Ⅰ. Giriş
e-Nabız, bireylerin sağlık verilerini merkezi bir sistemde saklayarak hem sağlık hizmeti sunucularının hem de sigorta şirketlerinin bu verilere hızlı ve kolay erişimini sağlamaktadır. Ancak, bu durum kişisel verilerin korunmasına ilişkin riskleri de beraberinde getirmektedir. Sigorta şirketlerinin e-Nabız kayıtlarını poliçe düzenleme ve sigorta taleplerini değerlendirme süreçlerinde kullanması, veri güvenliği ve mahremiyetin korunması açısından ciddi sorumluluklar doğurmaktadır. Bu nedenle, sigorta şirketlerinin e-Nabız kayıtlarındaki verileri işlerken poliçe kapsamını belirlerken veya teminat dışı hastalıkları tespit ederken bu süreci 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatlar kapsamında titizlikle yürütülmelidir.
Bu makalede, e-Nabız kayıtlarının sigorta şirketleri tarafından poliçe değerlendirmelerinde nasıl kullanılabileceği, silinmesi talep edilen verilerin nasıl yönetileceği ve bu süreçte sigorta şirketlerinin yükümlülüklerinin ne olacağı detaylıca ele alınacaktır.
ⅠⅠ. e-Nabız Kayıtlarının İşlenmesi ve Sigortacılık Faaliyetleri
Bilindiği üzere, e-Nabız sistemi, bireylerin sağlık geçmişlerini ve mevcut sağlık durumlarını dijital ortamda saklayan ve sağlık hizmeti sunucuları tarafından işbu bilgilere erişilmesi sağlanan bir platformdur. Nitekim, işbu sistemde yer alan veriler, sigorta şirketleri için sigortalıların sağlık durumu hakkında bilgi edinme imkânı sağladığından sigorta şirketleri açısından son derece önem arz etmektedir. Ayrıca, sigorta şirketleri tarafından sigorta poliçesi düzenlenirken, e-nabız kayıtları, sigortalının poliçenin yürürlük tarihinden önce var olan hastalıklarının tespiti için kullanılabilmektedir.
KVKK’nın “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6. maddesi uyarınca kişilerin sağlığına ilişkin veriler özel nitelikli kişisel veri olarak düzenlenmiş olup kural olarak özel nitelikli kişisel verilerin işlenmesi yasaktır. Özel nitelikli kişisel veriler ancak 6. maddenin 3. fıkrası uyarınca;
- İlgili kişinin açık rızasının olması,
- Kanunlarda açıkça öngörülmesi,
- Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
- İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
- Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
- Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
- İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
- Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması,
hallerinden birinin varlığı halinde işlenebilmektedir. Anılı düzenleme kapsamında sigorta şirketlerinin e-Nabız üzerinden erişebildikleri sağlık verilerinin hangi hale dayanarak işleyebileceği hususu önem arz etmektedir.
Bu noktada, sigorta şirketlerinin kişisel verilerin işlenmesi amacı ile ilgili kişilerden aldığı açık rızaya ilişkin Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 03/09/2020 tarihli ve 2020/667 sayılı kararına değinmek isteriz. Karara konu olayda ilgili kişi veri sorumlusunun kendisinden poliçeyi yenilemek için açık rıza almak istediği ve bu durumun KVKK’ya aykırı olduğu gerekçesi ile veri sorumlusu hakkında gereğinin yapılması talep etmiş olup anılı kararda bir sigorta şirketinin ilgili kişiye vereceği hizmeti açık rıza temini şartına bağlaması hususu incelenmiştir. Kurul ise tanzim ettiği kararda;
“Bu kapsamda; sağlık sigortası poliçesinin özel nitelikli kişisel veri niteliğini haiz sağlık verilerini içerdiği, poliçede yer alan sağlık verilerinin ise Kanunun 6 ncı maddesinin (3) numaralı fıkrası kapsamında işlenemeyeceği, veri işlemenin ancak ilgili kişiden açık rıza alınması yoluyla gerçekleştirilebileceği ve bu nedenle ilgili kişiden açık rıza alınması talebinin Kanuna aykırılık teşkil etmediği”
şeklinde ifadelere yer vererek KVKK kapsamında tesis edilecek bir işlem bulunmadığında karar vermiştir. Bu kapsamda, sigorta şirketlerinin özel nitelikli kişisel verileri ancak açık rıza ile işleyebileceği ve işbu verilerin işlenmesi amacı ile açık rıza talebinde bulunmasının KVKK’ya aykırılık teşkil etmediği aşikardır.
Hal böyleyken, sigorta şirketleri tarafından e-Nabız kayıtlarının işlenmesi için sigortalının açık rızasının alınması zorunlu olduğunu belirtmek gerekir.
ⅠⅠⅠ. Kişisel Verilerin Silinmesi Kavramı ile Sigortacılık Uygulamaları
Yukarıda belirtildiği üzere, sigorta şirketlerinin özel nitelikli kişisel veri niteliğindeki kişisel verileri ancak sigortalıların açık rızasının bulunması halinde işleyebilecekleri noktasında şüphe bulunmamaktadır. Ancak, açık rıza ile işlenen işbu veriler kapsamında sigortalının açık rızasını geri alması ve/veya kişisel verilerin silinmesi talebinde bulunması halinde sigortacılık uygulamalarının nasıl olacağı tereddüt yaratmaktadır.
Sigorta şirketleri poliçe ve/veya provizyon işlemleri sırasında açık rıza ile hukuka uygun bir şekilde işlenen veriler kapsamında sigorta şirketleri bu e-Nabız kayıtlarına istinaden bazı hastalıkları kapsam dışı/teminat dışı bırakmaktadır. e-Nabız kayıtlarının silinmesi için kişisel verilerin silinmesi talebinde bulunan sigortalılardan e-Nabız kayıtlarına istinaden kapsam dışı/teminat dışı bırakılan hastalıkları bulunmayan sigortalıların verilerinin silinmesi noktasında herhangi bir sorun bulunmamaktadır.
Ne var ki, e-Nabız kayıtlarına istinaden bazı hastalıkların kapsam dışı/teminat dışı olarak kayıt edilmesi halinde kişisel verilerin silinmesi talebinde bulunan sigortalılar nezdinde kapsam dışı/teminat dışı bırakılma durumunun ve sigorta şirketlerinin kayıtlarının değiştirilip değiştirilmeyeceğinin iyi değerlendirilmesi gerekmektedir.
Öncelikle belirtmek gerekir ki, KVKK’nın 7. maddesinin 1. fıkrasında açıkça, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması durumunda, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiği düzenlenmiştir. Ayrıca, KVKK’nın 11/1-7. maddesinde de veri sahiplerine kişisel verilerinin silinmesini talep hakkı tanınmıştır. Bu kapsamda, açık rıza ile e-Nabız kayıtları sigorta şirketi tarafından işlenen sigortalıların açık rızalarını geri çekmeleri ve/veya kişisel verilerin silinmesi talebinde bulunmaları halinde sigorta şirketleri tarafından işbu verilerin silinmesi gerektiği aşikârdır.
Nitekim, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esaslar Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik (“Yönetmelik”) kapsamında düzenlenmiştir. Yönetmelik’in 7/1. maddesi de KVKK’ya uygun olacak şekilde “Kanunun 5 inci ve 6 ncı maddelerinde yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması halinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmesi, yok edilmesi veya anonim hâle getirilmesi gerekir.” şeklinde düzenlenmiştir.
Yönetmelik’in “Kişisel verilerin silinmesi” başlıklı 8. maddesi ise “(1) Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. (2) Veri sorumlusu, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için gerekli her türlü teknik ve idari tedbirleri almakla yükümlüdür.” şeklindeki hüküm ile kişisel verilerin silinmesi durumunu açıklamıştır.
Bu kapsamda, e-Nabız üzerinden elde edilen özel nitelikli kişisel verilerin ilgili kişini talebi ile silinmesi halinde Yönetmelik’in 8. maddesinde açıkça belirtildiği üzere kişisel veriler silindiğinde bir daha kullanılamaz hale gelmeleri gerekmektedir. Açık rıza ile elde edilmesi zorunlu olan bir veri kapsamında ilgili kişinin açık rızasının ortadan kalması ve her halükârda ilgili kişinin verilerin silinmesi talebinin bulunduğu göz önüne alındığında durumun e-nabız verilerine hiç ulaşılamayan ve bu verinin hiç kullanılmadığı bir hale getirilmesi gerektiği kanaatine varılmıştır.
Dolayısıyla, sigorta şirketlerinin kayıtlarının da düzenlenmesi gerekmektedir. Kanaatimizce, e-Nabız’dan elde edilen veriler neticesinde kayıtlarda “e-nabız kayıtlarına istinaden bu teminat dışı hallerin belirlendiği” veya “yalnızca sağlık verilerini sildirdiği” bilgisi/verisi yer alması halinde işbu kayıtlar her ne kadar özel nitelikli kişisel veri içermemekte olsa da elde edilen özel nitelikli kişisel veriler sebebi ile teminat dışı bırakılan halin yanına kayıt olarak yazıldığından kayıtların silinmemesi halinde KVKK’ya aykırılık söz konusu olacaktır.
Örneğin; sigortalının açık rızası ile e-nabız kayıtlarına ulaşıldığını, sigortalının kalp rahatsızlığının bulunduğunun tespit edildiğini, bu tespit akabinde kalp rahatsızlığına ilişkin hallerin teminat dışı bırakıldığını ve sigortalının e-Nabız kayıtlarının silinmesini talep ettiğini varsaydığımızda sigortalının kalp rahatsızlığının bulunduğunun tespitine yarayan her verinin sigorta şirketinin kayıtlarından silinmesi gerekmekte olup sigorta şirketi kayıtlarının e-nabız verilerine erişilmeden önceki haline getirilmesi gerekmektedir. Zira e-Nabız üzerinden sigortalının kalp rahatsızlığı olduğu sonucuna ulaşılmasını sağlayan spesifik veriler (örneğin; kişinin kalp krizi geçirmiş olması, kalp ilacı kullanması vb.) birer özel nitelikli kişisel veri olduğu gibi kişinin kalp rahatsızlığı olduğu bilgisi de tek başına bir kişisel veri niteliğindedir.
Hal böyleyken, sigortalının kalp rahatsızlığı bulunduğunu gösterir ana e-nabız verilerinin artık işlenmesi ve muhafaza edilmesi mümkün olmadığından kalp rahatsızlığına ilişkin hallerin silinmiş dahi olsa e-nabız yoluyla edinilen bilgilere dayanılarak teminat dışı bırakıldığı sonucuna varılmasının da mümkün olmaması gerekecek ve özellikle bu teminat dışı bırakılan halin e-nabız verilerine dayandığının belirtilmesi KVKK’ya aykırı olacaktır.
Son olarak, KVKK’nın veri sorumlusunun aydınlatma yükümlülüğünün düzenlendiği 10. maddesinin 1. fıkrasının (d) bendinde veri sorumlusunun ilgili kişinin 11. maddede sayılan hakları kapsamında da aydınlatma yükümlülüğünün bulunduğunu hüküm altına almıştır. Bu nedenle, sigorta şirketlerinin veri silinmesi süreci kapsamında da sigortalıları aydınlatması gerektiğini unutmamak gerekir.
Ⅳ. Sonuç
Sonuç olarak, e-Nabız verilerinin sigorta şirketleri tarafından poliçe düzenleme ve değerlendirme süreçlerinde kullanılması, sigortalının açık rızasının alınması şartına bağlıdır. Sigortalının açık rızasını geri çekmesi veya kişisel verilerinin silinmesini talep etmesi halinde, sigorta şirketleri bu talepleri KVKK ve ilgili ikincil mevzuat hükümlerine uygun şekilde yerine getirmek zorundadır. Özellikle, sigortalının artık açık rızasının bulunmadığı ve/veya verilerin silinme talebinde bulunması durumlarda, e-Nabız’dan temin edilerek işlenen özel nitelikli kişisel verilere dayanarak herhangi bir teminat dışı bırakma kararı verilmesi mümkün olmamalıdır. Bu nedenle, sigorta şirketlerinin e-Nabız verilerini işlerken, bu verilerin geri alınması veya silinmesi durumunda poliçe kapsamını ve kayıtlarını KVKK’ya uygun şekilde yeniden düzenlemeleri ve KVKK’ya uyumlu bir yaklaşım benimsemeleri gerekmektedir.