Kişisel Verileri Koruma Kurulu (KVKK), trafik kazası, iş kazası ve benzeri olayların ardından mağdurların kişisel verilerinin hukuka aykırı şekilde kullanılmasına yönelik önemli bir ilke kararı yayımladı. Karar, özellikle hasar danışmanlığı şirketleri, eksperler, avukatlar ve kaza sonrası tazminat süreçlerinde faaliyet gösteren tüm tarafları yakından ilgilendiriyor.
Resmî Gazete’de yayımlanan “Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Kararı”, son yıllarda artan şikâyetler üzerine alındı. Kurul, kaza mağdurlarının istekleri dışında aranması, kişisel bilgilerinin nasıl elde edildiğinin açıklanamaması ve çeşitli vaatlerle vekâlet alınmaya çalışılması gibi uygulamaların ciddi veri koruma riskleri doğurduğuna dikkat çekti.
Kaza Sonrası Mağdurlar Neden Aranıyordu?
KVKK’ya ulaşan çok sayıdaki şikâyet ve ihbarda, trafik kazası veya iş kazası geçiren kişilerin, hasar danışmanlığı şirketleri ya da benzeri yapılar tarafından kısa süre içinde telefonla arandığı belirtildi.
Şikâyetlerde; mağdurların ısrarlı şekilde aranması, kişisel verilerin hangi kaynaktan elde edildiğinin açıklanamaması, vekâlet verilmesi halinde tazminat alınacağının vaat edilmesi, talimat verilmemesine rağmen mağdurlar adına işlem yapılabilmesi, kişisel verilerin farklı kanallardan hukuka aykırı şekilde elde edilmesi öne çıktı.
Bu durum üzerine harekete geçen Kurul, kişisel verilerin işlenmesine ilişkin sınırları yeniden hatırlatan kapsamlı bir ilke kararı yayımladı.
Hasar Danışmanlığı Şirketlerine Açık Mesaj
Kararın en dikkat çekici bölümlerinden biri, hasar danışmanlığı şirketleri ve benzeri yapıların faaliyetlerine ilişkin değerlendirmeler oldu.
Kurul, geçerli bir hukuki işleme şartı bulunmaksızın kaza mağdurlarına ait kişisel verilerin işlenemeyeceğini vurguladı. Ayrıca sigortacılık mevzuatında yer alan düzenlemeler hatırlatılarak, sigortadan kaynaklanan tazminat alacaklarının yalnızca hak sahibi veya avukatı tarafından takip edilebileceği, bu alacakların başka kişi veya kuruluşlara devredilemeyeceği belirtildi.
Eksperler ve Avukatlar İçin de Uyarı
İlke kararı yalnızca hasar danışmanlığı şirketlerini değil, sigorta eksperleri, ekspertiz şirketleri, avukatlar ve avukatlık ortaklıklarını da kapsıyor.
Kurul, eksperlerin yalnızca mevzuattan kaynaklanan görevleri kapsamında veri işleyebileceğini, görevleri sırasında öğrendikleri kişisel verileri yetkisiz üçüncü kişilerle paylaşmalarının hukuka aykırı olacağını belirtti. Benzer şekilde avukatlar ve diğer meslek mensuplarının da yetki sınırları dışında veri işleyemeyeceği ifade edildi.
KVKK: Ceza Sorumluluğu da Doğabilir
Kararda, kişisel verilerin hukuka aykırı şekilde elde edilmesi, paylaşılması veya aktarılmasının yalnızca idari yaptırımlarla sınırlı kalmayabileceği vurgulandı.
Kurul, bu tür eylemlerin Türk Ceza Kanunu kapsamında suç teşkil edebileceğine, gerekli durumlarda Cumhuriyet savcılıklarına suç duyurusunda bulunulabileceğine dikkat çekti. Ayrıca ilgili bakanlıklar ve baro başkanlıklarının da süreçlere dahil olabileceği belirtildi.
Veri Güvenliği Tedbirleri Zorunlu Hale Geliyor
KVKK, sigorta sektöründe faaliyet gösteren veri sorumlularına da önemli yükümlülükler hatırlattı.
Buna göre; kişisel verilere erişim yetkileri sınırlandırılmalı, rol bazlı erişim sistemleri kurulmalı, erişim kayıtları takip edilmeli, çalışanlara düzenli eğitim verilmeli, teknik ve idari güvenlik tedbirleri artırılmalı.
Kurul ayrıca çalışanların görevlerinden ayrılmış olsalar bile görevleri sırasında öğrendikleri kişisel verileri paylaşamayacaklarını veya amacı dışında kullanamayacaklarını vurguladı.