Sigortacılık Kanunu 31A ve 31B maddelerine dayanılarak hazırlanmış olan Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik (‘'Yönetmelik'') 18 Ekim 2022 tarihli Resmi Gazete'de yayımlanarak yürürlüğe girmiştir. Yönetmelik ile Sigorta Bilgi ve Gözetim Merkezi (‘'Merkez'') ile gerçekleştirilecek veri aktarımları bağlamında verilerin işlenmesine ve bu verilerin sigorta, reasürans ve sigortacılık faaliyetinde bulunan emeklilik şirketleri ile Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumunca (‘'Kurum'') belirlenecek diğer kişi ve kuruluşlara aktarılmasına ilişkin düzenlemeler getirilmiştir.

  Sigortacılık  Verilerinin Toplanması

     Yönetmelik'te ‘'sigortacılık verisi'' tanımlamasına yer verilmekle birlikte bu verilerin kullanılmasındaki temel amaçlar da belirlenmiştir. Yönetmelik kapsamında sigorta sözleşmelerine, sigorta sözleşmelerine taraf olan sigorta ettiren ve sigorta şirketlerine, sigorta sözleşmesinden doğrudan veya dolaylı menfaat sağlayan sigortalı, lehtar ve diğer üçüncü kişilere ilişkin veriler ile yanlış sigorta uygulamaları dahil olmak üzere risk değerlendirmesine esas tüm verilerin sigortacılık verisi kabul edilmiştir. Özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğindeki meslek kuruluşları ve bunların üst kuruluşlarından ve bilgi merkezlerinden elde edilen veriler Merkez tarafından genel veri tabanında tutulacağı düzenlenmiş; sigorta, reasürans ve sigortacılık faaliyetinde bulunan emeklilik şirketleri için Merkez'e üye olma ve veri tabanını güncel tutma yükümlülüğü getirilmiştir. Üretim verilerinin toplanmasına ilişkin olarak Merkez'e üye kuruluşlar, sigortalara ilişkin poliçe üretimlerini Merkez'den alınacak referans numarası ile gerçekleştirecek ve tüm üretim verilerini eşzamanlı olarak Merkez'e aktaracaktır. Hasar verileri bakımından üye kuruluşlar kendilerine yapılan her ihbar için Merkez'den alacakları referans numarası ile dosya açmakla yükümlü kılınmış, yanlış sigorta uygulamaları verilerinin de yine Merkez'in oluşturduğu genel veri tabanında tutulacağı düzenlenmiştir.

Sigortacılık Verilerinin Paylaşımı

Üye kuruluşlar dışındaki kurum, kuruluş ve veri merkezleri ile veri paylaşımı, ilgili platformlar veya kısa mesaj, mobil uygulama ve çağrı merkezleri gibi kanallar yoluyla, Kurumun onayına istinaden Merkez tarafından imzalanacak olan protokoller aracılığıyla yapılacaktır. Kamu yararı söz konusu olduğu takdirde veri paylaşımı, Kurumca belirlenecek usul ve esaslar çerçevesinde belirli bir ücret karşılığında da yapılabilecektir. Yanlış sigorta uygulamaları verileri, özel bir düzenleme bulunmadığı sürece sadece üye kuruluşların, özellikli kuruluşların ve Kurum tarafından belirlenen diğer ilgili kişi ve kuruluşların erişimine açılacaktır. Hasar verileri bakımından hasar dosyasına bir eksper atanması ve bu atamanın Merkez'e bildirilmesi durumunda eksper, ilgili maddi varlıkların ve tarafların geçmiş poliçe ve hasar verilerine erişebilecektir. Motorlu araç sigortalarına ilişkin veriler ise  Sigorta Tahkim Komisyonu hakemleri tarafından görevlendirilen eksper bilirkişilerin erişimine açılacak ve bu şekilde tazminat hesaplamasında kullanılabilecektir. Genel veri tabanında yer alan verilere erişim hakkı olan yetkili kullanıcılar ve bu kullanıcıların münhasıran çalışma konularıyla ilgili olmak üzere erişebilecekleri verilerin içeriği de yine Kurum'un onayına istinaden Merkez tarafından belirlenecektir. Yetkili kullanıcılar erişim kurallarını ihlal ettikleri takdirde Merkez Yönetim Komitesi'nin kararı üzerine Kurum'un onayı ile erişimleri sınırlandırılacak, ihlallerin süreklilik göstermesi durumunda ise yine Komite kararı üzerine Kurum'un onayıyla erişim yetkileri kaldırılacaktır. Bu kişilerin eksper ya da bilirkişi olması halinde kendilerine ilgili süre zarfında Merkez sistemleri üzerinden görevlendirme yapılmayacaktır. Sigorta sözleşmeleri ile ilgili poliçe ve hasar verilerinden Kurumca uygun görülenler Merkez tarafından gerekli kimlik doğrulamasının sağlanması ya da hak sahipliğinin ispatlanması şartıyla ilgili diğer kişilerin erişimine de sunulacaktır. Bu şekilde belirlenen kişilere söz konusu verilerin ücretsiz sağlanması ya da ücret belirlenmesi Merkez Yönetim Komitesi tarafından karara bağlanacaktır.

Sigortacılık Verilerinin Kullanılması

Yönetmelik'te sigortacılık verilerinin, sektörde kamu denetimine ve sağlık hizmetlerinin finansmanlarının planlanmasına katkı sağlamak, sigorta uygulamalarını takip ile sigorta branşlarında uygulama birliğini sağlamak, zorunlu sigortaların takibini yapmak, yanlış sigorta uygulamalarının önüne geçmek, sigortalılık oranının arttırılması, sigorta sektörüne dair güvenilir istatistikler üretmek ve sigorta puanının hesaplanması gibi amaçlar doğrultusunda işlenebileceği düzenlenmiştir. Sigorta puanı hesaplaması, risk değerlendirmesine esas teşkil eden sigortacılık verileri ile diğer kaynaklardan elde edilen veriler doğrultusunda Merkez tarafından yapılacaktır.

Merkezin Sigortacılık Verilerine İlişkin Faaliyetleri

Üye kuruluşlara, özellikli kuruluşlara ve yetkili kişilere ilişkin raporlar Kurum'un belirleyeceği metot ve biçimde Merkez tarafından hazırlanacaktır. Bu raporlar ile mevzuata aykırı uygulamalar da Kurum'a  bildirilecektir. Üye kuruluşlar ve özellikli kuruluşlar talep ettiği takdirde Merkez ticari sır ve kişisel verilerin korunması bakımından bir ihlal teşkil etmemek kaydıyla özel bilgi raporları da üretebilecektir. Bunun yanında Merkez tarafından görevi sebebiyle elde ettiği veriler de anonimleştirilerek raporlanacak ve yayımlanacaktır. Bir diğer faaliyet olarak Merkez tarafından kamunun ve hak sahibi diğer kişi ve kuruluşların bilgilendirilmesine yönelik çalışmalar yapılacağı düzenlenmiştir. Aynı zamanda veri paylaşımı sürecinde bir aksama olmaması adına teknik altyapının değerlendirilmesi de yine Merkez tarafından gerçekleştirilecektir.

Sorumluluk ve Bilgi Verme Yükümlülüğü

Yönetmelik'te üye kuruluşlar, özellikli kuruluşlar ve yetkili kullanıcılar; Merkezle sağlıklı veri paylaşımı gerçekleştirilebilmesi için gerekli altyapıyı oluşturmak, sistemsel değişikliklere uyum sağlamak, Merkez'in talep ettiği verileri gecikmeksizin, doğru ve tutarlı biçimde aktarmakla yükümlü kılınmışlardır. Bu yükümlülüklere aykırı davranılması sebebiyle bir zarar doğması halinde Merkez tarafından bir tazminat ödenirse Merkez'in ilgili kişilere rücu hakkı mevcuttur. Merkez ile paylaşılan veriler bakımından veri sahibinin açık rıza veya onayının arandığı hallerde bu açık rıza veya onayın alınması ve veri sahibine karşı aydınlatma yükümlülüğün yerine getirilmesi de veri sahibinin muhatabı kurum ve kuruluşların sorumluluğundadır. Kayıtlı verilerin güvenliğinden ise Merkez sorumlu olacaktır. Üye kuruluşlar, eksik veya hatalı olarak aktarıldığı tespit edilen verileri, Merkezin bildirimi üzerine gecikmeksizin düzeltmek ve en geç bir iş günü içinde düzeltme yapılan verileri Merkeze iletmek zorundadır. Bu süre içinde verileri düzeltmeyen üye kuruluşların ve özellikli kuruluşların Merkez sistemlerine erişim yetkisi, Kurumca belirlenen usul ve esaslar çerçevesinde üç iş gününe kadar kaldırılacaktır. Bu yetki kaldırma işlemi düzeltme yapılana kadar tekrarlanacaktır. Veri paylaşımına dahil olan kurum ve kuruluşların çalışanları, görev sebebiyle edinmiş oldukları verilere ilişkin bilgi ve belgeleri görev süresince ve görev sona erdikten sonra hiçbir şekilde kullanamayacaktır. Bu kapsamda kamu görevi bulunmayan çalışanlardan Kurumun uygun göreceği bir gizlilik taahhütnamesi alınacaktır. Söz konusu gizlilik yükümlülüğüne aykırı davranan kişiler bakımından; bu bilgileri kanunen yetkili kılınan mercilerden başkasına açıklayanlar hakkında  bir yıldan üç yıla kadar hapis cezası ve iki yüz günden az olmamak üzere adli para cezası; ticari sırları kendileri veya başkalarına yarar sağlamak amacıyla açıklayanlar hakkında ise üç yıldan beş yıla kadar hapis cezası ve adli para cezası uygulanacaktır. Bunun yanında bu kişilerin görev yapmaları da geçici veya sürekli olarak yasaklanacaktır.

Sigorta Verilerine İlişkin Talepler

Veri sahipleri, yanlış sigorta uygulamalarına ilişkin veriler dışında kalan ve genel veri tabanında yer alan kendilerine ait veriler hakkında Merkezden bilgi talep edebileceklerdir. Söz konusu talepler Merkez tarafından on beş gün içinde karşılanacak, bu sürenin yeterli olmaması durumunda süre bir defalığına on beş gün daha uzatılacaktır. Bu şekilde veri sahibinin bilgi edinme talebi başvurudan itibaren en geç otuz gün içinde yanıtlanmış olacaktır. Veri sahipleri, genel veri tabanında yer alan verilerin eksik veya hatalı olduğuna ilişkin Merkez'e başvurdukları takdirde Merkez, gerekli gördüğü halde başvurunun on günlük kesin süre içinde ilgili üye kuruluşa iletilmesine karar verecektir. Bu durumda kuruluş, kendisine iletilen talebi yine on günlük kesin süre içinde inceleyecek; talebi kabul etmesi halinde verileri düzelterek bu düzeltme işlemini, talebi reddetmesi halinde ise reddetme sebebini Merkez'e bildirecektir. Belirlenen kesin sürelere uymayan üye kuruluşlar Merkez tarafından aylık olarak raporlanarak Kurum'a bildirilecektir. Bu bildirim üzerine Kurum erişim yetkilerinin kaldırılması dahil her türlü tedbiri almaya yetkili kılınmıştır. Ancak, verilerin değiştirilmesi talebine ilişkin bu düzenleme yanlış sigorta uygulamaları verilerine ilişkin talep ve itirazlarda uygulanmaz; anılan talep ve itirazlar, ilgili mevzuat çerçevesinde sonuçlandırılacaktır.

Bu Yönetmelik kapsamında gerçekleştirilen kişisel veri işleme faaliyetleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bağlantılı mevzuattaki usul ve esaslara uygun olarak yürütülecektir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.