Ana içeriğe atla

Loading...

BİR SİGORTA ŞİRKETİ TARAFINDAN HİZMETİN AÇIK RIZA ŞARTINA BAĞLANMASI HAKKINDAKİ İHBARA İLİŞKİN KARAR

Kişisel Verileri Koruma Kurumu’nun, 20.04.2021 tarihli ve 2021/389 Karar sayılı Kararına konu olayda, ilgili kişi tarafından, bir sigorta şirketinden bireysel emeklilik sözleşmesi yaptırıldığı ve şirketin internet sitesinde poliçelere ulaşmaya çalışırken kişisel verilerinin işlenmesine izin verilmesinin zorunlu olduğu, açık rıza göstermeden sitede hiçbir işlem yapamadığı ve internet sitesini kullanamadığı, işbu durumun hukuka aykırı olduğundan bahisle 6698 sayılı KVKK kapsamında ihbarda bulunduğu belirtilmiştir.

 

İhbar üzerine Kurul, inceleme başlatarak veri sorumlusundan savunmasını talep etmiştir. Bu savunmada veri sorumlusu özetle;

 

Sigorta şirketinin faaliyetlerini yürütebilmesi amacıyla, müşterinin kim olduğunun anlaşılması için kimlik bilgileri ve tazminat talepleri gibi konularla, anne ve baba isimlerinin, e-posta adresleri, telefon numaraları ve adresleri gibi bilgilerin KVKK madde 5/1 uyarınca işlendiği ve yine aynı maddenin ikinci fıkrasında yer aldığı üzere bu durumun istisnalar arasında yer aldığı ve bu bilgilerin sigorta şirketinin faaliyeti kapsamında işlenmesi için açık rızanın aranmayacağı hallerden olduğunu belirttiği görülmüştür.

Veri sorumlusu tarafından ayrıca, sisteme katılan kişinin ileride şirketten başka bir hizmeti isteyip istemeyeceğinin tespitinin öngörülmesinin mümkün olmaması sebebiyle sisteme girerken kişiden açık rıza talep edilmesi gerektiğini düşündükleri ve bu doğrultuda da internet sitelerinde aydınlatma metni ve açık rıza bildiriminin iki ayrı linkte yer aldığının ifade edildiği görülmüştür.

Ek olarak, ihbarda bulunanın siteyi kullanamadığı beyanına karşı, verilen hizmetin sadece internet sitesi üzerinden verilmediği, Türkiye’nin her yerindeki acenteler, mobil uygulamalar ve başka bir takım elektronik ortamlar da dahil olmak üzere birçok mecra ve kanaldan ilgili hizmete ulaşabilmenin mümkün olduğu belirtmiştir.

 

Söz konusu ihbar, veri sorumlusunun savunması ve ilgili mevzuat hükümleri gereğince Kişisel Verileri Koruma Kurulunun 20/04/2021 tarih ve 2021/389 sayılı kararı ile;

 

  • Aydınlatma Metnine İlişkin Olarak:

Kişisel Verileri Koruma Kanunu’nun 10.maddesinde yer aldığı üzere veri sorumlusunun ilgili kişileri aydınlatma yükümlülüğünün mevcut olduğunu, işbu yükümlülüğün Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ hükümlerine göre yerine getirilmesi gerektiğini belirttiği tespit edilmiştir. Kurul, somut olayda sigortacılık faaliyetleri için kişisel verilerin işlenmesinin gerekli olabileceğini, bu durumdan dolayı şirketin aydınlatma yükümlülüğünü yerine getirmesinin ayrıca önem arz ettiğini, veri sorumlusunun aydınlatma metni ve açık rıza beyanını savunmasında belirtmiş olduğu gibi iki ayrı linkte vermiş olsa dahi, her iki metnin de aynı olduğunun ve aydınlatma metni ile açık rıza beyanının aynı kutucuk üzerinden onaylanacak şekilde yer aldığı tespitinde bulunmuştur. Tebliğ’in 5.Maddesinin f bendine göre, kişisel veri işletme faaliyetinin açık rıza şartına bağlı gerçekleşmesi halinde aydınlatma metninin okunduğuna ilişkin onayın ve açık rızanın ayrı ayrı alınması gerekmektedir. Yani kişisel veri işlenmesinin hukuki sebebinin açık rıza olduğu hallerde ayrı bir açık rıza metninin de oluşturulması gerekecektir.

 

Ayrıca Kararda, Veri sorumlusunun, her iki aydınlatma metninde de “D-Kişisel Verileriniz Toplama Yöntemi ve Hukuki sebebi” başlığı altında “Sigorta poliçeleri ve emeklilik sözleşmelerinin taraflarına ait kişisel/özel nitelikli kişisel veriler; acentelerimiz, internet uygulamalarımız ve çağrı merkezimiz aracılığı ile doğrudan doğruya sizlerden ve sigorta sözleşmelerinden kaynaklanan yükümlülüklerin yerine getirilebilmesi için kamu kurumları tarafından tarafımıza erişim yetkisi verilen veri tabanlarından derlenmektedir.  Ve devamında da “6698 sayılı Kişisel Verilerin Korunması Kanunu ve sair mevzuat çerçevesinde sadece sigortacılık faaliyetlerinin yürütülmesi amacı ile ve bu amacın gerektirdiği yasal sürelerle sınırlı olarak işlenmektedir.” şeklinde açıklama yaptığı ve burada da verilerin hangi işleme şartına dayanılarak işlendiğine dair bilgilendirme olmadığı ifade edilmiştir.

 

  • Açık Rızanın Hizmet Şartına Bağlanıp Bağlanmadığına İlişkin Olarak:

Kurul, ilgili kararında, açık rızanın kanunda, “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığını ve işbu tanımdan anlaşıldığı üzere açık rıza beyanının genel nitelikte olmaması gerektiğini, hangi konuda açık rıza alındığının belirli ve o konuyla sınırlı olması gerektiğini vurgulamış, kişinin rızasını verdiği konu üzerinde ve aynı zamanda açık rızanın sonuçları üzerinde tam bir bilgi sahibi olması beklendiğini ifade etmiştir.

 

Kurul tarafından bu hususa ilişkin olarak, somut olayda ihbara konu sigortacılık faaliyetinin Kişisel Verileri Koruma Kanunu’nun 5.madde ikinci fıkrasında yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” veri işleme şartına dayandığı, bu sebeple açık rızanın aranmasının mümkün olmadığı belirtilmiş ve veri sorumlusunun konuya ilişkin aynı zamanda kişisel verilerin işlenmesi için açık rıza beyanı da almakta olmasının “aldatıcı ve hakkın kötüye kullanılması niteliğinde” olduğunu ve bu durumun kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine aykırılık teşkil ettiğini değerlendirmiştir.

 

Kurul, tüm bu gerekçelerle veri sorumlusu hakkında;

 

a. Şirketin ihbarda bulunan gibi birçok kişi üzerinde olumsuz etki yaratabileceği ve şirketin sosyal, ekonomik durumu ve haksızlık derecesi göz önünde tutularak 250.000TL idari para cezasına,

 

b. Açık rıza alınması ve aydınlatma metniyle ilgili tek bir onaya bağlandığından her ikisinin de ayrı ayrı düzenlenmesine,

 

c. Aydınlatma metninde yer alan muğlak ifadelerin, Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uygulanacak Usul ve Esaslar Hakkında Tebliğ hükümleri ile uyumlu olacak şekilde düzenlenmesi ve Kurula bilgi verilmesine karar verilmiştir.

 

  • Tags : Veri Sorumluları Sicili, VERBİS, Kişisel Verilerin Korunması Kanunu, Veri işleme, Veri sorumluları, Kayıt sürelerinin uzatılması, Yıllık çalışanlar, Kayıt zorunluluğu, Özel kişisel veriler,

Yorumlar

Yorum Yap

Kısıtlı HTML

  • İzin verilen HTML etiketleri: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • Satır ve paragraflar otomatik olarak bölünür.
  • Web sayfası adresleri ve e-posta adresleri otomatik olarak bağlantılara dönüşür.