Düzenleyici Kurumların Önemi

Avrupa Birliği bünyesinde bulunan birçok ülkede bankacılık ve sigortacılık sektörleri tek bir düzenleyici kurum tarafından yönlendirilir. Bağımsız düzenleyici kurumların sağladığı avantaj özellikle finansal zeminin kaygan olduğu dönemlerde önemini bir kez daha gösteriyor.

Düzenleyici kurumlar sektörler için, konumuz itibariyle sigortacılık sektörü için büyük önem taşımakta. Düzenleyici kurumu oluşturan üyeler, yet­ki alanları, denetim teknikleri, faaliyetlerindeki tarafsızlık ve etkinlik, ne kadar bağımsız olabil­dikleri, sahip oldukları sigortacılık tecrübesi gibi kriterler sektörde faaliyet gösteren oyuncular açı­sından karlılıkları, sektöre girmek isteyen oyuncu­lar açısından ise sektörün sağlıklı yapısı hakkında fikir vermekte.

 

Şeffaflık ve Bağımsızlık

Düzenleyici kurumların sigortacılık sektö­rü için gerçekleştirdikleri faaliyetler hizmet standartlarını korumak, müşteri çıkarlarını korumak, hizmet fiyatını belirlemek, rekabeti kolaylaştırmak, sektörün verimliliğini ve ya­tırım açısından cazibesini arttırmak ve sektör oyuncuları tarafından sunulan hizmetlerin de­vamlılığını sağlamak gibi ana başlıklar altında gruplandırılabilir. Bu faaliyetleri gerçekleşti­rirken kullandıkları enstrümanlar ve bu ens­trümanların ne kadar şeffaf ve adaletli olduğu, düzenleyici kurumun bağımsızlığı, denetim mekanizmasını hangi etkinlik seviyesinde kul­lanabildiği piyasada yer alan veya yer almak is­teyen oyuncular açısından büyük önem taşır. Bu uygulamalar aslında sektörün ne kadar büyüye­bileceğini de belirler. Zira düzenleme ve denet­leme fonksiyonları açısından beklenilen kalite ve şeffalık özelliklerini sağlayamayan düzenle­yici ve denetleyici kurumların olduğu piyasalar uluslararası yatırımcılardan hak ettikleri ilgiyi göremez.

Yatırımcılar piyasa girmek için piyasa yapısının şeklen iyileştirilmesini bekler. Bununla birlikte sadece şekil olarak bağımsız olan veya uygulamaları açısından sektörde yer alan oyuncuların hepsine eşit mesafede olmayan düzenleyici kurumlar düzenleme tuzaklarını (regulatory captures) gündeme getirir. Düzenleme tuzaklarının yer aldığı bir sektör de hiçbir düzen­lemenin yer almadığı bir sektör gibi yatırımcısına gerekli güveni sağlamaz. Düzenleme tuzakları sayesinde sektördeki dengeler, kısa vadeli planlar uğruna, haksız olarak bazı oyuncuların aleyhine, bazı oyuncuların ise lehine olarak değiştirilir. Kısa vadede lehine düzenleme yapılan oyuncu için avantaj sağlansa bile orta ve uzun vadede her iki taraf için de ciddi sorunlar ortaya çıkarır ve en önemlisi tüketici ve yatırımcı gözünde piyasa olan güven zedelenir.

Denetleyici Kurumların Bağımsızlık Kriterleri

İlgili akademik araştırmalar ile desteklenmekle birlikte bir denetleyici kurum, kurumun başkan­lık statüsüne sahip olup olmadığı, yönetim kurulu üyelerinin varlığı ve statüleri, yetkilerinin özel­likleri, organizasyonel yapıları, diğer kurumlarla olan ilişkilerinin yapısı ve siyasi irade ile bağlantı­ları gibi bağımsızlık kriterlerine göre değerlendiri­lir. Avrupa Birliği finansal normları, siyasi etkiden uzak, sektörün düzenlenebilmesi ve denetlenebil­mesi için gerekli bilgi birikimine ve tecrübesine sahip bir düzenleme ve denetleme kurumunun oluşturulmasını mecburi kılar.

Türkiye şartlarında ise kısa vadede tam bağımsız bir model oluşturmanın zorluğu göz önüne alındığın­da, yarı bağımsız bir modelin oluşturulması dahi sektörün ihtiyaç duyduğu sağlam yapıyı meydana getirme açısından önemli bir adım olur. Finansal piyasaların birbirleriyle olan yüksek iletişim ve etkileşimleri de göz önüne alınınca bu kurumun bütün finansal piyasaların düzenleme ve denetleme yetkisini tek elde toplaması etki alanını geniş­letir. Sektörün ihtiyaç duyduğu ivmeyi oluşturur.

Düzenleyici ve denetleyici kurumun bağımsızlığı, hesap verebilirlik özelliğini de beraberinde geti­rir. Hesap soran statüsündeki denetleyici kurum, uygulamalarının doğruluğu hakkında hesap vermeli, uygulamalarının tarafsızlığı ve doğruluğu ise kamu vicdanında ve şirketler nezdinde lekesiz ol­malıdır. Kurumun bütçesi, sektörün ihtiyacı olan etkinliği sağlayabilmeli, yeterli ve kaliteli işgücünü istihdam edebilmelidir. Eğer mevcut ise dağınık ve/veya parçalı karar alma süreçlerinin yarattığı belirsizlik ortamı, kurumun karar alma süreçlerinin detaylı bir şekilde belirlenmesiyle giderilmelidir.

Avrupa Birliği ve Türkiye örnekleri

Düzenleyici kurumların mevcut statülerini, finan­sal piyasalar açısından, Avrupa Birliği ve Türkiye örnekleri üzerinden değerlendirdiğimizde ise Avrupa Birliği üyesi birçok ülkede finansal piya­saların düzenleme ve denetleme kurumlarının tek bir çatı altında toplandığını ve bu kurumun uygula­malarının siyasi otoriteden uzak bir şekilde bütün oyunculara eşit mesafede gerçekleştirilmeye çalı­şıldığını görüyoruz. Bu aşamanın bir sonraki adımı, şu anda üzerinde çalışıldığı üzere, yüksek etkileşim gösteren ülke finansal piyasalarının Avrupa Birliği çatısı altında tek bir düzenleyici kurum tarafından yönetilmesi.

Avrupa Birliği bünyesinde yer alan ülkelerin dü­zenleyici ve denetleyici kurumlarının üstünde yer alacak olan bu kurum, ülke siyasi otoritelerinden bağımsız olarak Avrupa Birliği’ne ihtiyacı olan finansal istikrarı sağlayacak ve Birliğin finansal anlamda mevcudiyetinin mimari olacak.

Bu aşamada en önemli kriter olan siyasi otorite bağlantısının sınırlandırılması ise kurumların görevleri, yetkileri ve sorumlulukları alanında olası karmaşaların önüne geçmeyi ve bütün oyun­culara aynı mesafede durabilmeyi amaçlamakta. Böylelikle değişen siyasi iradenin finansal piyasa­lara etkisi çok az olacak. Sektörün büyümesi ve sağlıklı gelişmesi için gerekli olan bu özellikle­rin önemi, olası finansal sıkıntılarda ve gerçek­leştirilmesi gereken düzenleme ve reformların sağlıklı olarak uygulanmasında bir kez daha öne çıkmakta.

Türkiye finansal piyasaları, düzenleyici kurumla­rın konsolidasyonu açısından alması gereken uzun yolla birlikte, düzenleyici kurumların bağımsızlığı açısından da öncelikle ilerleme kaydetmeli. Sek­törün arzu ettiği uzun ömürlü ve sağlıklı finansal yapılara sahip, düzenleyici kurumlar tarafından eşit mesafede yaklaşılan ve desteklenen şirketlerin varlığı yatırımcılar açısından sektörün cazibesini arttırır. Bu durum, arzu edilen finansal derinliği, ürün çeşitliliğini ve en önemlisi şirketlere ve sek­töre olan güveni beraberinde getirir. Düzenleyici ve denetleyici kurumların bağımsız bir şekilde ge­lişip güçlenmesi müdahaleci iktisadi politikaların önüne geçilmesi için de önemli bir adım olur.

Denetleyici kurumların kaliteli yapısı, sektör için itici bir dinamik olarak sektörün finansal ve insa­ni yapısının kalitesini arttırır ve sektörün kaliteli işgücü tarafından tercih edilmesini sağlar. Türkiye gibi birbiriyle etkileşimi yüksek olan finansal piyasaların tek bir bağımsız kurum ta­rafından düzenlenmesi ve denetlenmesi, ihtiyaç duyulan istikrarlı ve kaliteli yapıyı beraberinde ge­tirir. Bankacılık sektörünün sahip olduğu yüksek ivme sigortacılık sektörü açısından da itici bir güç oluşturarak sektörün hak ettiği derinliğe ve yapıya kavuşmasına yardım edecektir.

#RegulatoryCaptures, #RegulatoryBody, #RegulatoryRisk, #ERM, #ZeynepStefan

 3,126 total views

How InsurTech will change Credit Risk Management for Insurers?

Risk management activities of insurance companies are mainly based on three risk types: whole portfolio, supplementary and others.  In “others”, two risk types; operational risk and credit risk; stand out with their financial impacts and frequencies. We already discussed the operational risk management and how it will be managed after InsurTech. With its quantitative structure and different triggers, credit risk management will be our next topic.

Credit risk is defined as “the potential of insurance company’s borrowers or counterparties will fail to meet their obligations in accordance with agreed terms”. The main goal in credit risk management is maximizing insurance company’s risk-adjusted rate of return by maintaining credit risk exposure within acceptable parameters. Credit risk has six sub risk types:

  1. Credit default risk
  2. Concentration risk,
  3. Counterparty risk,
  4. Country risk,
  5. Sovereign risk and
  6. Settlement risk.

Furthermore, traditional credit risk management is based on manually or semi-manually assessment of below domains:

  • Detailed assessment of counterparties,
  • Financial strength,
  • Industry position,
  • Qualitative factors and
  • Underlying credit exposures.

The first trigger of change in credit risk management was Solvency II. After implementation of the capital regime in Euro Zone, insurance and reinsurance companies were integrated further credit risk assessment tools into their internal models. Because, the credit risk management approach was found very weak in standard model of EIOPA.  The second evolution in credit risk management comes not with another capital regime, but with technology; InsurTech. InsurTech is converting credit risk management into a new form like many other components in insurance business.

For bringing into the complex structure of risk management with basic inputs, we can classify the InsurTech effect on credit risk management mainly on two points which the first point defines the philosophy behind risk management activities and the second point defines actions:

  1. Maximizing company’s risk adjusted rate of return by maintaining correct credit risk exposure within risk appetite of company and maintaining sufficient risk-return discipline in credit risk management process.
  2. Covering all insurance/reinsurance transactions and identification, measurement and monitoring of transactions with embedded credit risk.

The risk-adjusted return is generally defined as a concept which measures real value of risk and enables a company to make comparisons between risk taking and risk aversion. This variable shows real value of business and aims maximizing efficiency on capital management. Today’s business life, correct allocation of limited capital should be the main object behind all activities of  a company and risk adjusted rate of return is the pointer that makes this objective visible. InsurTech converts also calculation methodology of risk-adjusted return. With a more sophisticated methodology, risk managers can cover thousands of variables and calculate a value very close to real risk-adjusted return exposure.

The second point, covering all transactions where credit risk arises, is the inception point of actions. The definition covers not just financial transactions, but also all insurance/reinsurance transactions performed during daily business cycles. Furthermore, because of the complex structure of finance, not just loans, the most obvious source of credit risk, but also other structured financial instruments, like trade financing, foreign exchange transactions, financial futures, swaps, bonds, equities, options etc., should be assessed in an effective credit risk management function.

Naturally, variety of sources brings huge amount of data, that could not be managed manually, especially by a function like risk management, which should be always preventive and pioneer. One of InsurTech dimensions, big data management, helps risk management professionals especially on this point. With the organization, administration and governance functions of big data management; not just structured data but also unstructured data come out from mentioned transactions will be measured, analyzed, grouped and monitored according to their likelihood and magnitude within seconds.

Credit risk management is a crucial tool among other risk management functions. An effective credit risk management brings efficient capital management firstly and then financially strong companies. These two features make companies ready and solid for their next step on investment, acquisitions and every step they take for their existence.

#RiskManagement #CreditRiskManagement, #RiskAdjustedReturn, #CapitalAllocation, #SolvencyII #InsurTech, #ZeynepStefan

 6,501 total views,  1 views today

Conversion of Terror Risk

Sigortacılıkta politik risk, uluslararası faaliyet içerisinde olan şirketlerin faaliyetlerinin yurtdışında iş yaptığı ülke, kendi ülkesi ya da üçüncü bir ülke kaynaklı ve şirketin kontrolünde olmayan nedenlerle engellenmesi ya da zarar görmesi olarak tanımlanır. Savaş, sivil savaş, sabotaj, yıkım, ihracat/ithalat lisansının iptali, sözleşme için devletin onayını alamamak, teçhizata / banka hesabına elkonulması, alıcının özelleştirilmesi/millileştirme, kanunların taraf tutması, hakemlik, hükümet değişikliklikleri, vergi değişiklikleri, yerel kanunların değişmesi, hükümetin, kendi taahhütlerini ihlal etmesi, savaş veya ambargodan kaynaklanan ham madde temini kesintisi gibi vakalar politik riskin gerçekleşmesi dolayısıyla ortaya çıkan sonuçlardan bazıları. Günümüzde politik riskler sigortacılar tarafından ülke seviyesinde veya gerçekleştirilmesi planlanan proje seviyesinde ölçümlenmekte. Riskler bu iki değişkene göre inceleniyor olsa dahi analizin sonunda sonuçlar genellikle ülke bazında elde edilmekte.

Ülkelerin politik risklerinin ölçümünü gerçekleştiren birçok sigorta veya rating değerlendirme şirketleri mevcut. Değerlendirmede genel olarak dört temel faktör grubu dikkate alınıyor. Politik yapı ve kurumların, ülkedeki güç merkezlerinin, ideolojik ve kültürel temellerin ve sistemler arası bürokrasinin değerlendirildiği iç faktörler; dünya üzerindeki diğer güç unsurlarıyla ilişkilerin, bölgesel politik güçlerle ilişkilerin, sınır savaşları ihtimallerinin ve siyasi istikrarsızlık ihtimalinin değerlendirildiği dış faktörler; dış borçların GSMH’ya oranı, borç servisi oranı, likidite fark oranı, dış ödemeler dengesi cari açığının GSMH’ya oranı ve rezervlerin ithalatı karşılama oranının incelendiği finansal faktörler; ihracatın mal yapısı ve ekonomik yapı ve yönetimin incelendiği yapısal ve ekonomik faktörler. Bu faktörlerin ağırlıkları değerendirme kuruluşunun vizyonu ve risk algısına göre değişiklik gösterebiliyor. Dolayısıyla ülkeler değerlendiren kuruma göre farklı sıralamalara sahip olabiliyorlar.

Bu farklılıklara rağmen değerlendirme kuruluşlarının politik riskin yüksek olduğu konusunda görüş birliğine vardıkları ülkeler (yüksek riskten düşük riske göre); Somali, Kongo, Sudan, Myanmar, Afganistan, Irak, Zimbabwe, Kuzey Kore, Pakistan, Rusya ve Orta Afrika Cumhuriyeti. Bu ülkeler yatırım ve ticari faaliyet gerçekleştirmek için riskli bulunmakta ve sigorta şirketlerinin desteğini alamayan firmalar faaliyet alanlarını sınırlandırmak zorunda kalmaktalar. Ancak politik riskin içerisinde yer alan bir unsur olan terör riski günümüzde ön plana çıkarak politik riskle eşdeğer anlam taşımaya başladı.

Öncesinde 11 Eylül’de gerçekleşen, Dünya Ticaret Merkezi ve Pentagon’un hedef alındığı terörist saldırı ve yakın zamanda Paris, Sydney, Kopenhag, Lyon, Tunus ve Kuveyt’de gerçekleşen saldırılar sigortacıları politik riskli ülkelerin yer aldığı listelerin ne derece güvenilir olduğu konusunda yeniden düşünmeye itti. Bu şehirlerin riskli ülkeler listesinde olmaması ancak sigortacıların yüksek maliyetlere katlandıkları saldırılar gerçekleşmesi ülke bazında politik risk değerlendirmesinin aslında çok doğru bir yaklaşım olmayabileceğini, genel olarak politik risk taşımayan bir ülkenin metropollerinin de terör risk değerlendirmesinde yer alması gerektiğini gerçeğini sigortacılara bir kere daha hatırlattı.

Sadece bombalama gibi ilk aşamada terörist faaliyet olarak adlandırılabilecek saldırılar değil, iş gezisinde bulunan uluslararası bir şirketin temsilcisinin öldürülmesi, yaralanması, kaçırılması ve sonrasında fidye istenmesi gibi vakalar da, sigortacılar açısından yüksek tazminatlar ödenmesini gerektiren durumlar ve değişen konjonktürle birlikte önce politik risk sonra da terör riski kapsamına yer almakta. Araştırmalar 2000 yılından günümüze sigortacılar tarafından politik riskin gerçekleşmesi sonucunda yapılan ödemelerin terör bağlantılı ödemeler üzerine yoğunlaştığını gösteriyor. Bu yoğunlaşmanın bir sonucu olarak politik risk artık terör riski olarak tanımlanıyor ve ne yazık ki, sadece genel siyasi durumu sıkıntılı olan ülkeler değil terörist saldırı tehlikesi  taşıyan her bölge riskli olarak değerlendiriliyor.

Politik riskin ve özelinde terör riskinin gerçekleşmesi sonucunda ortaya çıkan hasarın tazmini yönünde, ülkemizde de önceki dönemlerde farklı amaçlar için kullanılmış, genel bir uygulama söz konusu. Politik risk özelinde terör riski için yakın zamanda İngiltere’de uygulanan bu yöntem Pool Re (teminat havuzu) olarak adlandırılıyor. İngiliz hükümeti tarafından da desteklenen bu fon sigorta ve reasürans şirketlerinin teminat altına alamadığı riskleri güvence altına almakta. Bu riskler eğer Pool Re’nin de fon havuzunun kapasitesini aşıyor ise teminat dışı kalan tutar için Pool Re’ye ek rezervler aktarılmakta yani hasar İngiliz Hükümeti tarafından tazmin edilmekte.

Pool Re teminat havuzu ilk olarak 1990 yılında terörist grupların İngiltere’de gerçekleştirdikleri bombalama olayı sonrasında, sigorta teminatı kapsamında olmayan varlıklar için kullanıldı. 1993 yılında Londra’ya IRA militanları tarafından düzenlenen ve sigorta şirketleri tarafından sağlanan teminatın çok üstünde bir kaybın gerçekleştiği bombalı saldırı da (Bishopsgate saldırısı) Pool Reninsurance Company Limited tarafından tazmin edildi ve toplamda 260 milyon Sterlin hasar ödemesi gerçekleştirildi.

Politik risk kapsamının değiştiğini gören İngiliz sigortacılar, sağlanan teminatı terör riski olarak ayrıştırarak kaçırılma ve fidye isteme vakalarını da fon kapsamına aldı. Böylece terör riskinin politik riskin geniş kapsamından ayrılarak resmi olarak da özelleştini söyleyebiliriz. Benzer bir girişim İngiliz hükümetinin ardından Amerika Birleşik Devletleri’nden de geldi. Amerikan Senatosu, terörizm risk sigortası kanununun (Terrorism Risk Insurance Act – TRIA) geçerlilik süresini 2020 yılına kadar uzattığını açıkladı. Fon havuzu kapsamını ve hükümet desteği oranını ise kaydadeğer bir şekilde arttırdı. Bununla birlikte 11 Eylül olaylarında sonra gerçekleştirilen aksiyonları destekler nitelikte teminatın kapsamı, Amerika Birleşik Devletleri riskli ülkeler listesinde olmamasına rağmen New York, Los Angeles ve Chicago gibi büyük metropolleri içine alacak şekilde genişletildi.

Politik risk kavramının terör riski tanımına evrilmesi biz sigortacılara iki yeni olgu sunuyor. Politik risk gibi genel kapsamlı bir risk, kullanım sıklığı dolayısıyla terör riski veya kapsamındaki frekansı yüksek başka bir riski ifade edecek şekilde yeniden tanımlanabiliyor ve dolayısıyla risk için sağlanan teminat gibi sigorta bünyesindeki diğer unsurlar da değişim yaşabiliyor. Diğer bir olgu ise birbiriyle bağlantısı hergeçen an daha da artan ülkelerle kocaman bir köy haline gelen dünyamızda hazırlanan riskli ülke, kişi veya sektör listeleri çoğu zaman dikkate alınması gereken noktaları gözden kaçırabiliyor. Bu durum sigortacılara kendi öz değerlendirme metodolojilerini yaratmaktan ve hissedarları tarafından onaylanan bu bakış açısını günlük değerlendirmelerine yansıtmaktan başka bir çare bırakmıyor.

#PoliticRisk, #TerrorRisk, #TRIA, #EmergingRiskManagement, #ZeynepStefan

 1,240 total views,  1 views today

General Data Protection Regulation

After Solvency II, the European Union is ready for its next big and comprehensive regulation, called GDPR (General Data Protection Regulation). GDPR was approved by the EU Parliament on 14 April 2016 and after two-year grace period, it will be effective from 25 May 2018! The new regulation GDPR will replace the current Data Protection Directive 95/46/EC. Naturally, this brings much more than the existing directive.

Regulatory Landscape and Breaches

The first key point of the new regulation is protecting all EU citizens’ data privacy with an extended regulatory landscape. With GDPR, new data privacy rules should be applied to all personal data of subjects residing in the European Union, regardless of companies’ locations.

With GDPR, fines for possible breaches were increased sharply. Breaches can be fined up to 4% of annual global turnover or 20 million Euro (whichever is the greater ). Another radical change in GDPR is, regulations will be applied not just controllers, also for processors. So, cloud processors were also included in legacy scope.

Approval of data owner about usage was also a key point in the previous directive. In GDPR, usage of consent was regulated customer-centric. Mentioned document should be prepared in an understandable, simple and easy-accessible way. Furthermore, also consent withdrawal should be made easy for customers.

Notification and Access Rights

With GDPR, breach notification will become mandatory and should be performed within 72 hours after becoming aware of the breach. Notifications will be performed by data controllers to all affected data owners about possible risks for rights and freedoms of individuals.

“Data Erasure” or ‘Right to be Forgotten” were also regulated by GDPR. According to owner’s request, data can be made no longer relevant for original purposes for processing. The key term in this subject is ‘the public interest in the availability of the data’. So EU still leaves an exit strategy for using data when it was found to be necessary.

DPO and Hierarchy of Data

Another crucial point is building a hierarchy of data security within companies. With GDPR, users of data should build a structure for allowing access of not every employee but just related ones. After enforcement date, companies should appoint a Data Protection Officer (DPO) who must report directly to highest management level and must not have any responsibilities that bring possible conflicts of interests. GDPR should also make any important notifications about local Data Protection Acts (DPAs) and finalized notification requirements according to local DPAs. Regulation specified internal record keeping requirements and DPOs will be responsible from regular and systematic monitoring of data traffic.

GDPR and Insurtech

With the increase of connected IoT devices, real-time data collection and high profile cyber-attacks, data security and privacy appeared as the main threats against Insurtech. Although, customers will be more eager and feel more comfortable if they will be satisfied about data privacy as a common standard without regard to the size of the company. With GDPR, the main triggers of Insurtech like IoT, machine learning and much more won’t be considered as possible tools for data breaches and GDPR will be a spontaneous trigger of Insurtech!

GDPR and Its Effects on the Turkish Market

Even if Turkey is not a European Union member, Turkish financial institutes have many EU located customers which will be covered by GDPR. Furthermore, as Solvency II, Turkey will be pushed for making similar regulations by international financial groups which control 80% of insurance market and 60% of banking sector. As it has been discussed for years, data privacy regulation of Turkish financial markets is found very weak and not customer-centric by sector professionals. The rights to data access and penalties were already regulated in the current data privacy act. However, the regulatory landscape, right to be forgotten and privacy design are still open issues of act and consents are not still customer-centric and still not as easy to withdraw consent as it is to give it. Furthermore, Turkey financial markets are now preparing for new regulations on data privacy and above mentioned points will be possible improvements for next data privacy act named as KVKK.

 1,536 total views,  1 views today

GDPR

Avrupa Birliği, Solvency II’den sonra hazırladığı en büyük ve kapsamlı düzenlemesini hayata geçirebilmek için gün sayıyor. Yaklaşık dört yılda hazırlanabilen, ülkelerden ve büyük ölçekli birçok şirketten gelen itirazlar dolayısıyla defalarca gözden geçirilen ve nihayet 14 Nisan 2016 tarihinde Avrupa Birliği Parlamentosu tarafından onaylanan GDPR yasası 25 Mayıs 2018 tarihinde yürürlüğe girmiş olacak.

GDPR, İngilizce ‘General Data Protection Regulation’ tanımının kısaltması. Türkçe’ye ‘Genel-Kapsamlı Veri Koruma Kanunu’ olarak çevirebiliriz. Başındaki ‘General’ tanımı kanunun genel çerçeveyi tanımlayan bir kanun olmasından ziyade, çok geniş kapsamlı ve geniş etki alanına sahip bir kanun olmasından ileri gelmekte. 14 Nisan 2016’da onaylanan, 20 gün sonra Avrupa Birliği resmi gazetesinde duyurulduktan sonra iki senelik bir uyum süresi tanımlanan kanun, aslında Avrupa Birliği’nde zaten mevcut olan Veri Koruma Direktifi (Data Protection Directive 95/46/EC)’nin güncellenmiş versiyonu. Güncellemenin sebebi ise önceki direktifin 1995 yılında uygulamaya konulması, IoT, insurtech, AI ve siber risk gibi son beş yılın öne çıkan teknolojik gelişmelerine karşı ciddi anlamda yetersiz kalmasıydı.

GDPR ile öncelikle bütün Avrupa Birliği vatandaşlarının veri güvenliği ve gizliliği kavramlarının koruma altına alınması planlanmakta. Bu yapılırken ve kanun kaleme alınırken uzmanların çıkış noktası ise tek bir değişken yani iş etkisi (business impact). Düzenlemeleri değerlendirirken gözümüze çarpan ilk özellik ise her durumda tüketici haklarının korunması amacının ilk sıraya konulması.

Yeni Yaptırımlar ve Düzenlemenin Kapsamı

GDPR’ı okuyunca dokuz ana başlığın ortaya çıktığını görüyoruz. Bu dokuz başlık hem GDPR’ın ortaya çıkış nedenlerini hem de yaptırımların ana başlıklarını özetlemekte. GDPR’ın getirdiği en büyük yenilik, veri gizliliğinin kaynağı. Yeni düzenleme ile veri sahibinin Avrupa Birliği sınırları içerisinde oturması, düzenlemeden yararlanması için yeterli hale getiriliyor. Önceki düzenleme ilgili tüzel kişinin lokasyonunu baz alıyordu. Bu sayede Avrupa Birliği sınırları içerisinde herhangi bir kurumu olmayan ancak müşterileri Avrupa Birliği sınırları içerisinde olan kurumlar GDPR’ı uygulamak zorunda kalacaklar.

GDPR ile yönetmeliğin ihlali durumundaki cezalar da yenilendi. Düzenlemeye göre GDPR tarafından getirilen yükümlülüklerin ihlali durumunda 20 milyon Euro veya yıllık brüt cironun %4’üne kadar (bu iki değerden hangisi daha büyük ise) çıkabilecek yaptırımlar söz konusu olacak. Diğer önemli bir nokta ise Bulut üzerinde mevcut organizasyonların da bu yaptırımlardan sorumlu olacak olması.

Verilerin Kullanım Onayı ve Taşınabilirliği

Verinin kullanımı ile ilgili veri sahiplerinin onayı ise düzenlemede yine çok önemsenmekte. Onayın açık ve anlaşılır bir biçimde yazılması, veri sahibinin verilerinin tamamı gibi bir kısımını da ilgili şirketin onayına sunabilmesi sağlanmakta. Önceden verilen ancak sonra kullanıma kapatılmak istenen veriler için de sürecin kolaylaştırılması hedeflenmekte.

GDPR’da gördüğümüz diğer bir özellik ise düzenlemenin hayata geçirilmesi sonrasında ortaya çıkan ihlallerle alakalı, tespitinden itibaren 72 saat içerisinde ilgili kişilere veya veri sahiplerine bilgi verilmesi. GDPR ayrıca, Türkiye’de unutulma hakkı olarak bilinen, düzenlemenin orjinal metninde ‘Data Erasure’ veya ‘Right to be Forgotten’ olarak belirtilen alanda da düzenleme yaptı. Veri sahiplerinin herhangi bir kurumun bünyesinde yer almasını istemediği veriler, öncelikle verinin kullanımındaki kamu çıkarı dikkate alınarak değerlendirilebilecek ve kullanımdan kaldırılabilecek.

GDPR ayrıca verinin kullanımının taşınabilirliği ile ilgili de bir düzenleme yaptı. Böylece kullanım için belli bir kuruma verilen veri, sahibinin onayı ile benzer kapsamda veya farklı bir kapsamda başka bir şirketin kullanımına da sunulabilecek, yani bir nevi taşınmış olacak.

Veri Ulaşımında Kademelendirme ve Veri Koruma Görevlileri (Data Protection Officers)

GDPR, verinin kullanım hakkının sahibinden alınması sonrasında, kullanım onayını alan şirketin personeli arasında da bir sınıflandırma ön görmekte. Yani veriye ilgili şirketteki herkesin ulaşamaması, sadece veriyi kullanacak olan birimin görevlilerinin ulaşabilmesi amaçlanmakta. Bu nedenle şirketler içerisinde güvenlik esaslı veri erişim yapılarının kurulması gerekmekte. Şirketlerin zaten bünyelerinde olan veri koruma kuralları (DPA – Data Protection Act) ile bazı önlemler almış durumdalar. Ancak birçok farklı ülkede faaliyet gösteren şirketler için birçok farklı kurala göre raporlama yapmak ciddi bir iş yükü ve verimsizlik yaratmaktaydı. GDPR ile olası ihlallerle alakalı bildirim yerine şirket içi kayıtların belirlenen kurallara göre düzenli ve gerçekleştirilebilecek denetimlere hazır şekilde tutulması amaçlanmakta.

GDPR yaptırımlarına göre şirketlerin DPO (Data Protection Officer – Verinin Korunmasından Sorumlu Personel) atamaları da gerekmekte. Öncelikle DPO, ilgili şirket bünyesinde olabilecek en yüksek yönetim seviyesine bağlı olacak, görev aldığı organizasyon bünyesinde çıkar çatışmasına yol açabilecek başka bir sorumluluğu olmayacak ve mutlaka görevin gerektirdiği profesyonel yeterliliğe sahip olacak.

Insurtech ve GDPR

GDPR ile Avrupa Birliği uzun zamandır gerçekleştirmek istediği ve özellikle finansal alanda ciddi boşluk olduğunu düşünülen bir alana el atmış oldu. Siber saldırılar, çalınan kredi kartı veya kimlik bilgileri, artan şikayetler GDPR’ın çözüm bulması umulan alanlar. Insurtech ile daha veri merkezli  ve teknoloji odaklı olmayı amaçlayan sigorta şirketleri için GDPR oyun alanlarını sağlamlaştıracak ve pürüzleri giderecek bir düzenleme.

Türkiye sigorta sektörü açısından baktığımızda ise veri korunmasını amaçlayan düzenlemelerin olduğunu ancak GDPR kadar detaylı ve müşteriyi koruma amaçlı olmadığını görüyoruz. Avrupa Birliği vatandaşı olan birçok müşteriye sahip Türk sigorta şirketi olduğunu düşünürsek GDPR’ın ülkemizde de, geniş anlamda olmasa bile uygulanacağını söyleyebiliriz. Düzenleyici kurumun GDPR sonrası Türk veri koruma anlayışını da Avrupa Birliği seviyesine çekmesi elbette olası ve memnuniyet verici bir gelişme olacaktır.

#GDPR, #Insurtech, #DPO, #EU, #BusinessImpactAnalysis, #DPA, #DataErasure, #RighttobeForgotten, #ZeynepStefan

http://www.sigortagundem.com/yazarlar/genel-kapsamli-veri-koruma-kanunu-yazisi/1293341

 

 1,824 total views,  3 views today