Sigorta Poliçelerini Sosyal Medyada Paylaşma Gafleti: Sigorta Acentesine 22.500 TL Ceza (Karar: 2020/58)
Kişisel Verileri Koruma Kurulu (Kurul), 27/01/2020 tarihli bu kararıyla, özellikle yerel işletmelerde ve acentelerde görülen “referans gösterme” veya “başarıyı paylaşma” dürtüsünün KVKK duvarına çarpışını simgelemektedir. Karar, bir sigorta acentesinin kestiği poliçeleri “reklam” amacıyla sosyal medyada paylaşmasının, rıza dışı veri işleme ve ifşa teşkil ettiğini net bir şekilde ortaya koymaktadır.
1. Olayın Özeti: “Bakın Kaç Poliçe Kestik” Paylaşımları
Olay: Bir sigorta acentesi, kestiği poliçelerin fotoğraflarını veya ekran görüntülerini Facebook ve Instagram hesapları üzerinden herkese açık şekilde paylaşmıştır. Bu paylaşımlarda müşterilerin isimleri, adresleri, araç plakaları, araç marka/modelleri ve prim tutarları gibi bilgiler yer almaktadır.
Savunma: Veri sorumlusu acente özetle şu savunmayı yapmıştır:
- Verileri gizlemeye çalıştıklarını ancak “dikkatsizlik ve acelecilik” nedeniyle bazı verilerin açık kaldığını,
- Sistemin TCKN’leri otomatik kapattığını,
- Eksikliğin “bilgisizlikten” kaynaklandığını,
- Kurum uyarısı sonrası paylaşımları hemen sildiklerini beyan etmiştir.
2. Kurulun Hukuki Değerlendirmesi: “Dikkatsizlik Mazeret Değildir”
Kurul, paylaşılan verilerin içeriği ve işlenme biçimi üzerinden şu hukuki tespitleri yapmıştır:
A. Kişisel Veri Yelpazesinin Genişliği
Kurul, paylaşımlarda sadece isim-soyismin değil; plaka numarası, araç rengi, prim tutarı ve adres gibi bilgilerin de bir araya geldiğinde kişiyi “belirlenebilir” kılan kişisel veriler olduğunu vurgulamıştır.
B. Açık Rıza ve İşleme Şartları (Md. 5)
Kişisel verilerin bir reklam faaliyetine konu edilmesi, KVKK Madde 5’te yer alan istisnaların (sözleşme ifası, kanun, meşru menfaat vb.) hiçbirine girmez.
- İhlal: Müşterinin bir poliçe kestirmesi, onun bilgilerinin sosyal medyada “reklam malzemesi” yapılmasına rıza gösterdiği anlamına gelmez. Bu işlem için müşteriden bu amaca özel açık rıza alınması şarttır.
C. Teknik ve İdari Tedbirlerin Yetersizliği (Md. 12)
Veri sorumlusu, verilerin hukuka aykırı olarak başkalarının eline geçmesini önlemekle yükümlüdür.
- Kusur: “Acelecilik” veya “bilgisizlik” gibi gerekçeler, Kanun’un 12. maddesindeki güvenlik yükümlülüğünü ortadan kaldırmaz. Aksine, acentenin veri güvenliği konusunda personeline eğitim vermediğini ve gerekli denetim mekanizmalarını kurmadığını kanıtlar.
3. Karar Sonucu: 22.500 TL İdari Para Cezası
Kurul inceleme neticesinde;
- Müşterilerin rızası olmaksızın verilerin herkese açık platformlarda paylaşılması,
- Veri güvenliğini sağlamaya yönelik gerekli idari ve teknik tedbirlerin alınmaması,Gerekçeleriyle, Sigorta Acentesi hakkında 22.500 TL (2020 yılı değeri) idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Bilmemek Değil, Tedbirsizlik Cezalandırılır”
Bilişim hukuku alanındaki tecrübemizde, esnafın veya küçük işletme sahiplerinin “Müşterim beni seviyor, paylaşmamdan gurur duyar” yanılgısına düştüğünü sıkça görüyoruz. Ancak hukuk, duygularla değil kurallarla işler. Bir poliçeyi, bir tapuyu veya bir dava sonucunu sosyal medyada paylaşmak, veri sorumlusuna “yasal yetki” değil “yasal risk” getirir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Sosyal medyayı pazarlama kanalı olarak kullanan acenteler, “anonimleştirme” (verinin kimseye ait olduğunun anlaşılamaması) yapmadan asla paylaşım yapmamalıdır. Bir ismi karalamak yetmez; adresin veya plakanın görünmesi de ihlaldir. En güvenli yol, sadece izin veren müşterilerin (yazılı onay ile) başarı hikayelerini paylaşmak veya genel istatistikler vermektir. “Bilmiyordum” savunması, KVKK Kurumu nezdinde bir indirim sebebi değil, ihmalin tescilidir.
Sıkça Sorulan Sorular
1. Sigortacım kestiği poliçeyi Instagram’da paylaşabilir mi?
Sizden bu paylaşıma dair özel ve yazılı bir “açık rıza” almadıysa kesinlikle paylaşamaz. Paylaşması durumunda kişisel verilerinizi ihlal etmiş sayılır.
2. İsmimi karalamış olması paylaşımı yasal yapar mı?
Hayır. Eğer plakanız, araç modeliniz veya adresiniz görünüyorsa, tanıyanlar veya o bölgedekiler için hala “belirlenebilir” durumdasınızdır. Tam anonimlik sağlanmadığı sürece ihlal devam eder.
3. Acente “Hemen sildim” dediği halde neden ceza aldı?
KVKK ihlalleri “anlık” gerçekleşir. Verinin yetkisiz kişilerin erişimine sunulmuş olması suçu oluşturur. Sildikten sonraki süreç sadece ceza miktarında bir alt sınır değerlendirmesine neden olabilir, ancak cezayı tamamen ortadan kaldırmaz.
4. 22.500 TL ceza 2026’da ne kadar olur?
Yeniden değerleme oranları ile 2020’deki bu alt limitli ceza, günümüzde (2026) yüz bin liranın üzerindeki bir seviyeye tekabül etmektedir.
5. Bir poliçemin paylaşıldığını görürsem ne yapmalıyım?
Önce paylaşımın ekran görüntüsünü alın. Ardından acenteye başvurarak verinizin silinmesini ve açıklama yapılmasını talep edin. Tatmin edici bir dönüş alamazsanız Kurul’a şikayette bulunun.
Kaynaklar
- KVKK Kurumu – 2020/58 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 5, 12 ve 18)
Etiketler
KVKK, Sigorta Acentesi, Sosyal Medya İhlali, Poliçe Paylaşımı, Veri İfşası, İdari Para Cezası, 2020/58 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Veri Güvenliği, Maskeleme, Referans Paylaşımı Riskleri
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),