İlkay Aydoğdu

Kişisel verilerin korunması kanununa uyumda önemli aksiyonlar

24 MART 2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)’na uyum süresi çoktan doldu, ancak birçok sektörde olduğu gibi sigortacılık sektöründe de uyuma ilişkin çalışmalar ve tartışmalar hâlâ devam ediyor. Bu yazımda, kanunun maddeleri ve veri kategorilerinden bahsetmek yerine, sigorta şirketlerinin bu kanuna uyum sağlama yolunda alması gereken önemli aksiyonlardan bahsetmeye çalışacağım.
Veri Sorumluları Sicili’ne Kayıt: KVKK 16. Madde tarafından öngörülen veri siciline kayıt işlemleri, sigorta şirketleri tarafından da gerçekleştirilmek zorunda. Kayıt işlemleri KVK Kurumu tarafından yönetilecek VERBIS sistemi üzerinden yapılacak, sisteme kaydedilecek sorumlu kişinin şirket içerisinde “Veri Koruma Kurulu” ya da “Veri Koruma Görevlisi” olarak atanmış olması önemli (burada kanuni bir zorunluluk bulunmasa da), çünkü bu kişi sisteme yüklenecek “veri envanteri”nin güncel tutulmasından ve şikayetlerin incelenmesi ve cevaplanmasından da sorumlu olacak.
Kişisel Veri İşleme Envanterinin Oluşturulması: Bu envanteri oluşturmak için öncelikle şirketin iş süreçlerinin detaylı bir analizinin yapılarak, süreçler sırasında kaydedilen, saklanan, incelenen ve silinen ya da arşive aktarılan, şirket dışına gönderilen veriler detaylı olarak sorgulanmalıdır. Bu incelemeler sonrasında, en az aşağıdaki başlıkları içeren bir envanter dosyasını VERBIS sistemine yüklenmesi gerekecek. Oluşturulan ve sisteme yüklenen bu envanter şirkette süreçler, prosedürler ve kanuni zorunluklar değiştikçe güncellenecek.
• Kişisel veri işleme amaçları (poliçelendirme, hasar incelemesi, pazarlama vb.)
• Veri kategorisi (özel nitelikli kişisel veri, kişisel veri, kişisel olmayan veri)
• Aktarılan alıcı grubu (ilgili organizasyon birimleri, tedarikçiler ve diğer kurumlar vb)
• Veri konusu kişi grubu
• Kişisel verilerin işlendikleri amaçlar için gerekli olan azami süre (bu sürelerin belirlenmesi sırasında kanuni zorunluluklara da dikkat edilmeli)
• Yabancı ülkelere aktarımı öngörülen kişisel veriler
• Veri güvenliğine ilişkin alınan tedbirler (IT ve fiziksel güvenlik)
Aydınlatma ve Açık Rıza Temin Etme Süreçleri: Öncelikle belirtmeliyim ki, doğru veri envanteri çalışmasının yapılmadığı durumlarda, kime ve nasıl aydınlatma yapılacağı, kimden açık rıza temin edileceğini belirlemek çok zor olacaktır.
Aydınlatma sürecinde genel kural, envanterde veri kategorisi “kişisel veri” ve “özel nitelikli kişisel veri” olarak belirlenmiş tüm verilerin işlenmesinden önce aydınlatma yapılmasıdır. Açık rıza temini ise; veri envanterinde “özel nitelikli kişisel veri” olarak belirlenen tüm verilerin kayda alınması ve işlenmesinden önce imzalı olarak alınmalıdır. Aydınlatma ve açık rıza teminine ilişkin metinlerde, veri entanterinde ilgili süreç ve veri için belirlenmiş “kişisel veri işleme amaçları” ve “azami süre” açıkça belirtilmelidir.
Kişisel Verilerin Korunması Ve İşlenmesi Politikası: Bu politika, şirketin kişisel verileri işleme ve koruma süreçleri ile ilgili hem iç hem de dış partileri bilgilendirecek detayda oluşturulmalıdır. Politika dokümanı iç ve dış eğitimlere de temel oluşturabilir. Politika dokümanı, asgari olarak, veri envanterinin bir kopyasını içermeli, ayrıca şirkette kişisel veri güvenliğinin nasıl sağlandığı, kişisel veri sahibinden gelecek başvuruların nasıl inceleneceği ve cevap verileceği, kişisel verilerin aktarılma süreçleri ve diğer kaynaklardan temin edilen kişisel verilerin nasıl işlendiğine ilişkin süreci açıkça anlatmalıdır. Söz konusu politika, şirket içinde ve dışında yayınlanmalıdır.
Kişisel Verileri Silme, Yok Etme ve Anonimleştirme Süreçleri: Bu süreçler tasarlanmadan ve uygulamaya başlanmadan önce şirketin veri yönetişim (data governance) yapısının ve veri stratejisinin belirlenmiş olması gerekir. Veri sahipliği, verilerin aktarıldığı, işlendiği ve aktarıldığı platform ve sistemler, veri kalitesi kuralları, veri ile yapılacak stratejik projeler net olmadan bu süreçleri kurgulamak ve işletmek zor olacaktır. Söz konusu süreçler belirlendikten sonra prosedür/politika dokümanı olarak şirket içinde ve dışında yayımlanmalıdır.

31 Ekim 2018

İlgili Haberler

Yazarlar