Kişisel verilerin yurtdışı ile paylaşılmak istenmesi halinde Kişisel Verilerin Korunması Kanunu veri paylaşımının yapıldığı ülkeye göre farklı düzenlemeler öngörüyor. Verilerin aktarılacağı ülkelerin “güvenli ülke” olarak tanımlanması gerekiyor.
İletişim teknolojilerinin gelişmesi ve sundukları olanaklardan yararlanan kişi sayısının artmasıyla beraber, kişisel veriler kolaylıkla dünya genelinde paylaşılabilir hale geldi. Sigorta şirketleri de dahil olmak üzere her şirket ticari faaliyetlerini yürütebilmek, rekabet edebilmek ve faaliyetleri alanında süreçlerini geliştirmek gibi amaçlarla kişisel verileri işleyebiliyor. Kişisel verilerin yurtdışına transfer edilmesi konusunda EY Vergi ve Hukuk bölümü müdürü Ceylan Necipoğlu, şu değerlendirmelerde bulundu: “Kişisel verilerin korunması konusunda Avrupa Birliği’nde 1995 yılında direktif yayınlandı. Türkiye’de ise söz konusu direktif esas alınarak düzenlenen 6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girdi. Sigortacılık faaliyetlerinin yürütülmesi, çoğu zaman kişisel verilerin üçüncü taraflarla paylaşılmasını gerektiriyor. Risklerin belirlenmesi, hasar tespiti gerçekleştirilmesi veya sigorta ettirenin tanınması amacıyla araştırmalar yapılması, beyan edilen bilgilerin doğruluğunun sağlanması vb. amaçlarla yurtiçinde veya yurtdışında üçüncü taraflarla veri paylaşımına sıklıkla rastlanıyor. Söz konusu veri paylaşımlarının Kanun nezdinde sınırlı ve ölçülü bir şekilde gerçekleşmesi beklentiler arasında. Örnek olarak, sigorta firmaları banka hesap dökümlerini Yönetim Kurulu üyesi olan yurtdışı ortak firma ile bilgi edinme hakkı kapsamında paylaşabiliyor. Bu durum hukuki yükümlülük ya da meşru menfaat kapsamında yorumlanabiliyor.
Kişisel verilerin yurtdışı ile paylaşılmak istenmesi halinde Kanun veri paylaşımının yapıldığı ülkeye göre farklı düzenlemeler öngörüyor. Bu noktada önemle belirtmek gerekir ki, kişisel verilerin yabancı ülkedeki kişinin erişimine açılması paylaşım ya da transfer olarak addedilmesi için yeterlidir. Bir başka deyişle, fiziksel veya dijital yollarla gönderilmese de, yabancı kişinin erişimine açılmışsa kişisel veri paylaşımı gerçekleştirilmiş sayılır. Bu bağlamda global bir sigorta şirketinin bünyesindeki ortak sistem veya yabancı ülkeden alınan bulut hizmeti bu soruna konu olabilir.
Kişisel verilerin yurtdışına aktarılması konusundaki rejime ilişkin ilk belirleyici husus veri sahibinin açık rızasının olmasıdır. Zira açık rızanın varlığı halinde kişisel verinin yurtdışına aktarılması mümkündür. İkinci belirleyici husus, aktarım yapılacak ülkenin Kanun’da tanımlandığı şekliyle ‘güvenli ülke’ olup olmadığı noktasıdır. Güvenli ülke ise, kişisel verilerin güvenliğinin sağlanması bakımından yeterli korumanın bulunduğu yabancı ülkeyi ifade eder. Güvenli ülkelerin hangileri olduğu Kurul tarafından belirlenecek olup, ilgili listenin yayınlanması beklenir. Kurul’un güvenli ülkeleri belirlerken, Avrupa Birliği örneğinden yola çıkarak; Türkiye’nin taraf olduğu uluslararası sözleşmeler, veri paylaşımı yapılacak ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumu, kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulaması gibi unsurları göz önünde bulundurması beklenir.
Veri paylaşımı yapılacak ülkenin güvenli ülke olarak kabul edilmemesi durumunda ise, veri transferi yapacak tarafların yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul’un aktarıma izin vermesi gerekir. Görüş alınması amacıyla konuya ilişkin bir taahhütname taslağı, Kurum tarafından Türkiye Sigorta Birliği (‘TSB’) ile Ocak 2018’de paylaşılmıştır.
Kurum’un TSB ile paylaştığı taahhütname taslağı değerlendirildiğinde, yurtdışında paylaşım yapılan kişinin veri sorumlusu veya veri işleyen olmasına yönelik ikili bir ayrıma gidildiği görülür. Bu nedenle sigorta hizmetinin aktörleri olan sigorta şirketlerinin, acentelerin, brokerlerin, eksperlerin ve diğer üçüncü kişi firmaların veri işleme süreçlerindeki rollerinin doğru belirlenmiş olması önem arz ediyor. Zira bu aktörlerin, ilgili veri işleme faaliyetine göre, veri sorumlusu ya da veri işleyen olarak rolleri ve yükümlülükleri değişebiliyor.
İngiltere Veri Koruma Otoritesi (‘ICO’) de benzer şekilde güvenli ülke prensibini uyguluyor. ICO konuya ilişkin para cezalarını belirlerken bireylerin haklarının ihlal edilip edilmediğini göz önünde bulunduruyor. Güvenli ülke prensibine uymama sonucunda veri güvenliğinin ihlal edilmesi yanında kişilerin özel hayatının korunması hakkı da ihlal edilmişse verilen para cezası aralığının yükseldiği birçok kararında görülüyor.
Bugün için güvenli ülke listesinin henüz yayınlanmamış olması nedeniyle yurtdışına veri paylaşımı yapılırken aktarım yapılan kişi ile taahhüt yapılarak ilerlenmesi gerekiyor. Zira veri güvenliğine ilişkin alınacak riskleri en aza indirerek, Kurul’un yayınlayacağı listede paylaşım yapılan ülkenin yer almaması ihtimali gözetilerek hareket edilmesi en doğru çözüm yöntemi olacaktır.”