Resmi Gazete'de yayımlanan karara göre, hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar veya kendilerini avukat olarak tanıtan ancak baro levhası sorgulaması yapıldığında avukat olmadığı tespit edilen kişiler tarafından iş ve trafik kazaları gibi olumsuz olayların mağdurlarıyla istekleri dışında iletişime geçildiği yönünde KVKK'ye çok sayıda şikayet ve ihbar ulaştı.
Söz konusu şikayetlerde, arayan kişilerin, vekalet verilmesi halinde tazminat alınacağını vaat ettiği, kendilerine ve kazaya ilişkin bilgilerin nasıl elde edildiğine yönelik sorulara tatmin edici cevap verilmediği ifade edildi.
Şikayetlerde, kimi durumlarda ısrarlı arama ve hak kaybı yaşanabileceğine ilişkin korkutmalar neticesinde vekaletname alındığı kimi durumlarda ise herhangi bir talimatın verilmemesine karşın mağdurlar adına iş ve işlemler gerçekleştirildiği belirtildi.
KVKK'nin yaptığı incelemelerde, mağdurlara ilişkin kimlik, iletişim bilgileri ve diğer kişisel verilerin yer aldığı kaza tutanakları gibi dokümanlara, kaza sonrasındaki süreçte farklı kanallar üzerinden erişilebildiği anlaşıldı.
Bunun üzerine KVKK, söz konusu hukuka aykırı kişisel veri erişimi ve işleme faaliyetlerinin yaygınlığı sebebiyle ilke kararı aldı.
İLKE KARARLARINA UYMAYANLARA CEZAİ İŞLEM UYGULANACAK
Buna göre, sigortacılık sektörü içerisinde farklı kanallarda işlenen kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin, ekspertiz şirketlerinin, avukatların ve avukatlık ortaklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda ilgi kişilerce KVKK'ye şikayette bulunulabilecek.
Sigorta eksperleri, yasal görevleri doğrultusunda kişisel veri işleme faaliyetinde bulunabilecek ancak kişisel verileri yetkisiz üçüncü kişilere aktarmaları durumunda 5237 sayılı Türk Ceza Kanunu'nun 136. maddesindeki "kişisel verileri hukuka aykırı olarak verme veya ele geçirme" suçuyla karşı karşıya kalacak.
Veri sorumluları, çalışanlarına yönelik kişisel verilerin korunması konusunda eğitim ve bilinçlendirme faaliyeti gerçekleştirecek. Ayrıca, kişisel verilere erişimde "asgari yetki prensibi" çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve log/takip mekanizmaları gibi veri güvenliğini sağlamaya yönelik teknik ve idari tedbir alınacak.
Bu önlemleri almayarak Kanun hükümlerine aykırı şekilde bu uygulamalara devam eden ve ilke kararında belirtilen konulara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun'un 18. maddesinde yer alan cezai işlemler uygulanacak.