5684 sayılı Sigortacılık Kanunu (“Kanun”) kapsamında, Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu (“Kurum”) tarafından hazırlanan “Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik” (“Yönetmelik”) 18 Ekim 2022 tarihinde Resmî Gazete’de yayımlandı ve aynı gün yürürlüğe girdi. Yönetmelik, sigortacılık verisi niteliğindeki bilgilerin işlenmesine, paylaşımına ve aktarımına ilişkin kapsam, şekil, usul ve esasları belirlemektedir.
Sigortacılık Verisi
Yönetmelik temelde sigortacılık verisini tanımlamakta ve sigortacılık verilerinin işlenmesi ve paylaşılmasına ilişkin esasları düzenlemektedir.
Düzenlemeye göre sigortacılık verisi, sigorta sözleşmelerine, sigorta sözleşmesine taraf olan sigorta ettiren ve sigorta şirketlerine, sigorta sözleşmesinden doğrudan veya dolaylı menfaat sağlayan sigortalı, lehtar ve diğer üçüncü kişilere ilişkin veriler ile yanlış sigorta uygulamaları dahil olmak üzere risk değerlendirmesine esas tüm verilerdir.
Yukarıdaki tanım çerçevesinde, sigortacılık verilerinin büyük bir kısmının 6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesinde tanımlanan kişisel veri tanımına gireceğini, bununla birlikte birtakım verilerin ise (örn. sigorta şirketine ilişkin veriler) kişisel veri olarak tanımlanamayacağını belirtmek isteriz.
Sigortacılık Verilerinin Toplanması
Yönetmelik çerçevesinde Sigorta Bilgi ve Gözetim Merkezi (“Merkez”) tarafından oluşturulacak olan veri tabanına (“Veri Tabanı”), sigorta şirketleri ve ilgili kamu kurum ve kuruluşları tarafından sigortacılık verilerinin aktarılacağı ve söz konusu kurum ve kuruluşların bu bilgileri güncel tutmakla yükümlü oldukları düzenlenmektedir. Bununla birlikte, yanlış sigortacılık verileri de sigorta şirketlerinin puanlamasında esas alınmak ve Kurum tarafından ilgili istatistiksel faaliyetlerin yürütülebilmesi amacıyla Veri Tabanı’nda saklanacaktır.
Sigortacılık Verilerinin Paylaşılması
Yönetmelik, sigortacılık verilerinin paylaşımına ilişkin genel esasları da düzenlemektedir. Buna göre sigortacılık verileri, Merkez ile Merkez’in veri paylaşımında bulunduğu ilgilisine göre sigorta, reasürans ve emeklilik şirketleri (“Üye Kuruluş”) arasında imzalanan protokoller ve Kurum’un onayına istinaden paylaşılabilecektir. Yönetmelik’e göre bu protokoller kapsamında veri paylaşımı, ilgili platformlar veya kısa mesaj, mobil uygulama, çağrı merkezi gibi iletişim kanallarıyla sağlanabilecektir.
Yönetmelik’e göre, Veri Tabanı’nda yer alan verilere sınırlı şekilde erişim yetkisi tanınan, ilgisine göre üye kuruluş ve özellikli kuruluş yetkilileri, sigorta acenteleri, sigorta ve reasürans brokerleri, sigorta eksperleri ile diğer kişi ve kuruluşların (“Yetkili Kullanıcı”) erişebileceği alanlar ve içerikler, Kurum’un onayı doğrultusunda Merkez tarafından belirlenecektir. Erişim kurallarını ihlal eden Yetkili Kullanıcı’ların erişim yetkisini sınırlamak veya kaldırmak Merkez’in takdirinde olacaktır.
Üçüncü kişilerle veri paylaşımına ilişkin olarak ise Yönetmelik, Merkez tarafından; sigorta sözleşmeleri ile ilgili poliçe veya hasar verilerinden Kurum tarafından uygun görülenleri, gerekli kimlik doğrulamasının sağlanması veya hak sahipliğinin ispatlanması şartıyla diğer ilgili kişilerin erişimine sunulacağını da düzenlemektedir.
Sigortacılık Verilerinin Kullanımı
Yönetmelik’te sigortacılık verilerinin hangi amaçlar doğrultusunda kullanılacağı da düzenlenmektedir. Buna göre, sigortacılık verileri aşağıdaki amaçlar doğrultusunda kullanılabilecektir;
Sigortacılık sektöründe kamu gözetimi, denetimi ve ekonomik güvenliğin sağlanmasına ve sağlık hizmetleri finansmanının planlanmasına katkıda bulunmak,
Sigorta uygulamalarını takip etmek, sigorta branşlarında uygulama birliğini sağlamak,
Zorunlu sigortaların takibini yapmak,
Yanlış sigorta uygulamalarının önlenmesine katkıda bulunmak,
Sigortalılık oranlarının artırılmasına yönelik çalışmalar yapmak,
Sigortacılık sektörüne ilişkin güvenilir istatistikler üretilmesini sağlamak,
Sigorta puanını hesaplamak.
Bununla birlikte, Merkez’in veri kullanımına ilişkin esaslar Yönetmelik’te ayrıca belirlenmektedir. Bu kapsamda, Merkez tarafından sigortacılık verilerinin, motorlu araç işletenlere ve sürücülere ilişkin verileri alarak bunları genel Veri Tabanı ile eşleştirmek ve ilgili mevzuat kapsamında kamu kurum ve kuruluşlarıyla paylaşmak amacıyla kullanılacağı düzenlenmektedir.
Merkez ve Üye Kuruluşların Sorumluluğu
Yönetmelik kapsamında Merkez ve Üye Kuruluşların sorumluluğu ve bilgi verme yükümlülüğü düzenlenmektedir. Buna göre;
Veri paylaşımına ilişkin güvenli altyapıyı oluşturmak Merkez’in sorumluluğundadır.
Aktarılan verilerin üçüncü şahıslar ile paylaşılmasından kaynaklanan bir zarar meydana gelmesi durumunda Merkez, ilgililere rücu edebilir.
Genel veri tabanında yer alan ve paylaşılan veriler için veri sahibinin açık rızası veya onayı aranan hallerde veri sahibinden açık rıza veya onayın alınmasından ve aydınlatma yükümlülüğünün yerine getirilmesinden veri alışverişi yapan muhatap Üye Kuruluş, Türkiye Sigorta, Reasürans ve Emeklilik Şirketleri Birliği ve nezdindeki alt kuruluşlar, Emeklilik Gözetim Merkezi, Doğal Afet Sigortaları Kurumu, Tarım Sigortaları Havuzu ile sigortacılık ve özel emeklilik alanında faaliyet gösteren kurum ve kuruluşlar (“Özellikli Kuruluş”) ve Yetkili Kullanıcı ile veri sahibinin muhatabı diğer kurum ve kuruluşlar sorumludur.
Yanlış sigorta uygulamalarına taraf kişi ve kuruluşlara ait verilerin genel Veri Tabanı’na kaydedilmesi ve ilgili mevzuat çerçevesinde kurum ve kuruluşlarla bu verilerin paylaşılmasında veri sahibinin açık rızası veya onayı aranmaz.
Veri paylaşımına dahil olan tüm kurum ve kuruluşlar ile bunların çalışanları, görevleri kapsamında haiz oldukları sigortacılık verilerine ilişkin bilgi ve belgeleri gerek görevleri süresince gerek görevleri sona erdikten sonra hiçbir şekilde kullanamaz ve üçüncü kişilere kullandıramaz.
Sigortacılık Verilerine İlişkin Bilgi Talepleri ve Veri Sahibinin Hakları
Veri sahipleri, yanlış sigorta uygulamalarının dışında kalan ve Veri Tabanı’nda yer alan kendilerine ait veriler ile ilgili olarak Merkez’den bilgi isteyebilecektir. Bu bilgi edinme talepleri ilgili olarak ise Merkez, bir defaya mahsus 15 (onbeş) gün uzatma hakkı saklı kalmak kaydıyla kendisine ulaşan talepleri 15 (onbeş) gün içerisinde cevaplamakla yükümlü kılınmaktadır. Buna göre Merkez, bir defaya mahsus alınacak uzatma süresi dahil toplamda en geç talep tarihinden itibaren 30 (otuz) gün içerisinde kendisine gelen sigortacılık verilerine ilişkin talepleri cevaplandırmakla yükümlüdür.
Yönetmelik’te ayrıca Veri Tabanı’nda yer alan verilerin eksik veya yanlış olduğunu düşünen veri sahipleri tarafından söz konusu verilerin değiştirilmesi ile ilgili olarak Merkez’e başvuru yapılabileceği düzenlenmektedir. Buna göre, Veri Tabanı’nda yer alan verilerinin değiştirilmesi konulu veri sahibi başvuruları; Merkez tarafından incelenerek 10 (on) günlük kesin süre içerisinde taleplerin ilgili Üye Kuruluş’a iletilmesine karar verir. Başvuru iletilen Üye Kuruluş, bu talebi 10 (on) günlük kesin süre içerisinde inceler ve talebin kabulüne ya da reddine ilişkin kararını Merkez’e iletir. Merkez ise Üye Kuruluş’un kararını iletmesinden veya 10 (on) günlük kesin sürenin sona ermesinden itibaren 10 (on) günlük kesin süre içerisinde veri sahibine başvurusu hakkında bilgi verir.
Son olarak, Yönetmelik kapsamında yürütülen kişisel veri işleme faaliyetlerinde 6698 sayılı Kişisel Verilerin Korunması Kanunu’na ve ona dayanılarak yürürlüğe konan mevzuatta yer alan usul ve esaslara uyulmasının zorunlu olduğu düzenlenmektedir.
Yazarlar: Burak Özdağıstanli, Ebru Gümüş