Kişisel verilerin paylaşımı sigortacıları nasıl etkiler?

“Kişisel veriler” ve bunların “korunması” son zamanlarda en sık duyduğumuz konulardan biri haline gelmiş bulunuyor. Ancak kişisel verilerin nasıl korunduğu değil, tam tersine bunların nasıl  “genel” nitelik kazandığı konuşuluyor. Bu ayki yazımızda TBMM tarafından 24 Mart 2016 tarihinde kabul edilen 6698 sayılı “Kişisel Verilerin Korunması Kanunu” ile getirilen düzenlemenin sigortacılık alanında ne anlama geleceği ve sonuçlarının neler olabileceği hakkında bazı tahminlerde bulunmaya çalışacağız. “Tahmin” diyoruz çünkü ülkemizde yasaların hangi anlama gelen hükümler içerdiği o yasa çıkarılırken netlik kazanmıyor ve zamanla yeni anlayış ve yorumlar ortaya çıkabiliyor. Bu bir ölçüde hukukun uygun gördüğü ve özendirdiği bir durumdur. Yasanın bir süre sonra çağdışı kalmaması ve yeni hallere de uygulanabilecek kadar esnek olması lazım gelir. Ancak bir yere kadar… Ülkemizde yasalar sonradan bir miktar sulandırılabilecek, esnetilebilecek şekilde değil, deyim yerinde ise baştan, doğal yapısı gereği “su ile zenginleştirilmiş” olarak oluşturulmaktadır.

IRK VE SAĞLIK ÖZEL NİTELİKLİ KİŞİSEL VERİ SAYILIYOR
“Kişisel veri”, bir kişiye ilişkin her türlü veridir. Verinin ilişkin bulunduğu kişinin “belirlenebilir” olması yeterlidir. Verinin o anda kime ait olduğunun bilinmemesi, o veriyi kişisel veri olmaktan çıkarmaz. Yeter ki aidiyet belirlenebilir olsun.
Kişisel veriler içinde özel bir kategoriyi “özel nitelikli kişisel veriler” oluşturmaktadır. Özel nitelikli kişisel veri, “ırk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep, diğer inançlar, kılık ve kıyafet, dernek, vakıf veya sendika üyeliği, sağlık, cinsel hayat, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verilerdir.  Kişinin biyometrik ve genetik verileri de özel nitelikli kişisel veri sayılmaktadır.
Yukarıdaki tanımlar dikkate alındığında adres, telefon numarası, bir kimsenin kullandığı şifreler, annesinin ilk soyadı, doğum tarihi, vatandaşlık numarası, pasaport numarası yalnızca kişisel veri sayılacaktır.
Buna karşılık, sakalının olduğu, fötr şapka taktığı, dar pantolon giydiği, mason olduğu, beyaz tenli veya çikolata renkli olduğu, Çerkez olduğu, Şii olduğu, Sigorta Tatbikatçıları Derneği’ne üye olduğu, sapık olduğu, Alzheimer olduğu, pedofiliden hüküm giydiği gibi hususlar özel nitelikli kişisel veri olarak değerlendirilecektir.
Kişinin kılık ve kıyafetinin “özel nitelikli” kişisel veri sayılmış olması şu bakımdan duraksamaya yol açmaktadır: Kişi toplum içine “çıplak” vaziyette değil, belirli bir giyim ve görüntü ile çıktığına  ve bunu da kural olarak kendi serbest seçimi ile yaptığına göre, bizzat kendisi kılık ve kıyafetini alenileştirmiş demektir. Yasa, öyle görünüyor ki, bu durumun kayda alınmasını ve fişlemeyi önlemek istemiştir.
Bir kimsenin “ırkı” acaba ne demektir? Bu konuda netlik olmadığı izlenimi edinilmektedir. Irk, “ortak genetik ve fizyolojik özellikler taşıyan insanların ayırt edici karakterleri”, “bir canlı türünde aynı karakteri taşıyan canlıların oluşturduğu alt bölüm”, “soy”, “aynı kalıtsal karakterleri taşıyan, aynı soydan gelme bireyler topluluğu” biçiminde tanımlanmaktadır. Yasada ırktan başka etnik kökenin de özel nitelikli kişisel veri olduğunun altı çizilmektedir.  Irk ile etnik kökenin farklı hususlar olduğu, arada başlıca şu farkların bulunduğu belirtilmelidir: Etnik köken dünyanın değişik bölgeleri boyunca öğrenilen bir kültürel davranıştır. Buna karşılık ırk kavramında, öğrenilenler ve davranışlar önemli değildir. Irk doğumda miras alınır. İnsanlar etnik kökenini değiştirip, farklı seçimler yapabilir  ve bazı inançları benimseyebilir. Irk ise değiştirilemez.

VAR OLAN HASTALIKLAR İÇİN GEN HARİTASI İSTENEBİLİYOR
Yasa genetik ve biyometrik verileri de özel nitelikli kişisel veri kategorisi içinde değerlendirmiştir.
* Genetik veriler canlının, kalıtsal olan ve kalıtsal olmayan DNA özellikleridir. Bu veriler; biyoloji biliminin yanı sıra, bilgisayar mühendisliği ve istatistiği de kullanan “biyoinformatik biliminin” alanına girmektedir. Biyoinformatik, biyolojik bilginin bilgisayar yardımı ile incelenmesi ve işlenmesidir. Genetik veriler, türün bireyleri arasında çeşitlilik gösterir ve  bazı bireylerin bazı hastalıklara yatkın olmasına veya bazı kalıtsal hastalıklarla doğmasına sebep olur. Görülen hastalıklar ile sorumlu gen veya sorumlu mutasyonlar arasındaki bağlantıyı kurabilmek için yoğun biyoinformatik çalışmaya ihtiyaç vardır. Bir insanın genomuna biyoinformatik analiz uygulayarak hangi hastalıkları taşıdığını veya hangi hastalıklara yatkın olduğunu tayin etmek mümkündür.
* Biyometrik kimlik tanıma sistemi, avuç içi damar izi veya parmak damar izi, DNA ve iris doğrulama gibi kullanıcının fiziksel ve davranışsal özelliklerini tanıyarak kimlik saptamak üzere geliştirilmiş bilgisayar kontrollü, otomatik sistemler için kullanılan genel bir terimdir. Kart, şifre veya pin numarası kullanan diğer tanıma yöntemlerine oranla çok daha güvenilir oldukları için tercih edilmektedirler.
Sigorta sözleşmesinin yapılması sırasında sigorta ettirenden gen analizi yaptırması veya evvelce yapılmış gen analizi sonuçlarını bildirmesinin istenip istenemeyeceği önemli ve tartışmalı bir konudur. Var olan hastalıkların belirlenmesi amacıyla yapılan gen analizinin sonuçlarının paylaşılması istenebilir. Buna karşılık ileride ortaya çıkabilecek hastalıklara yatkınlığa ilişkin belirleme içeren gen analizlerinin paylaşılmasının istenememesi gerekir.

BELİRLİ ŞARTLARDA AKTARILABİLİYOR
Kişisel veriler otomatik olan veya olmayan yollarla işlenebilmektedirler. Kişisel verilerin işlenmesi, bunların elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması veya kullanılmasının engellenmesi gibi, bu veriler üzerinde gerçekleştirilen her türlü işlemdir.

VERİNİN PAYLAŞILDIĞI KİŞİNİN BİLGİSİ BİLE İSTENEBİLİYOR
Kişisel verilerin elde edilmesi sırasında, veriyi alan taraf kimliği, verilerin hangi amaçla işleneceği, işleme sonrasında kimlere hangi amaçla aktarılabileceği, hangi hukuki sebeple veri topladığı, veri toplarken hangi yöntemi kullandığı ve veri sahibinin hakları (kişisel verisinin işlenip işlenmediğini öğrenme, işlenen veriler hakkında bilgi isteme, veri işlenme amacını ve verilerin bu amaca uygun biçimde kullanılıp kullanılmadığını öğrenme, verilerin aktarıldığı üçüncü kişiler, eksik veya yanlış veri işleme halinde düzeltilmesini isteme, şartları varsa kişisel verilerinin silinmesini veya yok edilmesini isteme, düzeltme ve silme veya yok etme işlemlerinin verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, işlenen veriler üzerinde otomatik sistemler aracılığıyla analiz yapılarak aleyhine bir sonuç çıkarılması halinde buna itiraz etme, hukuka aykırı veri işlemeden kaynaklanan zararların giderilmesini isteme) konularında bilgilendirme yapmakla yükümlüdür.

VERİLER SADECE GEREKTİĞİ KADAR TUTULABİLİYOR
Veriler işlenirken hukuka ve dürüstlük kurallarına uyulması, verilerin doğruluğunun ve güncelliğinin sağlanması, açık ve meşru amaçlar için veri işlenmesi, veri hangi amaçla işlenmekte ise o amaçla sınırlı ve ölçülü hareket edilmesi, işlenen verilerin ancak gerekli olan süre boyunca muhafaza edilmeleri gerekmektedir.

İSTİSNALAR DA BULUNUYOR
Kişisel verilerin işlenebilmesi ilgilinin rızasına bağlıdır.  Ancak bunun istisnaları da söz konusudur. Sigortacılar bakımından özellikle önem taşıyan istisnalar şunlardır:
* Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ilişkin verilerin işlenmesinin gerekli bulunması
* Sigortacının hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
* Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması
* İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, sigortacının meşru çıkarları için veri işlenmesinin zorunlu olması
* Verinin ilgili kişi tarafından alenileştirilmiş olması
Sigortacılık uygulamasında kişisel verilerin işlenmesinin sigortacının edimlerini yerine getirmesi bakımından hangi durumlarda zorunlu olduğu ve sigortacının meşru çıkarları bakımından gerekli bulunacağı dikkatle incelenmelidir. Ancak aşağıda da göreceğimiz üzere “sağlığa ilişkin veriler” özel nitelikli kişisel veri kategorisine dahil bulunduğundan, bu tür verilere ilişkin hükümlere tabidirler.

SAĞLIK VE CİNSEL HAYAT VERİSİ ONAYSIZ İŞLENEBİLİYOR
Özel nitelikli verilerin işlenmesinde de rıza (onay) koşulu temel kural olmakla birlikte, “sağlık” ve “cinsel hayat” dışındaki veriler yasada belirtilen hallerde onay olmaksızın da işlenebilir. Sağlık ve cinsel hayata ilişkin veriler ise “sağlık hizmetlerinin planlanması ve yönetimi” amacıyla onay koşulu aranmaksızın işlenebilecektir. Bu hüküm sağlık giderleri sigortası açısından değerlendirilmelidir.

KULLANILAN VERİ SAKLANAMIYOR
İşleme sonrasında, işlemeyi gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin silinmesi veya yok edilmesi veya anonim, (kimliği belirli veya belirlenebilir bir kimse ile hiçbir şekilde ilişkilendirilemeyecek) hale getirilmesi lazımdır.

VERİNİN AKTARILMASI DA ONAYA TABİ
Kişisel verilerin işlenmesi gibi, bunların “aktarılması” da kural olarak “onay” koşuluna bağlıdır. Bununla birlikte, burada da istisnalar mevcuttur. Bu istisnalar verilerin işlenmesi hakkında öngörülen istisna halleri ile büyük ölçüde örtüşmektedir.
Sigortacılar bakımından önem taşıyan bir diğer husus da kişisel verilerin “yurt dışına” aktarılmasıdır. Bu işlem de kural olarak ancak ilgilinin onay vermesi halinde mümkündür. Bununla birlikte, yasa onay aranmasının gerekli olmayacağı halleri de saymıştır.

VERİLERİN GÜVENLİĞİNDEN SİGORTA ŞİRKETİ SORUMLU
Veri işleyen sigorta şirketlerinin veri işlenmesinin hukuka aykırı şekilde yapılmasını önlemek; kişisel verilere hukuka aykırı erişimi önlemek; verileri muhafaza etmek için her türlü önlemi almaları gerekmektedir. Aksi halde sorumlu olurlar.
Verilerin açıklanması veya amaç dışında kullanılması da sorumluluğu gerektirir. Veriler hukuka aykırı biçimde başkası tarafından elde edilirse, durumun derhal ilgiliye ve kamu otoritesine bildirilmesi de zorunludur.