Teknolojik gelişmeler, sigorta sektöründe risk değerlendirme ve prim belirleme süreçlerinde önemli değişikliklere yol açmıştır. Özellikle araç sigortalarında kullanılan telematik cihazlar aracılığıyla toplanan veriler, sürücü davranışlarını analiz ederek kişiselleştirilmiş prim teklifleri sunulmasına olanak sağlamaktadır. Ancak bu uygulama, kişisel verilerin korunması mevzuatı açısından çeşitli hukuki sorunları beraberinde getirmektedir.
Telematik veriler, araçlara yerleştirilen cihazlar veya mobil uygulamalar aracılığıyla toplanarak, sürücünün davranışları hakkında bilgi sağlayan verilerdir. Bu veriler:
- Hız
- Frenleme şekli
- Hızlanma paterni
- Manevra şekilleri
- Seyahat mesafeleri ve saatleri
- Konum bilgisi
gibi unsurları içerebilmektedir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Bir verinin kişisel veri olup olmadığı somut olay kapsamında değerlendirilmektedir. Bu kapsamda telematik veriler kişisel veri tanımına uymakta ve kişisel veri olarak kabul edilmektedir.
Konum bilgisi içeren telematik veriler ise KVKK’nın 6. Maddesi kapsamında özel nitelikli kişisel veri kategorisine girmese de yüksek hassasiyete sahip veriler olarak değerlendirilmesi mümkündür.
Telematik veriler; sigorta şirketlerinin bu verileri risk değerlendirmesi, fiyatlandırma, hasar yönetimi gibi spesifik amaçlarla kullanılmakta olup işbu verilerin işlenerek sigorta poliçelerine esas alındığı görülmektedir.
Sigorta şirketleri tarafından yapılan veri işleme faaliyetinin KVKK kapsamında aşağıdaki gibi değerlendirilmiştir:
KVKK’nın 5. Maddesi kapsamında telematik verilerin işlenebilmesi için:
- Açık Rıza: Sigorta şirketleri, telematik verilerin toplanması ve işlenmesi için sigortalıdan açık rıza almalıdır. Bu rıza, bilgilendirilmiş, belirli bir konuya ilişkin ve özgür iradeye dayalı olmalıdır.
- Sözleşmenin İfası: KVKK m.5/2(c) uyarınca, telematik verilerin sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması koşuluyla işlenmesi mümkündür. Ancak Kişisel Verileri Koruma Kurulu’nun emsal kararları incelendiğinde, veri işlemenin sözleşmenin esaslı unsuru olması gerektiği vurgulanmaktadır.
- Meşru Menfaat: KVKK m.5/2(f) kapsamında, veri sorumlusunun meşru menfaati için veri işlenmesi mümkündür. Sigorta şirketleri, risk değerlendirmesinin doğru yapılması ve primlerin adil belirlenmesi için meşru menfaat iddiasında bulunabilir. Ancak menfaat dengesi testinin yapılması gerekmektedir.
Sigorta şirketleri tarafından veri işleme faaliyetleri kapsamında, KVKK m.4/2(c) uyarınca veriler, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine uygun şekilde işlenmelidir. Sigorta şirketleri, risk değerlendirmesi için gerekli olmayan telematik verileri toplamamalıdır.
Yargıtay’ın emsal kararlarında ise, sigorta şirketlerinin risk değerlendirmesinde kullandığı verilerin amaca uygun ve sınırlı olması gerekliliği belirtilmiştir, Kişisel Verilerin Korunması Kurul’u tarafından verilen kararlarda veri minimizasyonu ilkesine atıf yapılmaktadır.
Yine Avrupa Veri Koruma Kurulu’nun 2020 tarihli rehberinde, telematik verilerin işlenmesinde şeffaflık ve hesap verilebilirlik ilkelerinin önemi vurgulanmıştır. Avrupa Birliği Adalet Divanı’nın içtihatlarında ise, konum verilerinin işlenmesinde özel hayatın gizliliğinin korunması gerekliliği öne çıkmaktadır.
Bu kapsamda sigorta şirketlerinin veri işleme faaliyetlerini KVKK’ya uygun olarak yürütebilmesi için, teknik bir konu olan telematik veri işleme faaliyetleri için anlaşılır ve katmanlı aydınlatma metinleri hazırlanmalı, telematik verilerin toplanması için zorunlu olmaması nedeniyle sigortalının tercihine bağlı bir sistem (opt-in) kurulmalı, verilerin saklama süreleri net olarak belirlenmeli ve bu süreler sonunda veriler silinmeli, istatistiksel analizler için kullanılacak telematik veriler anonimleştirilmelidir.
Telematik verilerin sigorta primi belirlemede kullanılması, sigorta sektöründe risk değerlendirmesinin daha adil ve kişiselleştirilmiş yapılmasına olanak sağlamaktadır. Ancak bu uygulamanın KVKK ve GDPR ile uyumlu olabilmesi için, veri minimizasyonu, şeffaflık, ilgili kişinin hakları ve veri güvenliği konularında titiz bir yaklaşım sergilenmesi gerekmektedir. Hukuka uygun bir telematik veri işleme sistemi için, teknik ve idari tedbirlerin alınması, veri koruma mevzuatının temel ilkelerine riayet edilmesi ve ilgili kişinin haklarının etkin bir şekilde kullanılabilmesinin sağlanması büyük önem taşımaktadır.
