Özlem Baysal Sezgin’in yazısı: Sigorta ekosistemi için KVKK tamam mı devam mı?

Kişisel Verilerin Korunması Kanunu (KVKK), Resmi Gazetede yayınlanalı üç, verilen uyum süresi biteli bir sene oldu. Kişisel veri işleyen her büyüklük ve sektördeki gerçek ve tüzel kişilerin hayatında, yok sayılması, göz ardı edilmesi imkansız yere sahip oldu. KVKK tüm şirketler için geçerliyse de bazı sektörlere daha fazla dokundu, bu sektörlerden biri olan sigorta sektörünü tüm ekosistemiyle derinden etkiledi. Dolayısıyla toplanması, kullanılması, paylaşılması, depolanması gibi veriler üzerinde gerçekleştirilen ne işlem varsa, şirketler düzenlemeye uymak, müşteri güvenini korumak için süreçlerini, sistemlerini dönüştürmek zorunda kaldı.

Kolay değil senelerin uygulamalarını, kemikleşmiş yapılarını -birçok paydaş varken- belirli sürede evirmek. Ancak uyumlu olmamanın riski; sadece idari ve cezai yaptırımlardan ibaret değil, olası ihlal durumunda şirketlerin itibarı sigorta gibi güvene dayalı bir endüstri tarafından göz ardı edilemeyecek tüketici güveniyle birlikte risk altında. Şirketlerin birçoğu uyum çalışmalarını tamamladı da gerçekten tamam oldu mu? KVKK’nın sigorta sektöründe başlattığı kapsamlı devinimde yapılması, unutulmaması gereken hususlardan bazılarına değinmek gerekmekte.

1-    KVKK’da dillendirilen genel ilkeler göz ardı edilmemeli.

Sigortacılar riski yönetir. Riski kontrol edebilmek amacıyla, taahhüt altına girip girmeme, teminat kapsamına alıp almama, ödeme yapıp yapmamaya karar verirken titizlik göstermeleri kaçınılmazdır. Ne kadar veri toplanırsa doğru karar vermek o kadar kolaylaşır. KVKK’da sayılan işlenme şartlarının varlığı halinde verilerin açık rıza olmaksızın işlenebileceği, bu şartların verinin niteliğine yani özel nitelikli ya da özel nitelikli kişisel veriler arasından sağlık ve cinsel hayata ilişkin olup olmamasına göre değiştiği, veri sağlık bilgisi olduğunda sigorta kapsamında rızaya dayanarak işlenebileceği malumdur.  Bununla birlikte kişisel veri işleme faaliyetini, işlenme şartına girip girmediği ya da açık rıza gerekip gerekmediğiyle sınırlandırmamalı, her zaman KVKK’nın 4. maddesindeki ilkelere uygun davranılmalıdır. Mesela belirli bir amaç (hasarın karşılanması) için işlenen ilgili kişiye (mağdura) ait kişisel veriler, bu amaç için ve amacın gerektirdiği yerde kullanılmalıdır. Bir kere şirkete girdi diye her amaç için kullanımının mubah olduğu düşünülmemelidir. Verilerin yeni amaçlarla işlenebilmesi için, ilk toplanması sırasında sağlanması gereken şartlar yeni amaçlar için tekrar aranmalıdır.

2-    Ekosistemdeki paydaşların farkındalığı güçlü kalenin inşası için gerekli.  

Sigorta sektörü acentelerden, sağlık hizmeti desteği veren şirketlere, teknoloji hizmeti veren şirketlerden, asistans hizmeti veren şirketlere kadar geniş bir ekosisteme sahip. Böylesine geniş bir ekosistemde bir şirketin uyum çalışması yapıp yapmaması (ve güvenlik konusunda yetersiz olması) –özellikle şirketin veri işleyen olması durumunda daha da- diğer şirketleri etkileyecek sonuçlara sebebiyet verebilecektir. İnsan faktörünün olduğu yerde bilinçli ya da bilinçsizce yapılacak davranışların, şirketlerin veri koruması konusundaki başarılarına etkisi düşünüldüğünde, başarının bu kişilere yapılan yatırımla doğru orantılı olduğu söylenebilir.  Şirketlerce tamamlanacak uyum çalışmalarının, hazırlanan ve entegre edilen politika ve prosedürlerin, alınan tedbirlerin gücünün, en zayıf halkası kadar olduğu unutulmamalıdır. Bu sebeple şirketlerin birlikten güç doğar yaklaşımıyla hareket etmeleri gerek çalışanların gerekse ilişkide olunan şirketlerin farkındalığının arttırılmasına yatırım yapmaları ekosistemin yararına önemli kazanımlardan biri olacaktır.

3-    Uyum çalışmaları “Yaptık, bitti!” şeklinde bir kutunun işaretlenmesinden ibaret görülmemeli.

KVKK’ya uyum çalışmaları kâğıt üzerinde kalmamalı, yaşayan bir süreç, kültür haline getirilmelidir. KVKK’nın amacını düşünürsek sadece o günün uygulamalarına süreçlerine göre gerçekleştirilen uyum çalışmaları şirketleri bir yere taşımayacaktır. Halbuki şirketler düzenli bir sirkülasyon içindedir; uyum çalışmalarından sonra şirkette hiçbir şeyin değişmeyeceğini düşünmek gerçekten uzak, naif bir düşünce olur. Bu sebeple mevcut durumun uyumluluğunun korunması yanında, hayata geçirilecek her yeni uygulamada, ayak uydurulması gerekli her teknolojik gelişmede, kurulumu yapılacak her yeni yazılım (ve güncelleme) ve donanımda, kısaca kişisel veri içeren faaliyetlerde veri koruma ilkelerinin uygulanmasını sağlamak konusundaki çalışmalar hız kesmeden devam etmelidir. Devamlılığın sağlanmasına yönelik olarak KVKK’da belirtildiği üzere, şirketlerin gerekli denetimleri yapmaları veya yaptırmaları da gerekmektedir.  Sonuç olarak, KVKK’ya uyum topyekûn sonu gelmeyen dönüşümün startını verdi. Şirketlerin KVKK’yı yalnızca bir uyum görevi olarak kabul etmek yerine müşteri güvenini kazanmak, rekabet avantajı sağlamak için fırsat olarak görmelerinin uzun vadede büyük kazanımların kapılarını açacağına şüphe yok.