümlülükten kurtarmamaktadır. 
  4. Acente bir veri işleyen olarak kabul edilirse veri sorumlusu olan sigorta şirketinin acentenin bilgi işleme araçları ve yurt dışındaki hangi kurum ve kuruluşlarla bilgi paylaştığı konusunda kendi aydınlatma metinlerini de güncellemesi gerekecektir. Bu durum acente açısından anlamlı olmadığı gibi sigorta şirketinin iş yaptığı tüm acentelerin veri işleme usullerini ve araçlarını öğrenmesi, verileri yurt dışında kimlerle ve hangi taraflarla paylaştığı konusunda bilgi toplaması ve kendi aydınlatma metinleri ve politikalarını buna göre güncellemesini gerektirecektir ki bu sigorta şirketleri açısından anlamsız bir yük oluşturacaktır. 
  5. Acentenin gündelik işleyişinde sigorta şirketine sormadan ve iznini almadan müşteri bilgilerini diğer sigorta şirketleri ve iş ortakları ile paylaştığı durumlar bulunmaktadır. Veri işleyen olarak tanımlanan bir acente, veri sorumlusuna sormadan bu paylaşımları yapamayacaktır. Bu durumda acente, acenteliğini yaptığı her bir sigorta şirketinde diğer sigorta şirketleri ile veri paylaşabilmek için ayrı ayrı izin ve onay almak zorundadır. Bu durumun veri sahibi gerçek kişinin haklarını korumak bakımından, tek başına veri sorumlusu kabul edilirse üstleneceği yükümlülüklerle kıyaslandığında etkinlik ve verimlilik anlamında bir avantaj değil dezavantaj oluşturacağı aşikardır. 

Acentenin, veri işleyen sayılmasının doğuracağı sorunlar bunlarla sınırlı değildir. Dikkat edilmesi gereken temel nokta, acentenin bağımsız bir tüzel kişilik ve veri sorumlusu olarak sigorta şirketlerinin iznini ve talimatını almadan kişisel veri işlediği pek çok durumun bulunduğu gerçeği dikkate alınmadan  bir veri işleyen olarak tanımlanmasının bu konuda yaratacağı pek çok sorun olmasıdır.

Ara Çözüm Mümkün mü?

Üçüncü ve ara çözümcü bir yaklaşım sigorta şirketi ile acente arasındaki veri ilişkisinde acentenin müşteri ile temas kurduğu andan itibaren teklif bilgilerini sigorta şirketine girdiği ana kadar veri sorumlusu sayılması, bu andan itibaren ise veri işleyen sayılması şeklindeki hibrit bir ara çözümdür.

Bu çözüm mümkün görülmekle beraber sigorta şirketine teklif verildiği anda aynı kişinin aynı verilerinin diğer sigorta şirketleriyle de paylaşılmakta olduğu ve hatta sigorta şirketi ile müşteri arasında bir poliçe ilişkisi kurulduktan sonra da acentenin veri sahibi gerçek kişinin verilerin hem kendi başına işlemeye, hem de üçüncü taraflarla paylaşmaya devam edebileceği gerçeği göz önüne alınması gerekmektedir. Bu açıdan bakınca bu tür bir hibrit çözümün de sorunu etkili ve doğru bir biçimde çözmeye yetmediği görülmektedir. 

Öte yandan veri sorumlusunun doğrudan veri sahibi gerçek kişiye karşı yasal yükümlülüklerinin bulunduğu düşünüldüğünde, veri işleyenin sadece veri sorumlusuna karşı sahip olduğu yükümlülüklerin pek çoğunun veri sorumlusu sıfatının içinde de bulunduğu düşünüldüğünde, basit olan çözümün acentenin bir veri sorumlusu sayılması gerekliliğini gösterdiğini söyleyebiliriz.

Acente bağımsız bir Veri Sorumlusudur

Profesyonel görüşüm ortaya çıkabilecek bütün bu sorunlarla ve bunlardan gelecekte doğabilecek problemlerle yüzleşmek yerine veri sahibi gerçek kişiye karşı her iki tarafın sorumluluklarını ayrı ayrı yerine getirmesine imkan veren bir veri sorumlusundan, diğer bir veri sorumlusuna veri aktarımını düzenleyen bir sözleşmenin kullanılmasının daha uygun olacağıdır.

Yukarıda bahsedilen sorunları veri sorumlusundan veri işleyene veri aktarım sözleşmesine istisna ve kısıtlamalar koyarak çözmeyi düşünsek bile bu istisnalar öyle bir hal almaktadır ki, sözleşme iki veri sorumlusu arasındaki veri aktarım sözleşmesine benzemektedir. Böyle bir sözleşme için önerilen düzeltmek ve eklemeler bu soruları kısmen çözüyormuş gibi görünse de EDPB’nin belirttiği gibi tarafların ayrı birer veri sorumlusu olduğu gerçeği karşısında bu düzeltmeler yetersiz ve anlamsız kalmaktadır.

Sonuç olarak bir acentenin birden fazla sigorta şirketinin acenteliğini yaptığı durumlarda, bir veri sorumlusu olarak görülmesi veri sahibi gerçek kişinin haklarının korunması bakımından çok daha etkili, daha kolay işletilebilir ve gerçek duruma daha uygun sözleşmelerin üretilmesini sağlayacak bir çözüm gibi görünmektedir. Tabii ki konu uzun tartışmalara hala açıktır.


Görsel İçin Kaynak: Dataprivacymanager.net

Melih R. Çalıkoğlu
Melih R. Çalıkoğlu
Yorum Bulunmuyor

Yorum Yapın