1. Giriş: Age Sigorta’nın Kişisel Veri Korumasına Bağlılığı

Age Sigorta, kişisel bilgilerin korunmasını sağlama taahhüdünü açıkça belirtmektedir. Bu bilgilendirme, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamındaki yükümlülükler ile şeffaflık ve hesap verebilirlik ilkelerinin bir gereği olarak sunulmaktadır. Şirket, kişisel verilerin korunmasını temel bir kurumsal anlayış olarak benimsemiş ve bu alandaki sorumluluklarını ciddiyetle ele almaktadır.
Bu bilgilendirme metninin temel amacı, kişisel bilgilerin nasıl kullanıldığına ve bu konudaki haklara ilişkin detaylı bilgi sağlamaktır. Ayrıca, kişisel verilerin korunmasına ilişkin farkındalığın ve şeffaflığın artırılması amacıyla “Age Sigorta Kişisel Verilerin Korunması ve İşlenmesi Politikası” da kamuoyu ile paylaşılmaktadır. Şirket, kurumsal anlayışının ve taahhütlerinin bir gereği olarak, kişisel bilgilerin aşağıda detaylı olarak açıklanan çerçevede kullanılması için gerekli özeni göstereceğini ifade etmektedir. Bu metnin, yasal düzenlemeler veya şirket politikalarındaki değişiklikler doğrultusunda periyodik olarak güncellenebileceği ve en güncel versiyon için sayfanın düzenli olarak ziyaret edilmesi gerektiği de belirtilmiştir.
Age Sigorta’nın bu yaklaşımında, “şeffaflık ve hesap verebilirlik” ilkelerine yapılan açık ve tekrarlanan vurgu, sadece yasal bir uyum beyanı olmanın ötesinde, temel bir kurumsal bağlılığı işaret etmektedir. Bu durum, şirketin bu ilkeleri operasyonel felsefesinin ayrılmaz bir parçası olarak gördüğünü göstermektedir. Bu yaklaşım, KVKK’nın katı gerekliliklerinin yanı sıra, sigorta sektöründe tüketici güveninin kritik bir varlık olduğunun stratejik bir kabulünden kaynaklanmaktadır. Hassas kişisel ve finansal verilerin rutin olarak işlendiği bir sektörde, kamu güveni hayati önem taşır. Şeffaflık ve hesap verebilirliği vurgulayarak, Age Sigorta bu güveni inşa etmeyi ve sürdürmeyi hedeflemekte, bu da potansiyel olarak yasal riskleri azaltmakta (örneğin, daha az veri sahibi şikayeti, potansiyel anlaşmazlıklarda daha güçlü savunma) ve marka itibarını artırarak rekabetçi pazarda farklılaşmayı sağlamaktadır. Bu, yasal ilkelerin şirketin kurumsal kültürü ve stratejisine daha derinlemesine entegre edildiğini düşündürmektedir.
Bilgilendirme metninin yasal düzenlemeler veya şirket politikalarındaki değişiklikler nedeniyle periyodik olarak güncellenebileceğinin açıkça belirtilmesi, KVKK uyumunun statik bir başarıdan ziyade devam eden, uyarlanabilir bir süreç olduğunu ortaya koymaktadır. Bu, Age Sigorta’nın dinamik bir düzenleyici ortamda faaliyet gösterdiği ve sürekli yasal gelişmeleri ve iç politika ayarlamalarını izlemek için sağlam iç mekanizmaların gerekli olduğu anlamına gelmektedir. Büyük bir sigorta şirketi için bu, yasal değişiklikleri, düzenleyici rehberlikleri ve sektördeki en iyi uygulamaları sürekli takip eden özel bir hukuk ve uyum departmanı veya işlevi gerektirmektedir. Bu dinamik yaklaşım, politikaların ve açıklamaların en güncel yasal çerçeveyi ve iç operasyonel gerçekleri yansıtacak şekilde düzenli olarak gözden geçirildiği ve revize edildiği, böylece güncel olmayan uygulamalardan kaynaklanan uyumsuzluk riskinin azaltıldığı sürekli bir uyum taahhüdünü ifade etmektedir.

2. KVKK Kapsamında Temel Tanımlar ve Kavramlar

KVKK, kişisel verilerin korunmasına ilişkin temel kavramları tanımlamaktadır. Age Sigorta, bu kavramları kendi faaliyet alanı özelinde açıklayarak, veri sahiplerine daha net bir anlayış sunmaktadır.

Kişisel Veri Nedir?

Kişisel veri, “kimliği belirli veya belirlenebilir gerçek sitesi ve işlem kayıtları, motorlu taşıt plakası, sağlık bilgileri; iletişim ve izinli pazarlama faaliyetleri için kaydedilen iletişim bilgileri; çağrı merkezi süreçlerinde alınan ses kaydı, pazarlama faaliyetleri kapsamında işlenen segmentasyon ve profilleme gibi bilgiler kişisel veri olarak nitelendirilmektedir. İşlenen kişisel verilerin, yararlanılan poliçeye konu ürün ve hizmetler özelinde değişiklik gösterebildiği ve şirketin ayrıntılı bir kişisel veri işleme envanterine sahip olduğu belirtilmektedir.
“Kişisel Veri Nedir?” tanımı için sağlanan detaylı örnekler, sigorta sektörüne özgü olup, poliçe numaraları, hasar dosya numaraları ve motorlu taşıt plakaları gibi belirli tanımlayıcıları içermektedir. Bu durum, KVKK’daki genel bir yasal tanımın belirli bir sektörün operasyonel bağlamında nasıl pratik olarak yorumlandığını ve uygulandığını göstermektedir. Bu, başlangıçta açıkça anlaşılandan çok daha geniş bir veri kapsamının “kişisel” olarak kabul edilmesine yol açmaktadır. Şirketlerin, işlenen tüm kişisel verileri kapsamlı bir şekilde tanımlamak için ayrıntılı bir veri haritalama çalışması yapmaları bu nedenle zorunlu hale gelmektedir. Genel yasal tanımı anlamak yeterli olmamakta; pratik uygulaması derin operasyonel bilgi gerektirmektedir.

Özel Nitelikli Kişisel Veri Nedir?

Kişisel verilerin bir kısmı için farklı ve daha sıkı bir düzenleme mevcuttur. Öğrenilmesi halinde kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olabilecek nitelikteki veriler özel nitelikli veri kabul edilmektedir. Kanun’da bu veriler sınırlı sayıda sayılmıştır: sağlık verileri, cinsel hayata ilişkin veriler, biyometrik ve genetik veriler, dernek, vakıf veya sendika üyeliği bilgileri, ırk, etnik köken, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar ile kılık ve kıyafet bilgileri. Metin, özel nitelikli kişisel verilerin diğer kişisel verilere göre çok daha sıkı şekilde korunmaları gerektiğini vurgulamakta ve bu doğrultuda Şirket bünyesinde özel nitelikli kişisel verilerin işlendiği süreçlerde, bu verilere özgü ek tedbirler alındığını belirtmektedir.
Özel nitelikli kişisel verilerin diğer kişisel verilere göre çok daha sıkı korunması gerektiği ve bu verilere özgü ek tedbirler alındığına dair açık ifade, şirketin veri korumasına yönelik katmanlı bir yaklaşımını vurgulamaktadır. Bu, düzenleyici yükün ve potansiyel yükümlülüklerin bu hassas veri türleri için önemli ölçüde daha yüksek olduğu anlamına gelmekte, dolayısıyla genel güvenlik önlemlerinin yanı sıra uzmanlaşmış protokoller, erişim kontrolleri ve işleme için yasal gerekçeler gerektirmektedir. Bu durum, veri risk profilinin yükseldiğini göstermektedir.

Kişisel Sağlık Verisi Nedir?

Kişisel sağlık verisi, kimliği belirli veya belirlenebilir gerçek kişinin fiziksel ve ruhsal sağlığına ilişkin her türlü bilgi ile kişiye sunulan sağlık hizmeti ile ilgili bilgiler olarak tanımlanmaktadır. Kişilerin geçirdiği hastalıklar, kullandığı ilaçlar, tıbbi raporlar, tahlil sonuçları gibi bilgiler kişisel sağlık verisi kabul edilmektedir.

Veri Sorumlusu Kimdir?

Veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade eder. Anadolu Anonim Türk Sigorta Şirketi, gerçekleştirdiği sigortacılık faaliyetleri kapsamında kişisel verilerin işlenmesi konusunda “veri sorumlusu” sıfatına sahiptir. Bu doğrultuda, kişisel bilgilerin yasal yükümlülüklere uygun olarak kullanılması ve korunması konusunda sorumluluğu bulunmaktadır. Ancak, yararlanılan ürüne bağlı olarak, örneğin sağlık sigortalısı olarak bir sağlık kuruluşuna tedavi olmaya gidildiğinde, işlenen kişisel verilere ilişkin olarak Age Sigorta’nın yanında söz konusu sağlık kuruluşunun da veri sorumlusu sıfatıyla hareket edebileceği belirtilmiştir.
Sağlık sigortalısı olarak bir sağlık kuruluşuna tedavi olmaya gidildiğinde, ilgili sağlık kuruluşunun da Age Sigorta’nın yanı sıra veri sorumlusu olarak hareket edebileceği örneği, çok taraflı ekosistemlerde veri işlemenin doğasında var olan karmaşıklığı ortaya koymaktadır. Bu durum, özellikle veri akışının çeşitli bağımsız hizmet sağlayıcılar arasında gerçekleştiği hizmet zincirlerinde, rollerin, sorumlulukların ve yükümlülüklerin kesin olarak tanımlanması için kuruluşlar arasında açık, yasal olarak bağlayıcı sözleşmelerin (örneğin, veri işleme sözleşmeleri, ortak kontrolör sözleşmeleri) kritik bir ihtiyacını düşündürmektedir.

3. Kişisel Veri İşleme Prensipleri

Age Sigorta, kişisel verileri Kanun’da belirtilen ilkelere uygun olarak işlemektedir. Bu ilkeler, veri işleme süreçlerinin temelini oluşturmaktadır:
Hukuka ve dürüstlük kurallarına uygun işleme.
Doğru ve güncel olmasını sağlama.
Şeffaflık ilkesi doğrultusunda belirli, açık ve meşru amaçlar için işleme.
Veri minimizasyonu ilkesi doğrultusunda işleme amacıyla bağlantılı, sınırlı ve ölçülü işleme.
İşleme amacı için gerekli olan süre kadar, ilgili yasal yükümlülükler de dikkate alınarak saklama ve ardından imha etme.
Kişisel verilerin Kanun’a uygun olarak sadece yetkili kişilerce işlenmesini sağlamak için gerekli idari ve teknik tedbirleri alma.
Gerekli hukuki ve teknik gereklilikleri sağlayarak aktarma.
Listelenen bu ilkeler, Age Sigorta’nın KVKK uyumuna yönelik yaklaşımının tüm veri yaşam döngüsünü kapsadığını göstermektedir. Bu, ilk toplama aşamasından (“hukuka ve dürüstlük kurallarına uygun,” “belirli, açık ve meşru amaçlar”) aktif işleme süreçlerine (“doğru ve güncel,” “işleme amacıyla bağlantılı, sınırlı ve ölçülü”) ve nihai imha aşamasına (“gerekli olan süre kadar saklama ve ardından imha etme”) kadar veri yönetimini kapsamaktadır. Bu kapsamlı yaklaşım, şirketin sadece veri depolamanın ötesine geçerek uçtan uca yönetimi kapsayan bütünsel bir veri yönetimi stratejisine sahip olduğunu göstermektedir.

4. Kişisel Veri Toplama Yöntemleri

Age Sigorta, kişisel verileri iki ana yöntemle toplamaktadır:

Doğrudan Veri Sahibinden Toplama

Teklif, poliçe ve hasar süreçlerinde yazılı/sözlü olarak verilen bilgiler.
Başvuru formları.
Çağrı merkezi aracılığıyla yapılan telefon görüşmeleri.
Kayıt, şikayet, öneri ve talep formları.
İnternet sitesi ve mobil uygulamalar.
Şirket içindeki kamera kayıtları.
Çevrimiçi veya çevrimdışı sağlanan bilgiler.

Diğer Kanallar Aracılığıyla Toplama (Belirli Amaçlar İçin)

Yasal temsilciler, işverenler veya adınıza poliçe düzenlemeye yetkili kişiler.
Fiyat karşılaştırma platformları ve üçüncü taraf hizmet sağlayıcıları.
Sigorta şirketleri, yetkili acenteler ve brokerler.
Sağlık kuruluşları.
Yetkili kamu kurum ve kuruluşları.
Kişisel veriler, işlemin niteliğine bağlı olarak belirtilen kanallar aracılığıyla elektronik ortamda otomatik olarak veya otomatik olmayan yollarla (sözlü/yazılı) toplanmaktadır.
Veri toplama yöntemlerinin bu kadar çeşitli ve kapsamlı olması, doğrudan etkileşimlerden, üçüncü taraf platformlara ve hatta fiziksel gözetimlere (kamera kayıtları) kadar uzanması, bir sigorta şirketinin karmaşık ve geçirgen veri ekosistemini ortaya koymaktadır. Bu çok kanallı veri alımı, veri toplama riskleri için saldırı yüzeyini önemli ölçüde artırmaktadır. Bu durum, uygun rıza alımı, harici kaynaklardan veri doğruluğu ve tüm giriş noktalarında güvenli iletim sağlamak için çeşitli ve sağlam kontrollere duyulan ihtiyacı ortaya koymaktadır. Örneğin, bir çağrı merkezinden doğrudan toplanan veriler açık sözlü rıza protokolleri gerektirirken, bir fiyat karşılaştırma platformundan alınan veriler, platform tarafından elde edilen orijinal rızanın doğrulanmasını gerektirmektedir. Kamera kayıtları ise fiziksel güvenlik ve gizlilik konularını gündeme getirmektedir. Bu karmaşıklık, Age Sigorta’nın veri kökenlerini izlemek için sofistike bir veri envanterine sahip olması gerektiğini ve uçtan uca KVKK uyumunu sağlamak için rıza mekanizmalarını, veri kalitesi kontrollerini ve güvenlik önlemlerini (örneğin, üçüncü taraflardan gelen veriler için şifreleme) her bir toplama yöntemine göre uyarlaması gerektiğini göstermektedir.

5. Kişisel Veri İşleme Amaçları

Kişisel veriler, ihtiyaçlara ve yasal gerekliliklere uygun ürün ve hizmet sunmak amacıyla aşağıdaki amaçlarla işlenmektedir:

Genel İşleme Amaçları

a) Poliçe teklifi oluşturma, poliçeden doğan hak ve yükümlülükleri kullanma ve yerine getirme, devir işlemlerini yürütme, risk değerlendirmesi yapma, poliçe iptal ve yenileme işlemlerini gerçekleştirme, hasar ve rücu süreçlerini işletme, poliçeye ilişkin hizmet ve ürünleri sağlama, prim tahsilat hizmetlerini yerine getirme, reasürans ve koasürans işlemlerini yürütme, müşteri talep ve şikayetlerini değerlendirme.
b) Yetkili kurum ve kuruluşlara gerekli bilgileri sağlama, risk değerlendirmeleri yapma, tazminat süreçlerini yönetme, hasar ve rücu süreçlerini işletme, çeşitli yasal düzenlemelerden doğan hak ve yükümlülükleri yerine getirme, hukuki iş ve işlemlerin yürütülmesi ve takibi, ilgili kişilerin taleplerini karşılama.
c) Ürün ve hizmetlerin geliştirilmesi ve müşterilere en uygun şekilde sunulması için araştırma ve analizler yapma, segmentasyon faaliyetlerini gerçekleştirme, yapay zeka sistemlerini eğitme ve geliştirme, faaliyetlerin şirket prosedürlerine ve ilgili mevzuata uygun olarak yürütülmesini sağlamak için gerekli denetim faaliyetlerini planlama ve yürütme, dolandırıcılık uygulamalarına ilişkin kayıt tutma, hizmet binalarına giriş kayıtları oluşturma ve güvenliklerini sağlama.
d) Pazarlama, tanıtım, kampanya ve müşteri bağlılığı faaliyetleri kapsamındaki süreçleri yürütme.

Özel Nitelikli Kişisel Veri İşleme Amaçları

e) Teklif, poliçe ve reasürans süreçleri dahil olmak üzere risk değerlendirmeleri yapma, tazminat başvurularını sonuçlandırma, hasar ve rücu süreçlerini işletme, devir işlemlerini yürütme, destek hizmetleri alma, sigortalı beyanlarını doğrulama, mevzuattan doğan hak ve yükümlülükleri kullanma ve yerine getirme, yetkili kurum ve kuruluşlarla mevzuatla belirlenen yetkileri çerçevesinde bilgi paylaşma, hukuki iş ve işlemlerin yürütülmesi ve takibi.
f) Risk değerlendirmesi amacıyla geçmiş sağlık bilgilerini talep etme.
İşleme amaçlarının bu şekilde açıkça kategorize edilmesi, özellikle temel sigorta operasyonları (a, b, c, e) ile pazarlama faaliyetlerinin (d, f) ayrılması, yasal dayanaklar ve rıza gerekliliklerinde kasıtlı bir farklılaşmayı düşündürmektedir. Bu durum, pazarlamayla ilgili veri işlemenin daha sıkı açık rıza kurallarına tabi olduğunu ima etmektedir. Bu, veri sahiplerine, sözleşme ifası için gerekli olan verilerden farklı olarak, promosyonel iletişimler üzerindeki kontrollerini artırma konusunda düzenleyici odaklanmayı yansıtmaktadır.

6. Kişisel Veri İşlerken Esas Alınan Hukuki Sebepler

Kişisel veriler, işlemin niteliğine bağlı olarak Kanun’da belirtilen çeşitli hukuki sebeplere dayanarak işlenmektedir:
İşleme Amacı
Hukuki Dayanak(lar)
a) Poliçe teklifi oluşturma, poliçeden doğan hak ve yükümlülükleri kullanma ve yerine getirme, devir işlemleri, risk değerlendirmesi, poliçe iptal ve yenileme, hasar ve rücu süreçleri, hizmet ve ürün sağlama, prim tahsilatı, reasürans ve koasürans, müşteri talep ve şikayetleri
Sigorta sözleşmesinin kurulması ve ifası için gerekli olması
b) Yetkili kurum ve kuruluşlara bilgi sağlama, risk değerlendirmeleri, tazminat süreçleri, hasar ve rücu süreçleri, yasal hak ve yükümlülükleri yerine getirme, hukuki iş ve işlemlerin takibi, ilgili kişilerin taleplerini karşılama
Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması; kanunlarda açıkça öngörülmesi
c) Ürün ve hizmet geliştirme için araştırma ve analizler, segmentasyon, yapay zeka sistemleri eğitimi, denetim faaliyetleri, dolandırıcılık kayıtları, hizmet binalarına giriş kayıtları ve güvenlik
Veri sorumlusunun meşru menfaatleri için zorunlu olması, veri sahibinin temel hak ve özgürlüklerine zarar vermemek kaydıyla
d) Pazarlama, tanıtım, kampanya ve müşteri bağlılığı faaliyetleri
Veri sahibinin açık rızasının bulunması
e) Özel nitelikli verilerin risk değerlendirmesi (teklif, poliçe, reasürans dahil), tazminat başvurularının sonuçlandırılması, hasar ve rücu süreçleri, devir işlemleri, destek hizmetleri, sigortalı beyanlarının doğrulanması, mevzuattan doğan hak ve yükümlülükler, yetkili kurum ve kuruluşlarla bilgi paylaşımı, hukuki iş ve işlemlerin takibi
Kanunlarda açıkça öngörülmesi; bir hakkın tesisi, kullanılması veya korunması için zorunlu olması
f) Risk değerlendirmesi amacıyla geçmiş sağlık bilgilerini talep etme
Veri sahibinin açık rızasının bulunması

Her bir işleme amacının belirli yasal dayanaklarla eşleştirilmesi, KVKK uyumuna yönelik sofistike ve ayrıntılı bir yaklaşımı ortaya koymaktadır. Yasal dayanakların bu katmanlı uygulaması, her veri işleme faaliyetinin geçerli ve savunulabilir bir gerekçeye sahip olmasını sağlamakta, uyumsuzluk ve potansiyel düzenleyici cezalar riskini önemli ölçüde en aza indirmektedir. Ayrıca, her bir veri operasyonu için uygun yasal dayanakların titizlikle değerlendirilmesi ve atanmasında hukuki uzmanlığın kritik rolünü de vurgulamaktadır. Örneğin, pazarlama (d) ve belirli sağlık verileri (f) için “açık rıza” kullanılırken, temel poliçe operasyonları (a) için “sözleşmenin ifası” ve düzenleyici raporlama (b) için “yasal yükümlülük” esas alınması, nüanslı bir hukuki stratejiyi yansıtmaktadır. Yasal dayanağın yanlış uygulanması (örneğin, hassas verilerin açık rıza olmaksızın işlenmesi) ciddi para cezalarına yol açabilir. Bu ayrıntılı yaklaşım, Age Sigorta’nın tüm veri işleme faaliyetlerini sağlam ve uyumlu bir yasal temele sahip olduğundan emin olmak için kapsamlı bir hukuki inceleme yaptığını göstermektedir.

7. Kişisel Veri Aktarım Amaçları ve Aktarılan Kişiler

Kişisel veriler, ticari hayatın gereklilikleri dahilinde en uygun hizmeti sunmak amacıyla, gerektiğinde sınırlı amaçlarla paylaşılabilmektedir.

Kişisel Veri Aktarım Amaçları

Sigortacılıkta risk değerlendirmesi yapma.
Sigorta sözleşmesinden doğan hak ve yükümlülükleri kullanma ve yerine getirme.
Hasar ve rücu süreçlerini işletme.
Destek hizmetleri alma.
Reasürans ve koasürans işlemlerini gerçekleştirme.
Ticari iletişim ve müşteri memnuniyeti anketleri için destek hizmetleri alma.
Pazarlama ve kampanya faaliyetleri kapsamındaki süreçleri yürütme.
Satış sonrası hizmetleri gerçekleştirme.
Hukuki iş ve işlemlerin yürütülmesi ve takibi.
Mevzuattan doğan yükümlülüklerin yerine getirilmesi için gerekli doğrulama ve/veya denetim faaliyetlerini gerçekleştirme.

Kişisel Verilerin Aktarıldığı Kişiler

Aktarım Amacı
Aktarılan Kişi Kategorileri
Sigortacılıkta risk değerlendirmesi, sigorta sözleşmesinden doğan hak ve yükümlülüklerin ifası, hasar ve rücu süreçleri, destek hizmetleri, reasürans ve koasürans işlemleri, satış sonrası hizmetler
Yetkili acenteler/brokerler, reasürörler, eksperler, asistans şirketleri, provizyon hizmeti veren kuruluşlar, aktüerler, destek hizmeti sağlayıcıları, diğer sigorta şirketleri, sağlık kuruluşları, Sigorta Bilgi ve Gözetim Merkezi
Sigorta Kanunu ve diğer mevzuat hükümleri çerçevesinde yasal temsilciler
Yasal temsilciler
Hukuki iş ve işlemlerin yürütülmesi ve takibi, mevzuattan doğan yükümlülüklerin yerine getirilmesi için gerekli doğrulama ve/veya denetim faaliyetleri
Bankalar/finansman şirketleri, servis ve anlaşmalı kuruluşlar, yol yardım hizmeti verenler, tahsilat şirketleri, vekalet ilişkisi bulunan gerçek ve tüzel kişiler, hukuki, mali, vergisel ve operasyonel konularda danışmanlık veren kişi ve kuruluşlar, denetim kuruluşları, rehberlik hizmeti verenler, hizmet sağlayıcılar, güvence hesabı, uyuşmazlık çözüm mercileri ve yetkili kamu kurum ve kuruluşları
Ticari iletişim ve müşteri memnuniyeti anketleri için destek hizmetleri, pazarlama ve kampanya faaliyetleri
Destek hizmeti sağlayıcıları

Kişisel verilerin aktarılabileceği alıcıların kapsamlı listesi, sigorta sektöründe kişisel veri işlemenin çok sayıda üçüncü tarafı içeren, doğası gereği birbirine bağlı bir ekosistem olduğunu açıkça göstermektedir. Bu durum, Age Sigorta için önemli bir üçüncü taraf risk yönetimi zorluğu yaratmakta, bu da sağlam bir durum tespiti, kapsamlı sözleşme anlaşmaları (örneğin, veri işleme sözleşmeleri) ve şirketin doğrudan kontrolü dışına aktarılan verilerin KVKK’ya uygun olarak yeterince korunmasını sağlamak için sürekli izleme gerektirmektedir. Acenteler ve reasürörler gibi doğrudan ortaklardan yol yardımı ve hukuk danışmanları gibi destek hizmetlerine kadar uzanan “Kimlere Aktarıyoruz?” listesinin hacmi ve çeşitliliği, veri paylaşımının bir istisna değil, temel bir operasyonel gereklilik olduğunu vurgulamaktadır. Bu durum, Age Sigorta’nın KVKK uyum çabalarının kendi iç operasyonlarının ötesine geçerek tüm harici ortaklar ağını kapsamasını gerektirmektedir. Bu da, (1) üçüncü taraf veri güvenliği uygulamalarını değerlendirmek için sözleşme öncesi durum tespiti, (2) KVKK uyumunu ve sorumluluğunu zorunlu kılan yasal olarak bağlayıcı veri işleme sözleşmeleri ve (3) sürekli izleme ve denetim haklarını içeren güçlü bir tedarikçi yönetim çerçevesini gerektirmektedir. KVKK kapsamındaki şirketin sorumluluğu, birçok durumda, aktardığı verilerin ortakları tarafından yanlış işlenmesine kadar uzanabilir.

8. Kişisel Verilerin Amacı Dışında Kullanılmaması Taahhüdü

Age Sigorta, kişisel verilerin yalnızca sunulan hizmetin gerektirdiği çok sınırlı amaçlar dahilinde işlenmesi gerektiğinin bilincindedir. Bu nedenle, şirket kişisel bilgileri yasal yükümlülükleri ihlal edecek şekilde kar elde etmek amacıyla asla kullanmadığını açıkça beyan etmektedir. Şirket, şirket içinde verilere yetkisiz erişimi önlemek için gerekli teknik ve idari tedbirleri aldığını belirtmektedir.
Age Sigorta’nın kişisel bilgileri “yasal yükümlülükleri ihlal edecek şekilde kar elde etmek amacıyla asla kullanmadığı” yönündeki açık beyanı, sadece yasal uyumun ötesine geçmektedir. Bu ifade, sömürücü veri ticarileştirme uygulamalarına karşı daha derin bir etik taahhüdü işaret etmekte, veri sahiplerine bilgilerinin yasa dışı kazanç için veya kurulan ilişkiyi ihlal edecek şekilde kullanılmayacağına dair güvence vererek güven inşa etmeyi ve sürdürmeyi amaçlamaktadır. Verinin değerli bir meta olarak görüldüğü bir çağda, bu tür bir açıklama, hassas bir sektörde müşterilere, verilerinin açık rızaları veya temel hizmet kapsamının ötesinde satılmayacağı veya kötüye kullanılmayacağı konusunda güvence veren güçlü bir etik duruş sergilemektedir. Bu, güveni pekiştirmekte ve şirketi, kişisel veriler konusunda daha az titiz olduğu düşünülen kuruluşlardan ayırmaktadır.

9. Kişisel Verileri Korumak İçin Alınan Tedbirler

Age Sigorta, kişisel verilerin yasal gerekliliklere uygun olarak korunmasının ve gizliliğinin sağlanmasının önemini vurgulamaktadır. Bu doğrultuda, aşağıdakiler dahil ancak bunlarla sınırlı olmamak üzere gerekli idari ve teknik tedbirleri almaktadır:
Kişisel veri koruması, kurumsal bir şirket politikası haline getirilmiş, veri işleme süreçlerinin farklı aşamaları için prosedürler hazırlanmıştır.
Çalışanlar için kişisel veri korumasına ilişkin eğitim ve farkındalık faaliyetleri yürütülmektedir.
Kişisel verilerin paylaşıldığı kişi ve kuruluşlarla veri güvenliğini sağlamak amacıyla özel protokoller imzalanmaktadır.
Ticari gereklilikler ile kişisel veri koruması arasındaki denge sürekli olarak izlenmekte ve süreç bazlı risk değerlendirmeleri yapılmaktadır.
Şirket içinde kişisel verilere erişim, yetkili birimler ve çalışanlarla sınırlıdır.
Ağ güvenliği ve uygulama güvenliği sağlanmakta, sızma testleri, saldırı tespit ve önleme sistemleri (IDS/IPS), güvenlik duvarları ve güncel anti-virüs sistemleri kullanılmaktadır.
Şirket içinde veri kaybı/veri sızıntısı önleme (DLP) yazılımları kullanılmaktadır.
Saklama süresi dolan kişisel veriler silinmekte, yok edilmekte veya anonim hale getirilmektedir.
Teknik ve idari tedbirlerin bu kadar detaylı bir şekilde sıralanması, veri güvenliğine yönelik sofistike, çok katmanlı ve proaktif bir yaklaşımı ortaya koymaktadır. Bu kapsamlı strateji, politika, personel, süreç ve teknolojiyi kapsamakta, veri korumasının izole güvenlik araçlarından ziyade bütünsel bir çerçeve gerektirdiğini göstermektedir. Sürekli izleme, risk değerlendirmesi ve sızma testlerinin dahil edilmesi, güvenlik açıklarının sömürülmeden önce belirlenmesi ve hafifletilmesi amacıyla uyarlanabilir bir güvenlik duruşunu vurgulamaktadır. Listelenen önlemler, sağlam bir güvenlik programının tüm yönlerini kapsamaktadır: kurumsal politika (yönetişim), prosedürler (süreç), eğitim ve farkındalık (insan), özel protokoller (üçüncü taraf yönetimi), sürekli risk değerlendirmesi (sürekli iyileştirme), sınırlı erişim (erişim kontrolü), ağ güvenliği, uygulama güvenliği, sızma testleri, veri kaybı/veri sızıntısı önleme yazılımları (teknoloji) ve imha veya anonimleştirme (veri yaşam döngüsü yönetimi). Özellikle “sızma testleri” ve “saldırı tespit ve önleme sistemleri”nin belirtilmesi, saldırılara sadece tepki vermek yerine zayıf noktaları bulmayı ve saldırıları önlemeyi amaçlayan proaktif ve savunmacı bir güvenlik stratejisine işaret etmektedir. Bu, veri güvenliğinin sürekli bir mücadele olduğunu ve birden fazla alanda sürekli dikkat ve yatırım gerektirdiğini göstermektedir.

10. Ziyaretçilerin Kişisel Verilerinin İşlenmesi

Age Sigorta’nın hizmet binasına yapılan ziyaretler sırasında da kişisel veriler işlenmektedir. Kimlik bilgileri, ziyaret edilecek yetkililer ve araç plakası bilgileri (otopark kullanılıyorsa) kimlik doğrulama ve giriş kaydı için işlenmektedir. Ayrıca, bina güvenliği için hizmet alanlarında kameralar aracılığıyla görüntü kayıtları alınmaktadır.
Kamera kayıtlarına erişim, az sayıda şirket çalışanı ve güvenlik şirketi çalışanı ile sınırlıdır ve güvenlik şirketi çalışanları gizlilik sözleşmeleri imzalamaktadır. Bu kişisel veriler, işleme amacına uygun olarak belirlenen saklama süresi sonunda imha edilmektedir.
Ziyaretçi verilerinin (kimlik, araç plakaları, kamera kayıtları) nasıl işlendiğinin açıkça detaylandırılması, fiziksel güvenlik önlemleri ile KVKK kapsamındaki veri koruma yükümlülükleri arasındaki kritik kesişimi vurgulamaktadır. Bu durum, KVKK ilkelerinin geçici etkileşimlere ve müşteri olmayan verilere bile uygulandığını göstermekte, bu da fiziksel güvenlik amacıyla toplanan veriler için açık amaç sınırlaması, sıkı erişim kontrolleri ve tanımlanmış saklama/imha politikaları gerektirmektedir. Bu bölüm, veri sorumlusunun, müşteri veya çalışan olmayan, sadece “ziyaretçi” olan kişilerden toplanan verileri de KVKK uyumu kapsamında değerlendirdiğini göstermektedir. Bu, KVKK uyumunun geleneksel müşteri ilişkileri verileriyle sınırlı olmadığını, fiziksel güvenlik için toplananlar da dahil olmak üzere kuruluş tarafından işlenen tüm kişisel verileri kapsadığını ortaya koymaktadır. “Kimlik bilgileri, ziyaret edilecek yetkililer, araç plakası bilgileri” ve “görüntü kayıtları” hakkındaki detaylar, amaç sınırlaması, erişim kontrolü (“sınırlı erişim”), gizlilik (“gizlilik sözleşmeleri”) ve veri saklama/imha (“belirlenen saklama süresi sonunda imha edilmektedir”) gibi aynı ilkelerin uygulandığını göstermektedir. Bu durum, şirketin operasyonel kapsamındaki tüm veri işleme faaliyetlerini dikkate alan kapsamlı bir KVKK programını işaret etmektedir.

11. Kişisel Verilerle İlgili Kanuni Haklar (Madde 11)

Kişisel verileri işlenen gerçek kişilerin, Kişisel Verilerin Korunması Kanunu’nun 11. maddesinde belirtilen hakları bulunmaktadır. Bu haklar, veri sahiplerine kişisel verilerinin işlenmesi hakkında bilgi edinme veya çeşitli taleplerde bulunma imkanı sunmaktadır. Örneğin, veri işleme hakkında daha detaylı sorular sorabilir, bilgilerini güncelleyebilir veya silinmesini talep edebilirler. Kanun’da belirtilen haklar şunlardır:
Kişisel veri işlenip işlenmediğini öğrenme.
Kişisel verileri işlenmişse buna ilişkin bilgi talep etme.
Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme.
Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme.
Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme.
Kişisel verilerin silinmesini veya yok edilmesini isteme.
Kişisel verilerin düzeltilmesi, silinmesi veya yok edilmesi halinde, bunların aktarıldığı üçüncü kişilere bildirilmesini isteme.
İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme.
Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme.
KVKK’nın 11. maddesi kapsamındaki veri sahibi haklarının kapsamlı bir şekilde sıralanması, kişisel veriler üzerindeki bireysel kontrolün güçlü bir şekilde vurgulandığını göstermektedir. Bu durum, veri sorumlusu (Age Sigorta) üzerinde, bu çeşitli talepleri yasal olarak belirlenen süreler içinde almak, doğrulamak, işlemek ve yanıtlamak için sağlam, erişilebilir ve verimli mekanizmalar kurma konusunda önemli bir operasyonel yük oluşturmaktadır. Bu, uyumu sağlamanın ve veri sahibi güvenini geliştirmenin anahtarıdır. Listelenen dokuz hak, bireyleri önemli ölçüde güçlendirmekte, temel veri erişiminden otomatik kararlara itiraz etme ve tazminat talep etme hakkına kadar uzanmaktadır. Age Sigorta için bu, önemli bir operasyonel gerekliliğe dönüşmektedir. Şirketin, talep alımı için açık bir sürece, talep edenin kimliğini doğrulamak için mekanizmalara, ilgili verileri bulmak ve almak için dahili iş akışlarına, veri düzeltme, silme veya anonimleştirme süreçlerine, üçüncü tarafları bilgilendirme prosedürlerine ve yasal süreler içinde taleplere yanıt vermek için sağlam bir sisteme sahip olması gerekmektedir. Özellikle “otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme” hakkı, modern veri odaklı işletmelerde algoritmik işlemeye ilişkin şeffaflık ve insan incelemesi için bir mekanizma gerektirdiğinden zorlayıcıdır. Bu durum, KVKK uyumunun sadece veri depolamayla ilgili olmadığını, aynı zamanda aktif veri yönetimi ve bireysel haklara yanıt verme ile ilgili olduğunu vurgulamaktadır.

12. Kişisel Verilere İlişkin Taleplerin İletilmesi Prosedürü

Kişisel verilere ilişkin kanuni haklara dair talepler, herhangi bir zamanda iletilebilmektedir. Bu talepler, Age Sigorta tarafından sağlanan “Başvuru Formu” aracılığıyla veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirtilen diğer yöntemlerle yapılabilmektedir. Başvuru yöntemleri ve başvurunun kendisi hakkında daha detaylı bilgiye form üzerinden ulaşılabilmektedir. İlgili belge:(url98).
Belirli bir “Başvuru Formu”nun sağlanması ve “Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ”e açıkça atıfta bulunulması, veri sahiplerinin haklarını kullanmaları için resmi ve yasal olarak öngörülmüş bir mekanizmanın varlığını göstermektedir. Bu standardizasyon, hem veri sahibi hem de veri sorumlusu için talep sürecini kolaylaştırmakta, tutarlılık, yasal uyum ve veri sahibi erişim taleplerinin verimli yönetimini sağlamakta, bu da uyum için kritik öneme sahiptir. “Taleplerinizi “Başvuru Formu” aracılığıyla veya Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’de belirtilen diğer yöntemlerle bize her zaman iletebilirsiniz” ifadesi, Age Sigorta’nın veri sahibi taleplerini ele almak için resmi, düzenleyiciye uygun bir süreç oluşturduğunu göstermektedir. Standart bir form, başvuru sahibi tarafından gerekli tüm bilgilerin (örneğin, kimlik doğrulama, belirli talep detayları) sağlanmasını sağlayarak, karşılıklı iletişimi azaltmaktadır. Tebliğ’in yönergelerine uyum, şirketin sürecinin yasal olarak sağlam olmasını sağlayarak, usulden kaynaklanan uyumsuzluk ve ilgili cezalar riskini en aza indirmektedir. Bu durum, veri sahibi haklarını yerine getirmeye yönelik olgun ve iyi yapılandırılmış bir yaklaşımı yansıtmaktadır.

13. İlgili Belgeler ve Kaynaklar

Age Sigorta, KVKK uyumuna ilişkin kapsamlı bir bilgi seti sunmak için çeşitli ilgili belgeleri ve kaynakları erişilebilir kılmaktadır:
KVKK Aydınlatma Metni
Kişisel Verilerin İşlenmesi Politikası
Sayfanın alt kısmında, kişiselleştirme, hedefleme ve reklam faaliyetleri için çerez bilgilerinin işlenmesinden bahseden ve bir “Çerez Politikamızı”na atıfta bulunan bir çerez onay banner’ı da bulunmaktadır.
Ana Bilgilendirme Metni, ayrı bir İşleme Politikası, Başvuru Formları ve bir Çerez Politikası dahil olmak üzere ilgili belgelere birden fazla bağlantının sağlanması, KVKK uyumunun tek bir belgede kapsanmadığını, aksine kapsamlı, birbirine bağlı bir politika ve prosedürler bütünü olduğunu vurgulamaktadır. Bu entegre dokümantasyon yaklaşımı, veri koruma uygulamalarının bütünsel olarak kapsanmasını sağlamakta ve veri sahiplerine verilerinin çeşitli operasyonel yönlerde nasıl yönetildiğine dair eksiksiz ve şeffaf bir resim sunmaktadır. Bu tür farklı ancak bağlantılı belgelerin varlığı, Age Sigorta’nın katmanlı ve kapsamlı bir uyum çerçevesi geliştirdiğini göstermektedir. Bilgilendirme Metni genel bir bakış sunarken, İşleme Politikası dahili operasyonel kuralları detaylandırmakta, Başvuru Formu hakların kullanılmasını kolaylaştırmakta ve Çerez Politikası belirli çevrimiçi veri toplamayı ele almaktadır. Bu bağlantı, KVKK’nın çok yönlü doğasını yansıtmakta ve veri korumanın tüm yönlerinin açıkça belgelenmesini ve ilgili paydaşlar için erişilebilir olmasını sağlamaktadır.

Sonuç

Age Sigorta tarafından sunulan Kişisel Verilerin Korunması Kanunu kapsamındaki bilgilendirme metni, şirketin veri korumaya yönelik kapsamlı, şeffaf ve proaktif yaklaşımını ortaya koymaktadır. Metin, sadece yasal yükümlülüklere uyumu beyan etmekle kalmayıp, aynı zamanda veri işleme süreçlerinin her aşamasında şeffaflık, hesap verebilirlik ve etik ilkelerin benimsendiğini göstermektedir.
Şirket, kişisel verilerin tanımından özel nitelikli verilere, veri sorumlusu rolünden veri işleme amaçlarına ve hukuki dayanaklarına kadar KVKK’nın temel kavramlarını detaylı bir şekilde açıklamaktadır. Özellikle, sigortacılık sektörüne özgü veri örnekleri ve çok taraflı veri sorumluluğu durumlarına ilişkin açıklamalar, şirketin operasyonel gerçekliklerini KVKK çerçevesine titizlikle entegre ettiğini göstermektedir. Veri toplama yöntemlerinin çeşitliliği ve kişisel verilerin aktarıldığı geniş üçüncü taraf ağı, karmaşık bir veri ekosistemini işaret etmekte ve bu durum, sağlam üçüncü taraf risk yönetimi ve sözleşmesel güvencelerin önemini vurgulamaktadır.
Age Sigorta’nın kişisel verileri yasa dışı yollarla kar elde etmek amacıyla kullanmama taahhüdü, yasal uyumun ötesinde etik bir duruş sergilemekte ve veri sahibi güvenini pekiştirmektedir. Şirket tarafından alınan çok katmanlı teknik ve idari tedbirler (eğitimler, risk değerlendirmeleri, sızma testleri, DLP yazılımları), veri güvenliğine yönelik proaktif ve bütünsel bir yaklaşımın kanıtıdır. Ziyaretçi verilerinin işlenmesi konusundaki detaylar ise, KVKK ilkelerinin sadece müşteri verileriyle sınırlı kalmayıp, fiziksel güvenlik amaçlı verileri de kapsayan geniş bir uygulama alanına sahip olduğunu göstermektedir.
Son olarak, veri sahiplerinin KVKK Madde 11’de belirtilen haklarının açıkça listelenmesi ve bu hakların kullanımına yönelik standartlaştırılmış bir başvuru mekanizmasının sunulması, Age Sigorta’nın veri sahiplerinin kontrolünü güçlendirmeye ve taleplere etkin bir şekilde yanıt vermeye olan bağlılığını yansıtmaktadır. Mevcut ilgili belgeler ve kaynaklar, şirketin KVKK uyumunun entegre ve kapsamlı bir dokümantasyon çerçevesine sahip olduğunu ortaya koymaktadır.
Genel olarak, Age Sigorta’nın KVKK bilgilendirme metni, veri koruma yükümlülüklerini ciddiyetle ele alan, sürekli değişen düzenleyici ortama uyum sağlayan ve veri sahiplerinin güvenini kazanmayı hedefleyen olgun bir veri yönetimi stratejisinin göstergesidir.