Makale
Sigorta sektöründe kişisel verilerin ve özel nitelikli sağlık verilerinin işlenmesi ile bu verilerin yurt içi ve yurt dışına aktarılması süreçleri, 6698 sayılı KVKK ve 2024 Reform Yasası kapsamında hukuki bir çerçeveye oturtulmuştur. Bu makale, sigortacılık faaliyetlerindeki veri işleme şartlarını ve aktarım usullerini incelemektedir.
Sigortacılıkta Veri İşleme Şartları ve Aktarım Süreçleri
Sigortacılık faaliyetlerinin temelinde, riskin doğru bir şekilde değerlendirilmesi ve poliçelerin oluşturulması yatar. Bu süreçlerin yürütülebilmesi için sigorta şirketlerinin çok sayıda kişisel veriyi ve özel nitelikli kişisel veriyi hukuka uygun şekilde işlemesi zorunludur. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, sigorta şirketlerinin yürüttüğü bu faaliyetler belirli hukuka uygunluk şartlarına dayanmalıdır. İşleme şartlarının doğru tespit edilememesi, hem hukuki yaptırımları beraberinde getirmekte hem de sigortalılar nezdinde güven kaybına yol açmaktadır. Bu bağlamda, sigorta sözleşmelerinin kurulması ve ifası süreçlerinde verilerin işlenmesi, özel nitelikli sağlık verilerinin KVKK Reformu sonrasındaki durumu ve karmaşık veri akışlarının yaşandığı yurt içi ve yurt dışı aktarım süreçleri, sektördeki veri sorumluları açısından titizlikle yürütülmesi gereken temel hukuki adımları oluşturmaktadır.
Sigortacılıkta Kişisel Verilerin İşlenme Şartları
Sigorta şirketleri tarafından kişisel verilerin işlenmesinde, KVKK'nın 5. maddesinde sayılan hukuki işleme şartlarına uyulması esastır. Uygulamada sigorta sözleşmesinin hazırlık aşamasında, teklif alınması ve risk değerlendirmesi yapılması gibi süreçlerde bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması şartına sıklıkla başvurulmaktadır. Bunun yanı sıra, sigorta şirketlerinin Sigortacılık Kanunu ve ilgili alt mevzuat gereğince kamu kurumlarına raporlama yapması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartına dayanmaktadır. Özellikle kredi risk değerlendirmelerinin yapılması gibi hallerde, ilgili kişinin temel haklarına zarar vermemek kaydıyla veri sorumlusunun meşru menfaati işleme şartı da gündeme gelebilmektedir. Ancak, açık rızanın sigortacılık hizmetinin sunulması için bir ön şart olarak dayatılması, yani hizmetin açık rıza şartına bağlanması Kanun'a aykırılık teşkil edeceğinden, rızanın özgür iradeyle verilmiş olması büyük bir hukuki hassasiyet gerektirir.
Özel Nitelikli Kişisel Verilerin İşlenmesi ve KVKK Reformu
Can sigortaları, özellikle hayat ve sağlık sigortaları bağlamında özel nitelikli kişisel verilerin işlenmesi sektörün ayrılmaz bir parçasıdır. Sigortalı adayının mevcut veya geçmiş hastalık öyküsü, genetik test sonuçları ve maluliyet durumunu gösteren kişisel sağlık verileri, riskin belirlenmesi ve poliçe primlerinin hesaplanması için kritik önem taşır. 2024 yılında yürürlüğe giren KVKK Reform Yasası öncesinde, sağlık verilerinin işlenmesi büyük ölçüde açık rızaya tabiydi ve bu durum uygulamada ciddi tıkanıklıklara yol açmaktaydı. Ancak yapılan yasal değişikliklerle, özel nitelikli kişisel verilerin işlenme şartları genişletilmiş ve sigorta şirketlerinin faaliyetlerini kolaylaştıran yeni hukuki zeminler oluşturulmuştur. Artık sigorta şirketleri, poliçe tazminat süreçleri ve uyuşmazlıkların çözümü gibi durumlarda, bir hakkın tesisi, kullanılması veya korunması için zorunluluk ve kanunlarda açıkça öngörülme gibi istisnai sebeplere dayanarak açık rıza almaksızın da sağlık verilerini hukuka uygun bir şekilde işleyebilme imkânına kavuşmuştur.
Sigortacılık Faaliyetlerinde Yurt İçi Veri Aktarımı
Sigortacılık sektöründeki yoğun veri akışı, verilerin yurt içinde farklı aktörlerle paylaşılmasını zorunlu kılmaktadır. Kişisel verilerin yurt içinde aktarılması, kural olarak ilgili kişinin açık rızasına bağlı olsa da sigorta sözleşmesinin ifası kapsamında açık rıza aranmaksızın da gerçekleştirilebilir. Sigorta şirketlerinin poliçe düzenleme, hasar tespiti ve tazminat ödeme süreçlerinde acenteler, brokerler, eksperler ve asistans şirketleri ile veri paylaşımı yapması hukuka uygunluk sebepleri dâhilindedir. Sigortacılık mevzuatı çerçevesinde, şirketlerin risk değerlendirmesi amacıyla Sigorta Bilgi ve Gözetim Merkezi (SBM) üzerinden gerçekleştirdiği paylaşımlar ve şüpheli hasar bildirimleri de kanunlarda açıkça öngörülme ve hukuki yükümlülüklerin yerine getirilmesi şartları çerçevesinde hukuka uygun sayılmaktadır. Bu süreçte aktarılan verilerin amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine sıkı sıkıya bağlı kalınarak işlenmesi gerekmektedir.
Yurt Dışına Veri Aktarımı ve Reasürans Uygulamaları
Küresel nitelikteki sigortacılık faaliyetleri ve özellikle riskin uluslararası alanda dağıtılmasını sağlayan reasürans işlemleri, kişisel verilerin yurt dışına aktarılmasını gerektirmektedir. KVKK Reform Yasası ile yurt dışına veri aktarımı rejimi Avrupa Birliği Genel Veri Koruma Tüzüğü'ne (GDPR) uyumlu hale getirilerek açık rızaya olan mutlak bağımlılık ortadan kaldırılmıştır. Yenilenen mevzuat kapsamında, sigorta ve reasürans şirketleri yurt dışına veri aktarımında aşağıdaki alternatif hukuki mekanizmaları kullanabilir:
- Yeterlilik kararı bulunması: Aktarım yapılacak ülkenin veya sektörün Kişisel Verileri Koruma Kurulu tarafından güvenli kabul edilmesi.
- Standart sözleşmelerin akdedilmesi: Kurul tarafından belirlenen güvence hükümlerini içeren standart sözleşmelerin imzalanarak bildiriminin yapılması.
- Bağlayıcı şirket kuralları: Çok uluslu sigorta grupları arasında Kurul onaylı bağlayıcı kuralların uygulanması.
- Arızi (istisnai) durumlar: Yurt dışı seyahat sigortalarında fiili imkânsızlık gibi süreklilik arz etmeyen tekil olaylara özgü zorunluluk hallerinin bulunması.
Bu yenilikler, uluslararası yazılımlar kullanan ve yurt dışındaki reasürörlere veri aktaran sigorta şirketlerinin uyum süreçlerini büyük ölçüde kolaylaştırmıştır.