Bilindiği üzere 6698 sayılı Kişisel Verileri Koruma Kanunu, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektedir. Bir kurum veya kuruluşun faaliyetlerini gerçekleştirirken topladığı, sakladığı yahut kullandığı verilerin Kanun’da belirtilen işleme şartlarına dayanarak ve hukuka uygun bir şekilde işlenmesi gerekmektedir. Bu kapsamda yurt dışı uygulamalarında sıklıkla karşımıza çıkan ve yakın tarihte Veri Yönetişimi Yasası (“DGA”) olarak bahsi geçen, verinin yaşam döngüsünü titizlikle inceleyen Kanun’un akabinde sektörel bazda düzenlemelerin gelmesi otoritelerce beklenmekteydi. Nitekim geçtiğimiz günlerde Sigortacılık Kanunu’nun 31A ve 31B maddelerine dayanılarak hazırlanan Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik Resmî Gazete’de yayımlanarak yürürlüğe girdi.
Söz konusu Yönetmelik ile birlikte özel hukuk tüzel kişileri, kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşları ve bunların üst kuruluşları ile bilgi merkezlerinden sigortacılık verilerinin elde edilmesi, saklanması, kullanılması gibi sigortacılık verileri üzerinde gerçekleştirilen her türlü işleme; bu verilerin sigorta, reasürans ve sigortacılık faaliyetinde bulunan emeklilik şirketleri ile Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumunca belirlenecek diğer kişi ve kuruluşlarla paylaşılmasına dair usul ve esaslarına ilişkin düzenlemeler getirilmiştir.
I. Sigortacılık Verilerinin Toplanması, Kullanılması ve Paylaşılması
Kişisel veri, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade ederken; Yönetmelik’in 4. maddesinde bahsi geçen sigortacılık verisi “Sigorta sözleşmelerine, sigorta sözleşmesine taraf olan sigorta ettiren ve sigorta şirketlerine, sigorta sözleşmesinden doğrudan veya dolaylı menfaat sağlayan sigortalı, lehtar ve diğer üçüncü kişilere ilişkin veriler ile yanlış sigorta uygulamaları dahil olmak üzere risk değerlendirmesine esas tüm veriler” olarak tanımlanmıştır.
Sigortacılık verisinin, gerçek kişiden ilişiği tamamen kopmayacak bir biçimde değerlendirildiği ve bu değerlendirme bağlamında sigortacılık alanında faaliyet gösteren kurum veya kuruluşlara bazı yükümlülükler yüklendiği görülmektedir. Bu kurum ve/veya kuruluşlar Yönetmelik’te bahsi geçen geçen Merkez (“Sigorta Bilgi ve Gözetim Merkezi”)’e üye olmalı ve Merkez tarafından ortak bir veri tabanında tutulan sigortacılık verilerinin güncel tutulması hususunda dikkatle çalışmalıdır. Üye kuruluşlar aynı zamanda tüm sigortalara ilişkin poliçe üretimlerini, Merkez’den alınan referans numarası ile gerçekleştirmek ve poliçelerde bu numaralara yer vererek sigorta sözleşmelerine ilişkin üretim verilerini eş zamanlı olarak Merkez’e iletmek yükümlülüğü altındadır. Böylece ortak dolaşım sağlandığı gibi dolandırıcılık ve yasa dışı poliçe üretimi faaliyetlerinin önüne geçilmesi amaçlanmaktadır.
Bir diğer husus ise hasar verilerine ilişkindir. Herhangi bir iş veya işlem gerçekleştirilirken hasar verisi tespit edildiğinde üye kuruluşlar kendilerine yapılan her ihbarı Merkez’den alacakları referans numarası ile dosya açarak bildirmek ve yanlış sigorta uygulamaları verilerini de yine Merkez’in oluşturduğu genel veri tabanında tutmak zorundadırlar.
Daha önce de ifade edildiği üzere Veri Yönetişimi Yasası, Avrupa Birliği içerisinde yer alan işletmeler arasında verinin kolay ve hukuka uygun dolaşımını sağlamak amacıyla düzenlenmiştir. Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik kapsamında da üye kuruluşlar dışında yer alan kurum, kuruluş veya veri merkezleri ile veri paylaşımı; ilgili platformlar üzerinden, mesaj, mobil uygulama ve çağrı merkezleri gibi kanallar yoluyla, Kurum’un onayı alındıktan sonra Merkez tarafından imzalanacak olan protokoller aracılığıyla yapılacaktır. Veri Koruma alanında çalışan hukuk aktörleri bunun Kişisel Verileri Koruma Kanunu kapsamında yer alan yurt dışına aktarım hususunda da benzer bir niteliğe sahip olduğunu hatırlayacaktır. Tıpkı bahsi geçen Yönetmelik kapsamında olduğu gibi, uygulamada pek çok kez tartışmaya açılan yurt dışı aktarımı, güvenli ülkeler söz konusu olduğunda rahatlıkla yapılırken güvensiz olarak nitelendirilen ülkeler bağlamında belli protokollere bağlanmıştır.
Yönetmelik çerçevesinde veri paylaşımı kamu yararı söz konusu olduğunda, Kurum tarafından belirlenen usul ve esaslar çerçevesinde ve belirli bir ücret karşılığında da yapılabilecektir. Lakin yanlış sigorta uygulamaları nedeniyle yaratılan veriler, yalnızca Kurum tarafından belirlenen ilgili kişi veya kuruluşların erişimine açılarak dezenformasyonun engellenmesi amaçlanmaktadır.
Sigortacılık uygulamasında yaygın bir şekilde kullanılan “eksper atanması” da yine Merkez’e bildirilerek gerçekleştirilecek bir diğer işlem olarak karşımıza çıkmaktadır. Eksper, Merkez’e bildirilmesinin akabinde ilgili verilere erişerek dosyada yer alan tarafların geçmiş poliçelerini görüntüleyebilecektir. Lakin yalnızca eksperler açısından değil, genel veri tabanında yer alan tüm veriler, erişim hakkı olan yetkili kullanıcılar tarafından dahi rahatlıkla görüntülenemeyecektir. Bu kullanıcıların çalışma konuları ile ilgili olmak kaydıyla erişebilecekleri verilerin içeriği Kurum’un onayı ile Merkez tarafından belirlenecektir. Yetkili kullanıcılar Merkez’in belirlediği erişim kurallarını ihlal ettikleri takdirde Merkez Yönetim Komitesi’nin kararı üzerine Kurum’un onayı ile erişimleri sınırlandırılacak, ihlallerin süreklilik göstermesi durumunda ise yine Komite kararı üzerine Kurum’un onayıyla erişim yetkileri kaldırılacaktır. Bu kişilerin eksper ya da bilirkişi olması halinde kendilerine ilgili süre zarfında Merkez sistemleri üzerinden görevlendirme yapılmayacaktır. Sigorta sözleşmeleri ile ilgili poliçe ve hasar verilerinden Kurumca uygun görülenler Merkez tarafından gerekli kimlik doğrulamasının sağlanması ya da hak sahipliğinin ispatlanması şartıyla ilgili diğer kişilerin erişimine de sunulacaktır. Bu şekilde belirlenen kişilere söz konusu verilerin ücretsiz sağlanması ya da ücret belirlenmesi Merkez Yönetim Komitesi tarafından karara bağlanacaktır.
II. Sigorta Bilgi ve Gözetim Merkezi’nin Faaliyet Kapsamı
Merkez’e üye olan kuruluşlar, eksperler, bilirkişiler ve yetkili kişiler Kurum tarafından münhasıran belirlenen metotlar çerçevesinde raporlar hazırlayacaktır. Bu raporların asıl amacı söz konusu Yönetmelik ve ilgili mevzuata aykırı uygulamaların belirlenerek Kurum’a bildirilmesidir. Bu kuruluşların talebi halinde Merkez, ticari sır ve kişisel verilerin korunması hususunda bir ihlal teşkil etmemesi kaydıyla özel bilgi raporları üreterek paylaşabilecektir.
Aynı zamanda söz konusu Merkez’in görevi sebebiyle elde ettiği veriler anonimleştirilerek raporlanabilecek, bu raporlar da kamuya açık bir biçimde yayımlanacaktır. Bilgi toplumu özelinde de değerlendirilen bilgilendirmeye yönelik çalışmaların yapılacağı da Yönetmelik kapsamında düzenlenmiştir. Veri paylaşım ağının büyüklüğü beraberinde teknik bir sorumluluk getirecektir. Bu teknik sorumluluğu da yine Merkez üstlenmektedir.
III. Sorumluluk ve Bilgi Verme Yükümlülüğü
Yönetmelik’in 23. ve 24. maddelerinde üye kuruluşların sorumlulukları ile bilgi verme yükümlülüklerine atıfta bulunulmuştur.
Özetle; üye kuruluşlar ve yetkili kuruluşların verinin sağlıklı dolaşımını sağlayabilmek adına Merkez tarafından gerçekleştirilen her türlü sistemsel değişiklik ile teknik bakıma uyum sağlamak, talep edilen belgeleri sunarak destek olmak; genel veri tabanına yükledikleri verilerin doğru, eksiksiz, tutarlı ve zamanında aktarılmış olduğu hususunda emin olmak, bu verileri üçüncü kişiler ile paylaşmamak ve yetkisiz üçüncü kişilerin erişimine karşın ilgili önlemleri almış olmak; genel veri tabanında bulunan veriler ilgili kişilerden açık rıza alınmasını gerektiriyorsa açık rıza almak, gerekli aydınlatma yükümlülüğünü gerçekleştirmiş olmak ve veri sistemlerinde yaşanan sistemsel hata ya da aksaklıklardan ve kayıtlı verilerin güvenliği bağlamında önlemler almış olmak noktasında sorumlu tutulacaklardır.
IV. Veri Sahiplerinin Hakları
Veri sahibi ilgili gerçek kişilerin tıpkı KVKK’da hüküm altına alındığı gibi birtakım hakları bulunmaktadır. İlgili kişiler, yanlış sigorta uygulamalarına ilişkin veriler dışında kalan ve genel veri tabanında yer alan kendilerine ait veriler hakkında Merkez’den bilgi isteyebilirler. Merkez, bilgi edinme taleplerini en geç otuz gün içerisinde karşılamak zorundadır.
Aynı zamanda genel veri tabanında yer alan verilerin eksik veya yanlış olduğu iddiasıyla veri sahibi tarafından Merkez’e başvurulması halinde Merkez, başvuruyu inceleyerek gerekmesi halinde veri sahiplerinin taleplerinin on günlük kesin süre içinde ilgili üye kuruluşa iletilmesine karar verebilir. Başvurunun ilgili kuruluşa iletilmesi halinde bu kuruluş, kendisine iletilen talebi on günlük kesin süre içinde inceler; incelemenin akabinde talebin kabulüne karar vererek verileri düzeltip Merkez’e düzeltme işlemini bildirir veya talebin reddine karar vererek gerekçeli açıklamasıyla birlikte ret kararını Merkez’e iletebilir. Merkez, ilgili kuruluşun kararının kendisine iletilmesinden veya on günlük kesin sürenin sona ermesinden sonra on günlük kesin süre içinde veri sahibine başvurusunun sonucu hakkında bilgi verebilir.