• EN

Sigorta şirketleri doğası gereği hizmet verdiği kişilere ilişkin birçok veriyi saklamakta, işlemekte ve aktarmaktadır. Bunun bir sonucu olarak, 6698 sayılı Kişisel Verilerin Korunması Hakkında Kanun’un (‘KVKK’) yürürlüğe girmesinden ve Türk hukuk düzeninde meydana getirdiği değişikliklerden en çok etkilenen sektörlerden biri de sigorta sektörü olmuştur. Bu makalede, KVKK ve alt mevzuatının sigorta sektörüne etkileri açıklanacaktır.

Her veri sorumlusu ve/veya veri işleyen gibi, sigorta şirketleri de artık kişisel verileri KVKK (hatta bazı durumlarda GDPR) ve alt mevzuatıyla uyumlu bir şekilde işlemekle yükümlüdür. Örneğin;

  • Sigorta şirketleri, kişisel verileri KVKK madde 5/2’deki istisnalar haricinde ancak ilgili kişinin açık rızasına dayanarak işleyebileceklerdir.
  • Madde 6 uyarınca, (bunlarla sınırlı olmamak üzere) etnik köken, ırk, din, mezhep, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirlerine ilişkin veriler ile biyometrik ve genetik veriler özel nitelikli kişisel veri kapsamına girmektedir ve bu veriler sigorta şirketi tarafından sadece açık rızanın varlığı durumunda hukuka uygun biçimde işlenmiş sayılır. Buna ek olarak sağlık ve cinsel hayata ilişkin verilere 6. maddenin 3. fıkrası uyarınca ayriyeten koruma sağlanmıştır.
  • Kişisel verilerin silinmesi, yok edilmesi, anonim hale getirilmesi ve aktarılmasına ilişkin süreçler, 7., 8. ve 9. maddelere ve sair mevzuata uygun şekilde yürütülmelidir.
  • Veri sorumlusunun, veri işleme süreçlerine ilişkin hususlarda ilgili kişileri aydınlatma yükümlülüğü bulunmaktadır (madde 10).
  • İlgili kişiler, madde 11’de sayılmış olan hakları haizdir.
  • KVKK madde 16 ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’in konu aldığı ‘kişisel veri saklama ve imha politikası hazırlama yükümlülüğü’, sigortacı veri sorumlularını da kapsamaktadır. Bu politikanın hazırlanması, hukuki sorumluluğun bertaraf edilmesi için yeterli olmayıp, aynı zamanda politikada öngörülmüş olan koşullara ve sürelere riayet etmek de hukuka uygun biçimde veri işleme faaliyeti yürütmek için son derece önemlidir.

    Sigorta süreçlerinde ilgili kişilerden birçok veri istenmektedir. Bu verilerin bir kısmının kullanım amacı, ilgili hizmetin veya ilgili verinin kullanılma sürecinin sona ermesiyle birlikte sona erdiği için bu verilerin anonim hale getirilmesi, silinmesi veya yok edilmesi gerekecektir. Sigorta şirketleri, KVKK, Yönetmelik ve sair mevzuat çerçevesinde bu verileri anonim hâle getirme, silme veya yok etmekle yükümlüdür.
  • Sigorta şirketleri, veri sorumlusu sıfatıyla işledikleri ve/veya sakladıkları verilerin güvenliği için kendilerinden beklenen gerekli önlemleri almak zorundadır.

Bu düzenlemelere ek olarak, kişisel verilerin korunmasına ilişkin önemli bir diğer düzenleme ise 5684 sayılı Sigortacılık Kanunu’nun 31/A maddesidir. ‘Sır saklama yükümlülüğü’ başlıklı bu madde aşağıdaki gibidir:

Sır saklama yükümlülüğü

MADDE 31/A – (1) Bu Kanunun uygulanmasında ve uygulanmasının denetiminde görev alanlar, bu Kanuna tâbi kuruluşların görevlileri ve yetkilileri, bu Kanuna tâbi kişiler ile bunların yanında çalışanlar ve dışarıdan hizmet alımı yoluyla sigortacılık sektöründe iş görenler, sıfat ve görevleri dolayısıyla öğrendikleri bu Kanun kapsamında faaliyet gösteren kişi ve kuruluşlar ile bunların iştirakleri, kuruluşları ve sigorta sözleşmesi ile ilgili kişilere ait sırları bu konuda kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamaz, kendilerinin veya başkalarının yararlarına kullanamaz. Bu yükümlülük söz konusu sıfat ve görevlerin sona ermesinden sonra da devam eder.

(2) Ancak, gizlilik sözleşmesi yapılması ve sadece risk değerlendirmesi amacıyla kullanılmak üzere sigorta şirketi, reasürans şirketi ve emeklilik şirketlerinin kendi aralarında doğrudan doğruya ya da Sigorta Bilgi ve Gözetim Merkezi vasıtasıyla yapacakları her türlü bilgi ve belge alışverişi sırasında sigorta şirketi, reasürans şirketi ve emeklilik şirketlerine ya da sigorta sözleşmesi ile ilgili kişilere ait, yanlış sigorta uygulamaları dâhil, sır niteliğindeki bilgilerin öğrenilmesi ve paylaşımı SIR SAKLAMA YÜKÜMLÜLÜĞÜ DIŞINDADIR.’

Düzenlemeden de anlaşıldığı üzere, sigorta sektöründe yer alan neredeyse her kişi ve kuruma, bu madde vasıtasıyla sır saklama yükümlülüğü getirilmiştir. Ancak maddenin 2. fıkrası, risk değerlendirmesi gibi bazı amaçların gözetilmesi durumunda, sır saklama yükümlülüğünü istisnai olarak kaldırmıştır.

Kişisel verilerin korunması ve sigorta şirketi arasındaki ilişkiye ilişkin en sorunlu noktalardan biri, sağlık ve hayat sigortası sözleşmelerinin kuruluşu ve sürdürülüşünde ortaya çıkmaktadır. Kişisel verilerin aktarılması, paylaşılması, silinmesi, yok edilmesi ve işlenmesi, sağlık ve hayat sigortalarında ayriyetten önem arz etmektedir. Çünkü sağlık ve hayat sigortalarında riziko, sağlığın veya hayatın kaybedilmesidir. Bir kişi rizikonun gerçekleşmesine ne kadar yakınsa, o kişinin poliçesi sigorta şirketi için o kadar riskli olmaktadır.

Örneğin, bir kişinin yaptırdığı tahlillerin sonucunda şeker hastası olduğunun ortaya çıktığı ve bu sağlık verisinin tahlili uygulayan hastanenin veri tabanında saklandığını düşünelim. Bu kişi sağlık sigortası yaptırmak için bir sigorta şirketine başvurduğunda, eğer bu kişinin hassas kişisel verisi/sağlık verisi niteliğinde olan kan değerleri sigorta şirketinin eline geçerse, sigorta şirketi o kişiyi sigortalamak istemeyecek ya da sigortalamayı sağlıklı bir insana nazaran çok daha yüksek miktarda bir poliçe bedeli üzerinden yapacaktır. Bir kişiye sağlık durumu sebebiyle farklı bir muamele yapmak, Anayasa’nın 10. maddesinde öngörülmüş olan eşitlik ilkesine aykırılık teşkil edecektir. Ancak sigorta şirketleri de, iş kollarına ilişkin kendilerini güvence altına almalarına yardımcı olacak bilgileri almak ve bu veriler üzerinden hareket etmek istemektedirler. Bu husustaki belirsizlik halen sürmektedir.

Sonuç olarak, kişisel verilerin korunmasına ilişkin hukuki düzenlemeler, birçok sektörü olduğu gibi sigorta sektörünü de derinden etkilemiştir. Sigorta şirketlerinin iş yapabilmeleri için bir kısmı özel nitelikli veri olan birçok kişisel veriyi işleyip aktarmaları gerektiği şüphesizdir. Başta KVKK olmak üzere Türk kişisel verilerin korunması mevzuatı, sigorta şirketlerinin iş süreçlerinde ilgili kişilerin kişisel verilerinin güvenliğinin sağlanması için detaylı birçok düzenleme yapmıştır. Sigorta şirketlerine, veri sorumlusu ve/veya veri işleyeni olarak yerine getirmeleri gereken birçok yükümlülük getirilmiştir ve sigorta sektörünün bu yeni düzenleme ve yükümlülüklere uyum süreci halen devam etmektedir.

Av. Dr. Mert VAN - Stj. Av. Benay ÇAYLAK