Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 1 Ocak’ta yürürlüğe girdi. HDI Sigorta Genel Müdürü Ceyhan Hancıoğlu, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’teki düzenlemeler yeterli de olsa, doğru uygulama için düzenlemelerin yeni yılda yürürlüğe girmesi beklenen ikincil düzenlemelerle geliştirilmesi gerektiğini kaydetti.
HDI Sigorta Genel Müdürü Ceyhan Hancıoğlu, 1 Ocak itibarıyla yürürlüğe giren Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’i değerlendirdi. Sigorta sektörünün yönetmelikten en çok etkilenen kesimlerden biri olduğunu ifade eden Hancıoğlu, yönetmelikte yer alan yükümlülüklere uyum sağlamayan sigorta şirketlerini idari ve cezai yaptırımlar beklediğini hatırlattı. Hancıoğlu, bu nedenle sigorta şirketlerinin uyum yükümlülüklerini yerine getirmesi için öncelikle mevcut durumlarını analiz etmesi, işledikleri kişisel verileri bir envanter olarak ortaya koyması, kanuna uygun olacak şekilde kişisel veri işleme prosedürlerini oluşturması gerektiğini vurguladı.
“Günümüzde poliçelere konu olan hizmetlerin sağlanabilmesi için ilgili kişiden birçok farklı veri talep ediliyor. Ancak hizmetin ve hizmetle ilgili saklama süresinin sona ermesinden sonra verinin amacı da sona ermiş oluyor. Verinin amacı sona erdiği takdirde veri sahibinin talebi üzerine silinmesi, yok edilmesi veya resen silinmesi, yok edilmesi ya da anonim hale getirilmesi gerekiyor. Ayrıca periyodik silme süresinin altı ayı geçmemesi ve silinen ya da yok edilen her türlü veriye dair kayıtların 3 yıldan az olmama kaydı ile saklanması gerekiyor” diyen Hancıoğlu, bu durumun sigorta firmalarına farklı bir iş yükü, istihdam ve hukuki danışman ihtiyacı doğuracağını söyledi.
Yönetmelikle birlikte sigortalıların Kişisel Verilerin Korunması Kanunu’nun 13. maddesi kapsamında veri sorumlusundan işlenme amacı ortadan kalkan verilerinin silinmesini veya yok edilmesini talep edebileceğini aktaran Hancıoğlu, “Bu kapsamda sigortalıların veri güvenliği sağlanmış olacak” diye konuştu.
Yönetmelikle birlikte kişiye özel fiyatlama konusunda yaşanabilecek sorunlardan da bahseden Hancıoğlu şunları söyledi: “Yönetmelik ve kişiye özel fiyatlama arasındaki bağı sektörde uygulanan ‘Müşteri Sadakat Programları’ açısından değerlendirebiliriz. Şirketler bu program dahilinde uzun süre şirketlerinde poliçe satın almamış eski müşterilerine davet mesajı gönderebiliyorlar ve bu mesajlarda özel indirim imkanı sunarak eski müşterilerini geri kazanabiliyorlar. Ne var ki, Yönetmelik kapsamında verinin işlenme amacı sona erdiğinde silinmiş veya yok edilmiş olması, şirketlerin uzun vadede eski müşterileri ile iletişime geçmelerini engelleyebilir. Bu noktada şirketlerin Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve ilgili mevzuat kapsamında müşterilerinden elektronik ticari ileti izni almış olmaları sorunun bir nebze çözülmesini sağlayabilir.”
Yönetmeliğe uyum için sektörel açıdan temel hazırlıkların tamamlandığının söylenebileceğini dile getiren Hancıoğlu, “Buna rağmen, önümüzdeki yıllarda çok da kolay olacağını tahmin etmediğimiz değişikliklerle karşılaşacağımızı ve aslında kanuna uyum sürecinin sürekli yaşayan bir süreç olduğunu düşünüyoruz” dedi.
Yönetmeliğin teknik açıdan yeteri kadar aydınlatıcı olmadığını kaydeden Hancıoğlu konu hakkında şunları söyledi: “Yönetmelik içerisinde verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi ile ilgili teknik yöntemlere yer verilmediği için en başta teknolojik problemlerin çözülmesi gerektiğini düşünüyoruz. Zira bu durum 6698 sayılı Kanun ile öngörülen uyum sürecinin yavaşlamasına ve işbu Yönetmelik ile belirlenen kuralların standart olmaması nedeniyle doğru uygulanmamasına neden olabilecektir.
Kişisel Verileri Koruma Kurumu geçtiğimiz günlerde bu konuda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması bakımından Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Rehberi’ni yayımladı. Bu rehberin de bu aşamada sektöre ışık tutacağını düşünüyoruz. Ancak bu rehberde yer alan açıklamaların ilerleyen dönemlerde yürürlüğe konulacak yönetmeliklerle yasal hale getirilmesinde fayda görüyoruz.
Yönetmeliğin 12 (c) maddesine göre verinin işlenme amacı ortadan kalkmamış ise veri sorumlusuna veri sahibinin verinin silinmesi ya da yok edilmesine yönelik talebini reddetme hakkı tanınıyor. Yönetmelikte eksik kaldığını düşündüğümüz düzenlemelerin varlığına karşın bu maddenin veri sahiplerinin hukuka aykırı taleplerinin önüne geçilebilmesi açısından olumlu bir düzenleme olduğunu ek olarak söyleyebiliriz.”
Yönetmeliğe göre veri sorumlusu tarafından “Veri Saklama ve İmha Politikası” düzenlenmesinin zorunlu kılındığını ve bu politikanın yönetmelikte belirlenen asgari şartları taşıması gerektiğini aktaran Hancıoğlu, sözlerine şu şekilde devam etti: “Örneğin politikada kişisel verilerin güvenli bir şekilde saklanması ile hukuka aykırı olarak işlenmesi, verilere erişilmesinin önlenmesi için alınmış teknik ve idari tedbirlere, kişisel verilerin hukuka uygun olarak imha edilmesi için alınmış teknik ve idari tedbirlere, kişisel verileri saklama ve imha süreçlerinde yer alanların unvanlarına, birimlerine ve görev tanımlarına yer verilmesi şart. Bu noktada şirketlerin hukuki görüşe ihtiyaç duymaları muhtemel olduğundan uyum sürecinde danışman maliyetlerinin artması kaçınılmaz bir durum. Diğer yandan şirketlerin yönetmeliğe uygun hareket edebilmeleri için teknik yatırımlara, personel istihdamına yönelmeleri de gerçekleşmesi muhtemel diğer bir ihtimal. Tüm bunlar düşünüldüğünde operasyonel açıdan maliyetlerin artacağı söylenebilir.”
HDI Sigorta’nın Yönetmelik’e uyum sürecinden de bahseden Hancıoğlu şunları söyledi: “Kişisel Verilerin Korunması Kanunu kapsamındaki faaliyetlerimiz HDI Sigorta bünyesinde kurulan Veri Koruma Kurulu ve bu komiteye bağlı alt kurullar öncülüğünde yürütülmektedir. Kanun kapsamında farkındalığa önem verdiğimiz için veriye temas eden tüm çalışanlarımıza kişisel verilerin hukuka uygun olarak işlenmesi konusunda gerekli eğitimleri verdik. Yürütmekte olduğumuz tüm faaliyetlerimiz detaylı olarak tüm iş birimleri özelinde analiz edilerek, bu analiz neticesinde ilgili iş birimlerinin gerçekleştirmiş olduğu kişisel veri işleme faaliyetleri ortaya konuldu ve kişisel veri envanterimiz oluşturuldu. Bu hususların denetimini ve uygulamanın sürekliliğini şirket içi politikalar ve eğitimler yoluyla hayata geçirmeyi hedefliyoruz. Mevcut düzenlemeler teorik açıdan yeterli sayılabilirse de, bu düzenlemelerin doğru uygulanabilmesi için yeni yılda yürürlüğe girmesini beklediğimiz ikincil düzenlemelerle geliştirilmesi gerektiğini düşünüyoruz.”