Sigortacılığın ‘kişisel veri’ imtihanı

Sigortacılığın ‘kişisel veri’ imtihanı

Her zamanın ayrı öncelikleri ve önemli saydığı konular vardır. Yeni binyılın hemen öncesinden bu yana hukuk alanında özellikle önem kazanmış olan konulara örnek vermek gerekirse, “gizlilik anlaşmaları” (sırların saklanması) ve “veri güvenliği” (kişisel verilerin korunması) ilk sıralarda sayılabilir.

Günümüzde bir iş ilişkisi kurmak üzere birbirleriyle görüşmeye başlamak isteyen kişiler, işin gereği olarak karşılıklı bilgi alışverişine girmeden önce mutlaka bir gizlilik anlaşması yapma gereğini duymakta ve bu ilk adım geride bırakılmadan ilerleme sağlayamamakta daha doğrusu bundan kaçınmaktadırlar. Taraflarca önerilen gizlilik anlaşması taslaklarının içerdiği ceza koşulları ve tazminat yükümlülükleri bazı hallerde caydırıcı etki de meydana getirmekte ve taraflar gizlilik anlaşması koşullarını görüşüp sonuca bağlayamadıkları için bir türlü asıl iş anlaşmasına sıra gelmemektedir.

Yapılan sözleşmelerde, kişisel verilerin saklı tutulmasına yönelik hükümler de gittikçe yaygınlaşmıştır. Sözleşenine ait bazı kişisel verileri kullanmak zorunda olan bir gerçek veya tüzel kişi, diğer tarafın bu verilerin aktarılmasına, işlenmesine ve gerektiğinde başkalarıyla paylaşılmasına izin vermesi lazım geldiğini hesaba katmak ve bu hususa dikkat göstermek durumundadır.

Çağımız bilgi çağıdır. Verinin işlenmesi, veri sahibine veya başkalarına çok önemli yararlar sağlayabildiği gibi, veri sahibinin çok aleyhine sonuçlara da yol açabilmektedir.

YASALARLA KORUNUYOR

Avrupa Birliği ve dünyadaki birçok ülke verilerin korunmasına ilişkin olarak özel hukuksal düzenlemeler yapmışlardır. Türkiye ise bu alanda öncü ülkeler arasında yer almamaktadır. Bizim yasal düzenlememiz AB’nin eski (yerini yeni bir düzenlemeye bırakmış) kurallarından esinlenilerek yapılmıştır. Dolayısıyla en son kuralları değil, değişikliğe uğramış kuralları yürürlüğe koymuş bulunmaktayız. Ancak, yeni kuralların kişisel verilerin korunması alanında daha da sıkı bir koruma öngördüğü dikkate alınırsa, hemen bu en sıkı kurallarla yola çıkmanın mı yoksa hafiften ağıra doğru alışarak sistemi yerleştirmenin mi daha uygun olacağı tartışılabilir

Kişisel verilerle ilgili mevzuatın öngördüğü en temel kurallardan biri, kişisel verilerin işlenmesinin belirli kurallara bağlanmış olmasıdır. Bu kuralları kısaca ele almadan önce, “kişisel veri” ve “kişisel verilerin işlenmesi” kavramlarını netleştirmemiz gerekmektedir.

  • Kişisel Verilerin Korunması Kanunu (KVKK) m.3(d) uyarınca kişisel veri “kimliği belirli (olan) veya belirlenebilir (bulunan bir) gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir (tanımda parantez içinde yer alan sözcükler kavramı daha açık bir biçimde anlatabilmek için tarafımızdan eklenmiştir).
  • “Kişisel verilerin işlenmesi” kavramı ise KVKK m.3(e )’de “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak tanımlanmıştır.

Yukarıdaki tanımlar çerçevesinde, mesela gerçek kişilerin isim ve telefon numaralarının veya konut adreslerinin bir internet sitesinde yayınlanması, kişisel verilerin kısmen veya tamamen otomatik yollarla işlenmesi sayılacaktır.

SİGORTALININ RIZASI HER ZAMAN GEREKLİ DEĞİL

KVKK, “Genel ilkeler” başlıklı 4. maddesinde “Kişisel verilerin, ancak kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceğini” (fıkra 1) belirtmekte ve kişisel verilerin işlenmesinde

a) Hukuka ve dürüstlük kurallarına uygun olma

b) Doğru ve gerektiğinde güncel olma

c) Belirli, açık ve meşru amaçlar için işlenme

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulması zorunluğunu öngörmüş bulunmaktadır (fıkra 2).

Öte yandan, KVKK m.5 fk.1 uyarınca “kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.” Açık rıza, belirli bir konuya ilişkin olarak ilgili kişinin bilgilendikten sonra özgür iradesiyle açıkladığı rızadır. Açık rıza koşulunun yerine gelmesi, diğer eksiklikleri düzeltici etkiye sahip değildir. KVKK m.4 fk.2’de sayılmış olan ilkelerin her halde dikkate alınması gerekmektedir.

KVKK kişisel verilerin işlenmesini kural olarak onay koşuluna tabi tutmuşsa da, yasanın öngördüğü (KVKK m.5 fk.2’de belirtilen) ayrık haller sayesinde sigortacı birçok sigorta ürününde ve günlük sigorta faaliyetlerinin sürdürülmesinde onay almaksızın da yoluna devam edebilmektedir. KVKK m.5 fk.2 şöyledir:

(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:

a) Kanunlarda açıkça öngörülmesi

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

Açık rızanın aranmayacağı hallerle ilgili olarak sigortacılık faaliyetine ilişkin şu gözlemleri yapabiliriz:

Sigortacılık alanında “kanunlarda açıkça öngörülme” bağlamında özellikle Sigortacılık Kanunu m. 31/A(2) hükmünü belirtmemiz gerekir. Bu hüküm, “yalnızca risk değerlendirmesi amacıyla kullanılmak koşuluyla sigorta şirketlerinin kendi aralarında yapacakları her türlü bilgi ve belge alışverişi sırasında …… sigorta sözleşmesi ile ilgili kişilere ait …. sır niteliğindeki bilgilerin öğrenilmesi ve paylaşımının sır saklama yükümlülüğünün dışında kalacağını” öngörmektedir. Şu halde, bir kimse, kendisine ait kişisel bilgilerin (mesela daha önceki hasarlarının) bir sigorta şirketi tarafından, diğerine (diğer şirketin risk değerlendirmesi için -mesela bir kasko sigortası yaparken- kullanması amacıyla) aktarılması durumunda, bunun hukuka aykırı olduğunu öne süremeyecektir.

Sigorta ettiren/sigortalıların sigorta sözleşmelerinden hak (sigorta koruması) kazanılabilmeleri, onlara ait kişisel verilerin işlenmesini gerektirebilir. Mesela, konutuna elektrik bağlatacak olan bir konut sahibi DASK poliçesi düzenlettirmek ve ilgililere ibraz etmek zorundadır. Bu poliçenin üretilebilmesi için kişisel bilgi niteliğindeki kimlik ve konut bilgilerini sigortacıyla paylaşması lazımdır. Başka örnekler: konut sigortasında kişinin konutunun adresi, kasko sigortasında aracının plakası.

Kişisel verilerin işlenmesi yalnızca sigorta sözleşmesinin kurulması aşamasında değil, fakat (gerek sigorta ettiren, gerek sigortacı tarafından) ifası sırasında da zorunludur. Söz gelişi, sigorta ettirenin sigorta sözleşmesinden doğan prim borcu, ona ait kredi kartı kullanılarak ödenecek ise, sigorta ettirenin rızasıyla paylaşmış olduğu kredi kartı bilgilerinin sigortacı tarafından kullanılması için o kişiden ayrıca izin alınması gerekmez. Kanımızca kredi kartı bilgileri sigortacıya aktarılırken sigorta ettiren bunların amaca uygun kullanımına zaten izin vermiş sayılmalıdır (prim ödemek amacıyla kredi kartına ilişkin ayrıntıları sigortacı ile paylaşan sigorta ettirenin prim tutarının kredi kartından tahsil edilmesine onayının bulunmadığını ve bunun için ayrıca kendisinden izin almak gerektiğini düşünmek makul görünmemektedir). Öte yandan, sigortacı, gerçek kişilerle ilgili sigorta sözleşmeleri kapsamında meydana gelen rizikolarla ilgili inceleme yaparken yahut hasar ödemesi sırasında da sigorta ettiren ve/veya sigortalıya ait kişisel verileri işleyecektir. Mesela kaza sırasında sigorta ettirenin kanındaki alkol miktarının güvenli sürüş yeteneğini ortadan kaldırmış olup olmadığını saptamak için “alkol raporunu” görmek isteyecektir. (Alkol raporunun sigortacıya sunulması üzerine sigortacının bunu değerlendirerek sonuç çıkarması ve mesela kasko sigortası kapsamında meydana geldiği öne sürülen araç hasarını ödemeyi reddetmesi doğaldır. Bunun için ayrıca izin gerekli görülmemelidir).

SAĞLIK VERİLERİNDE TARTIŞMA

Sigortacılık faaliyeti alanında en fazla sorun yaratan husus “sağlık verileri” ile ilgili olarak ortaya çıkmaktadır. Çünkü bir kişinin sağlık verileri “özel nitelikli kişisel veri” sayılarak daha geniş bir koruma altına alınmıştır. KVKK m.6(1) uyarınca “kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”

Sağlık verilerinin kullanıldığı çok sayıda sigorta türü mevcuttur: Sağlık giderlerinin karşılanmasını konu alan “sağlık sigortası” ile sigortalıya sözleşmede öngörülen hastalıklardan birine yakalanmış olduğuna ilişkin tanı konulması üzerine sigortacının önceden saptanmış bir tutarı ödediği “hastalık sigortası” bunların başında gelir. Ayrıca, can zararları dolayısıyla ödenmesi gereken tazminat yükümlülüklerini karşılayan sorumluluk sigortaları (mesela zorunlu trafik sigortası, ihtiyari trafik sigortası, üçüncü şahıslara karşı sorumluluk sigortası, üzün sorumluluğu sigortası, işveren sorumluluk sigortası, mesleki sorumluluk sigortası, zorunlu hekim sorumluluğu sigortası, tıbbi kurum sorumluluk sigortası) veya can zararı üzerine ödeme öngören tutar sigortaları (bireysel kaza sigortaları veya grup kaza sigortaları) veya meydana gelen can zararları ile ilgili dava masraflarını karşılayan hukuksal koruma sigortaları da sağlık verilerinin değerlendirilmesini gerektiren sigortalardandır.

Bazı örneklerle açıklamaya çalışalım:

  • Bir iş kazasında yaralanan işçi için tedavi gideri ödemiş bulunan işveren veya bir balon kazasında yaralanan kişilere uygulanan tedavilerden kaynaklanan giderleri hastaneye ödemiş olan balon işleticisi, sorumluluk sigortacısından bunları geri talep ettiğinde, sorumluluk sigortacısı yaralanan kişilerle ilgili bazı sağlık bilgilerini değerlendirmek isteyecektir.
  • Kalp ameliyatı olan bir sağlık sigortalısının bu rahatsızlığının poliçe öncesinde mevcut olup olmadığını anlamak isteyen sigortacı, onun bazı sağlık verilerini tıp kurumlarından almak ve incelemek isteyecektir.

Sağlık verilerinin işlenmesi ilgili kişinin iznine bağlıdır. Bu iznin “bilgilenmiş” olarak ve serbest irade ile verilmiş bulunması gereklidir. Şu aşamada sigorta şirketlerinin ilgili veri sahibinin izin olmaksızın bu verilere ulaşması ve bunları işlemesi mümkün bulunmamaktadır. Bu hususta açık yasal düzenlemeye ihtiyaç vardır.

İlgililerin izin vermemesi durumunda sigorta şirketlerinin hareket alanları çok daralmaktadır. Birçok durumda hasar dosyasını sonuçlandırmak ve ödeme yapmak mümkün olmayabilecektir. Olağan koşullarda sigortacıdan ödeme alması söz konusu olan bir kişi, kendi sağlık verilerini paylaşmaktan kaçınmayacaktır. Mesela, trafik kazasında sakat kalmış olan kişi, kazaya yol açmış bulunan aracın işleteninin sorumluluğunu temin etmiş olan sigortacıdan talepte bulunmak için o sigortacıya sağlık verilerini aktarmayı tercih edecektir. Buna karşılık, iş kazasına uğramış olan işçisini tedavi ettirmiş (ve bunun gerektirdiği tutarı tedaviyi uygulayan sağlık kuruluşuna ödemiş) olan işveren, kendi sorumluluk sigortacısından istemde bulunduğunda (iş kazası sebebiyle uygulanan tedavi karşılığında ücret alınmaması gerekse dahi, sağlık kuruluşları bazı gerekçelerle ücret talep etmekte ve işverenler de bunları vermek zorunda kalmaktadırlar) kazazede işçinin sağlık verilerini (onun razı olması olasılığı dışında) sigortacıya aktaramamaktadır. Sigortacı ise, kendi açısından, tedavi giderini karşılamak için, tedaviye ilişkin belgeleri görmek istemekte haklıdır. Bu gibi bir halde, bazen (özellikle işveren ile işçi arasındaki ilişki çerçevesinde) “kilitlenme” durumu ortaya çıkabilmektedir.

SEKTÖR YOLUN DAHA BAŞINDA

Belirtmek gerekir ki, kişisel verilerle ilgili kurallara tam anlamıyla uymak çoğu halde işlerin olağan akışını sekteye uğratabilecektir. Bu sebeple, yeni kurallara uygun iş akışları ve yeni yapılanmalara yönelmek gerekmektedir. Ancak teknolojinin baş döndürücü hızla ürettiği olanaklar dahi bazı hallerde yeterli olmayabilmektedir. Mesela, (saklanmaya devam edilmesi yasal değilse) kişisel verilerinin silinmesini isteyen bir veri sahibinin bu isteğini tam olarak yerine getirmek teknik açıdan çok zor olduğu gibi, gerektirdiği emek dikkate alındığında yapılabilir görünmemektedir. Bu yüzden, veri silinmesini bir daha o verinin hiç mevcut olmayacağı şekilde değil, buna erişimin engellenmesi şeklinde gerçekleştirmek lazım gelmektedir. Veri işlemede, işleyenin meşru menfaatinin bulunduğunu ne zaman kabul etmek gerektiği, buluta yüklemenin caiz olup olmadığı, yurt dışına veri aktarmaya hangi şartlarla izin verileceği gibi birçok konu şu anda netleşmiş değildir. Bütün bunlar şunu gösteriyor: Henüz bu yolun çok başındayız ve kat etmemiz gereken mesafe çok uzundur. Yol aldıkça daha çok deneyim kazanılacaktır. Şu aşamada birçok sorun buna çözüm getirmesi gerekenler tarafından dahi henüz yeterince incelenmemiştir. Soruların cevapsız kaldığı (veya yeterince cevaplandırılamadığı) haller hiç de az değildir.

Sigortacılık faaliyeti alanında en fazla sorun yaratan husus “sağlık verileri” ile ilgili olarak ortaya çıkmaktadır. Çünkü bir kişinin sağlık verileri “özel nitelikli kişisel veri” sayılarak, daha geniş bir koruma altına alınmıştır.

Sağlık sigortalarından zorunlu sigortalara kadar, sağlık verilerinin kullanıldığı çok sayıda sigorta türü mevcuttur.

Yorum yazın