Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi hakkında yeni yönetmelik 2017’nin başında devreye girecek. Sigorta şirketlerinin verilen süre içinde iş süreçlerini yeni yönetmelikle uygun olacak şekilde gözden geçirmesi gerekiyor.
Kişisel Verileri Koruma Kurumu tarafından hazırlanan, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesine İlişkin Usul ve Esaslara İlişkin Yönetmelik Taslağı, 29 Mayıs 2017 tarihinde kamuoyu görüşüne sunuldu. Taslak yönetmelik metnine ilişkin görüş ve öneriler, 12 Haziran 2017 tarihine kadar bildirildi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik 28 Ekim 2017 tarih ve 30224 sayılı Resmi Gazete’de yayımlandı.
2017’DE YÜRÜRLÜĞE GİRİYOR
Yeni yönetmeliğin sektöre etkisini değerlendiren EY Vergi Bölümü ve KS Avukatlık Ortaklığı Müdürü Ceylan Necipoğlu, şunları söyledi:
“Avrupa Birliği uygulamasına paralel olarak hazırlanan ve 7 Nisan 2016 tarihi itibarıyla yürürlüğe girmiş olan 6698 Sayılı Kişisel Verilerin Korunmasına İlişkin Kanun (KVKK) tahtında düzenlenmesi öngörülen yönetmeliklerden biri olan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik hükümleri 1 Ocak 2018 tarihinde yürürlüğe girecek olup; belirtilen tarihe kadar yönetmelikten kaynaklanan gereksinimlerin yerine getirilebilmesi için hazırlıklara başlanması gerekiyor.
“Yönetmelik’te, ‘silme’ kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi; ‘yok etme’ ise, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanıyor. Bunlardan farklı olarak, kişisel verilerin anonim hale getirilmesi ise, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi olarak ifade ediliyor.
KİŞİSEL VERİ POLİTİKASI
“Yönetmelik ile veri sorumlularına çeşitli yükümlülükler getiriliyor ve en önemlisi olarak şirkete dair kişisel veri süreçleri envanterine uygun olarak ‘kişisel veri saklama ve imha politikası hazırlama yükümlülüğü’ işaret ediliyor. Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini Yönetmelik ‘imha’ kavramı ile tasvir ediyor. Buradaki kritik nokta, sigorta şirketinin kişisel verileri saklama ve imha politikası hazırlanmış olmasının mevzuata uygun işlem yaptığı anlamına gelmediği; yükümlülüğünün devam ettiğinin fark edilmesi.
“Yönetmelik uyarınca veri sorumlusu sıfatındaki sigorta şirketlerinden, bahsi geçen politikada belirtilmiş olan süreleri takip ederek işlenmekte olan kişisel verileri periyodik olarak silmesi, yok etmesi ya da anonim hale getirmesi bekleniyor. Bunun yanı sıra ilgili Yönetmelik uyarınca, periyodik silme süresinin altı ayı geçmemesi ve silinen ya da yok edilen her türlü veriye dair kayıtların 3 yıl süreden az olmamak kaydı ile saklanması da gerekiyor.
“İlaveten, aynı Yönetmelik’te, veri sorumlularından kişisel verileri silme, yok etme veya anonim hale getirme yükümlülüğünün ortaya çıkmasını tarihi takip eden üç ay içinde ilgili işlemleri yerine getirmesi de bekleniyor.
ŞİRKETLERE BÜYÜK YÜKÜMLÜLÜK
“İlgili Yönetmelik sigorta sektörü özelinde ele alındığında; sigorta firmaları hem kişisel veri hem de özel nitelikli kişisel verileri yoğunluklu bir şekilde işleyen regüle bir sektöre mensup olmaları ve aynı anda bir kişiye farklı farklı hizmetler sağlayabileceği gerekçesi ile fazlası ile yükümlülük altındadır.
“Örneğin, ilgili kişinin hem hayat hem DASK hem de ferdi kaza sigortası bulunması halinde, bahsi geçen poliçeler konu hizmetlerin ilgili kişiye sağlanabilmesi adına ilk etapta ilgili kişiden birçok farklı veri seti talep ediliyor. Hizmetin ve ilgili saklama süresinin sona ermesini müteakiben amacı sona ermiş verinin silinmesi yok edilmesi ya da anonim hale getirilmesi gerekiyor, bu durum arka planda ve işleyişte sigorta firmalarına farklı bir iş yükü doğuruyor.
“Öte yandan, pazarlama faaliyetler alanında da sigorta firmalarını sekteye uğratabileceği düşünülmektedir.
“Tüm bunların yanı sıra, sektörün risk analizleri ve öngörülerle doğrudan ilişki içerisinde olması gerekçesi ile sigorta firmalarının bir kanuni dayanağı olmaksızın işleyiş için hazırlamış olduğu raporlara ve bunlara ilişkin sair dokümantasyona da bir saklama süresi belirlenmesi bekleniyor. Burada dikkat edilecek husus bu sürenin makul olarak belirleniyor olması.
SAĞLIK TARAFINDA BELİRSİZLİK
“Gerek mevzuata dayalı raporlamalar gerekse sigorta şirketlerinin faaliyetlerini sürdürmesi kapsamında yürüttükleri acente, reasürör veya brokerler ile gerçekleştirmekte olduğu iç raporlamalar sağlık verileri bakımından risk arz ediyor. Nitekim sağlık verilerini kapsayan Sağlık Bakanlığı tarafından yayımlanmış yönetmeliğin yürürlüğünün Danıştay tarafından durdurulmuş olması; sağlık verilerinin işlenmesinde sigorta firmalarına rahat bir nefes aldırırken bir yandan da farklı soru işaretlerine sebebiyet verdi.
“Sigorta firmalarının raporlama ve bunun gibi işleyiş için önemli olan ancak kişisel veriye dokunan faaliyetlerinin durdurulmasının beklenmesi iş hayatının ve olağan hayatın akışına ters düşeceğinden; veri minimizasyonu ve açık rızayı farklı kanallar vasıtası ile hızlıca topluyor olmak en risksiz alınabilecek önlemlerdendir.
“Şu aşamada, Yönetmelik yürülüğe girene kadar olan sürede hızlıca veri kategorilerinin belirlenmesi ve silinecek ya da anonim hale getirilecek veri kümelerine karar verilmesi isabetli olacaktır.”
