
Hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendilerini avukat olarak tanıtan ancak baro levhası sorgulaması yapıldığında avukat olmadığı tespit edilen kişiler tarafından iş kazaları, trafik kazaları veya benzeri olumsuz olayların mağdurlarıyla istekleri dışında iletişime geçildiği yönünde muhtelif sayıda şikâyet ve ihbar Kişisel Verileri Koruma Kurumuna (Kurum) intikal etmiştir. Bu kapsamda, iletişime geçilen kişilere vekalet vermeleri halinde tazminat alacağı vaat edilerek gerekli başvuruların yapılabileceğinin belirtildiği; mağdurlar tarafından kendilerine ve kazaya ilişkin bilgilerin nasıl elde edildiği hususunda yöneltilen sorulara ise tatmin edici bir cevap verilemediği ifade edilmektedir. Mağdurlarla yapılan görüşmeler sonrasında kimi durumlarda ısrarlı arama ve hak kaybı yaşanabileceğine ilişkin korkutmalar neticesinde vekâletname alındığı kimi durumlarda ise herhangi bir bilginin ya da talimatın verilmemesine karşın mağdurlar adına iş ve İşlemler gerçekleştirildiği görülmektedir. Kişisel Verileri Koruma Kurulu (Kurul) tarafından yapılan incelemeler neticesinde mağdurlara ilişkin kimlik, iletişim bilgileri ile diğer kişisel verilerin yer aldığı kaza tutanakları gibi dokümanlara yukarıda belirtilen kişiler tarafından kaza sonrası süreçte farklı kanallar üzerinden erişilebildiği anlaşılmıştır. Söz konusu hukuka aykırı kişisel veri erişim ve müteakip işleme faaliyetlerinin yaygınlığı sebebiyle Kurul tarafından İlke Kararı alınması gereği hasıl olmuştur.
Bilindiği üzere, 1136 sayılı Avukatlık Kanunu’nun 2’nci maddesinde avukatlığın amacı düzenlenmiş; 35’inci maddesinde yalnız avukatlar tarafından yapılabilecek İşler belirtilmiş; 48’inci maddesinde aracılık yasağı ve buna ilişkin cezai yaptırımlar öngörülmüş; 55’inci maddesinde reklam yasağına yer verilmiş; 63’üncü maddesinde ise yetkisiz avukatlık faaliyeti ve buna bağlanan yaptırımlar düzenlenmiştir. Ayrıca Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği’nin 14’üncü maddesinde yalnız avukatların yapabileceği işler hüküm altına alınmış, Türkiye Barolar Birliği Meslek Kuralları’nın 8’inci maddesinde ise avukatların, kendine iş elde etme niteliğindeki her davranıştan çekineceği düzenlenmiştir.
Öte yandan, 5684 sayılı Sigortacılık Kanunu’nun (5684 sayılı Kanun) Ek Madde 6 hükmü ile sigortacılık yapan kurum veya kuruluşlardan ya da hesaptan talep edilecek tazminat alacağının kimlerden talep edilebileceği düzenlenmiş, tazminat alacağının sadece hak sahibine ya da avukatına ödenebileceği ve bu alacağın kimseye devredilemeyeceği hüküm altına alınmış ve 5684 sayılı Sigortacılık Kanunu Ek 6’ncı Maddesinin Uygulanmasına İlişkin Genelgenin 7’nci maddesinde ise aksine her türlü sözleşme veya işlemin, 5684 sayılı Kanun’a aykırı ve 6098 sayılı Türk Borçlar Kanunu uyarınca kesin olarak hükümsüz olduğu düzenleme altına alınmıştır.
Bu çerçevede, 5684 sayılı Kanun’dan kaynaklanan tazminat alacaklarının ancak 5684 sayılı Kanun’un Ek Madde 6 düzenlemesinde hüküm altına alınan kişilerce takip edilebileceği açık olup, bu alacakların başka kişi, kurum ya da kuruluşlara devrinin de mümkün olmadığı, bu bakımdan Kurumumuza intikal eden ihbarlar kapsamında hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren oluşumların, yukarıda yer verilen düzenlemeler uyarınca, ancak doğrudan ya da dolaylı olarak avukatlar eliyle faaliyet gösterebileceği, aksi bir durumun yukarıda belirtilen ilgili mevzuat düzenlemelerini ihlal edebileceği ve ayrıca 5237 sayılı Türk Ceza Kanunu’nun (TCK) 136’ncı maddesinde düzenlenmiş olan “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun 137’nci maddesinde düzenlenen nitelikli haline vücut verebileceği göz önüne alındığında, 1136 ve 5684 sayılı Kanun hükümlerine aykırı şekilde kişisel verilerin işlenmesinin söz konusu olduğu faaliyetler bakımından konunun suç teşkil edebileceği dikkate alınarak Cumhuriyet Savcılıklarına suç duyurusunda bulunulabileceği, idari yönden ise konunun ilgili Bakanlıklara ve baro başkanlıklarına intikal ettirilebileceği değerlendirilmektedir.
Ek olarak, sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatların/avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda, ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurul’a şikayette bulunulabilecektir.
Diğer taraftan, sigorta eksperlerinin kişisel veri işleme faaliyetleri; 5684 sayılı Sigortacılık Kanunu ve ikincil mevzuat çerçevesinde, hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi gibi yasal görevlerin ifasıyla sınırlı ve bu faaliyetlerle doğrudan bağlantılıdır. Sigorta eksperleri, görevlerini yerine getirirken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirtilen “kanunlarda açıkça öngörülme”; “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ”; ya da “bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması ” işleme şartlarına dayanarak kişisel veri işleyebilmektedir.
Bu kapsamda sigorta eksperlerinin, kendilerine tevdi edilen kişisel verileri yalnızca görevleri dahilinde kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliğine ilişkin yükümlülükleri almaları ve mesleki sır saklama yükümlülüğüne riayet etmeleri zorunludur.
Yasal çerçeve ve mevzuat sınırlarının dışına çıkılarak gerçekleştirilen; hukuka aykırı kişisel veri işleme faaliyetleri 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki idari sorumlulukların yanı sıra, 5237 sayılı Türk Ceza Kanunu’nun ilgili maddeleri uyarınca cezai sorumluluk doğurabilecektir.
İş kazaları, trafik kazaları veya benzeri olumsuz olaylar sonrasındaki süreçlerde Kanun’un 4’üncü, 5’inci ve 6’ncı maddeleri kapsamında kaza sonrası adli ve/veya idari soruşturmaların yapılması, mağdurların tedavi edilmesi ve kazaya konu araçların onarımı gibi süreçlerin yürütülebilmesi adına mağdurlara ilişkin kişisel veriler işlenebilecektir. Ancak görevleri ve faaliyet alanları gereği mağdurlara ilişkin kişisel verileri işleyen veri sorumlularının yukarıda belirtilen hukuki çerçeveye riayet etmesi gerekmekte olup bu kişisel veriler ancak kaza sonrası süreçlerin yönetimi amacıyla işlemeye konu edilebilecektir.
Bununla birlikte, Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasında;
“(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ”
düzenlemesine yer verilmiştir. Mezkûr hüküm uyarınca veri sorumluları, organizasyon yapılarını, faaliyet alanlarını, elde ettikleri kişisel verilerin niteliğini ve bu verilerin işlenmesi bağlamında temel hak ve özgürlüklere yönelik olarak ortaya çıkabilecek riskleri göz önünde bulundurarak kişisel verilerin güvenliğini sağlamak adına gerekli önlemleri almakla yükümlüdür. Ayrıca belirtmek gerekir ki Kanun’un 12’nci maddesinin dördüncü fıkrasında veri sorumlusu bünyesinde kişisel veri işleme faaliyetlerini yürüten kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hükme bağlanmıştır. Bununla birlikte, sağlık hizmetlerinin sunumu, sigortacılık ve avukatlık başta olmak üzere farklı iş alanlarında çalışan kişiler, mevzuatta ayrıca ve özel olarak düzenlenmiş mesleki sır saklama yükümlülüklerine de tabi tutulmuştur. Aynı doğrultuda veri sorumlularının, faaliyetleri kapsamında elde edilen kişisel verilerin kendi organizasyonları içerisinde yer alan kişiler tarafından amacı dışında kullanılmaması ve hukuka aykırı bir biçimde başka kişi, kurum ve kuruluşlara aktarılmaması için gerekli tedbirleri alması önem arz etmektedir.
Tüm bu değerlendirmeler ışığında;
– Sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kanun hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatların/avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurula şikayette bulunulabileceği,
– Sigorta eksperlerinin sigortacılık mevzuatının kendilerine yüklediği yasal görev doğrultusunda kişisel veri işleme faaliyetinde bulunabileceği, bununla birlikte görevleri gereği işledikleri kişisel verileri yetkisiz üçüncü kişilere aktarmaları hâlinde Kanun’a aykırılığın söz konusu olacağı, sigorta eksperlerinin Kanun’da öngörülen işleme şartlarına dayanmaksızın gerçekleştireceği kişisel veri işleme faaliyetlerinin 5237 sayılı Kanun’un 136’ncı maddesinde öngörülen kişisel verileri hukuka aykırı olarak verme suçuna vücut verebileceği,
– Faaliyetleri çerçevesinde kaza mağdurlarına ilişkin kişisel verileri uhdesinde bulunduran/işleyen veri sorumluları tarafından çalışanlarına yönelik kişisel verilerin korunması konusunda eğitim ve bilinçlendirme faaliyetlerinin gerçekleştirilmesi ile kişisel verilere erişime ilişkin asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve takip mekanizmalarının kurulması başta olmak üzere Kanun’un 12’nci maddesi uyarınca kişisel verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbirlerin alınması gerektiği,
– Bahse konu önlemleri almayarak, Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden ve bu İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği
hususunda kamuoyunun bilgilendirilmesine ve Kanun’un 15’inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oy birliği ile karar verilmiştir.




