Özel hukuk tüzel kişileri, kamu kurum ve kuruluşları, kamu kurumu niteliğindeki meslek kuruluşları ve bunların üst kuruluşları ile bilgi merkezlerinden sigortacılık verilerinin elde edilmesi, saklanması, kullanılması gibi sigortacılık verileri üzerinde gerçekleştirilen işlemlere ve ilgili verilerin emeklilik şirketleri ile Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu (“Kurum”) nezdinde belirlenen kişi ve kuruluşlar ile paylaşılmasına ilişkin usul ve esasları düzenleyen Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik (“Yönetmelik”) 18 Ekim 2022 tarihli ve 31987 sayılı Resmi Gazete'de yayımlandı.

Yönetmelik'in 28'inci maddesinde Yönetmelik kapsamında yürütülen kişisel veri işleme faaliyetlerinde 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve KVKK'ya dayanılarak çıkarılan ikincil mevzuatta yer alan usul ve esaslara uyulmasının zorunlu olduğu belirtilmiştir.

Yönetmelik ile getirilen düzenlemeler ana hatlarıyla aşağıdaki gibidir.

I. Sigortacılık Verilerinin Toplanmasına İlişkin Düzenlemeler

Yönetmelik ile “sigortacılık verisi” kavramı “sigorta sözleşmesinin taraflarına, sözleşmeden doğrudan veya dolaylı olarak menfaat sağlayan kişilere ilişkin veriler ve yanlış sigorta uygulamalarını da kapsayacak şekilde risk değerlendirmesine esas tüm veriler” olarak tanımlanmıştır.

Yönetmelik'te sigortacılık verisi işleyen ve Yönetmelik kapsamında kalan kurum ve kuruluşların sigortacılık verilerini Sigorta Bilgi ve Gözetim Merkezi (“Merkez”) ile paylaşması zorunlu kılınmış olup, Merkez tarafından toplanan sigortacılık verilerinin genel veri tabanında tutulacağı belirtilmiştir. Genel veri tabanı; üretim, hasar, yanlış sigorta uygulamaları verileri, hayat grubu ve hayat dışı grubu sigortalar aktüerya raporları ve eksperler tarafından düzenlenen ekspertiz raporları da dahil olmak üzere Merkez nezdinde tutulan tüm verileri içerecektir.

Yönetmelik ile Merkez'e veri aktarımında bulunan sigorta, reasürans veya emeklilik şirketlerine (“Üye Kuruluşlar”) Merkez'e üye olma ve genel veri tabanını güncel tutma yükümlülüğü getirilmiştir.

II. Sigortacılık Verilerinin Paylaşımına İlişkin Düzenlemeler

(i) Yönetmelik uyarınca sigortacılık verileri, Merkez tarafından Üye Kuruluşlar ile 5684 sayılı Sigortacılık Kanunu'nun 31/B maddesi gereği doğrudan; Üye Kuruluşlar dışındaki kurum, kuruluş ve veri merkezleri ile Kurum'un onayı alınmak suretiyle Merkez tarafından imza edilen protokoller aracılığıyla paylaşılabilecektir.

(ii) Yönetmelik'te kamu yararının söz konusu olduğu durumlarda Merkez'in, Kurumca belirlenecek usul ve esaslar çerçevesinde veri paylaşımını belirli bir ücret karşılığında yapabileceği hususuna da yer verilmiştir.

(iii) Yönetmelik'te yanlış sigorta uygulamalarına ilişkin verilerin paylaşımı açısından özel bir durum öngörülmüş ve özel mevzuatlarda açıkça belirtilmediği takdirde yanlış sigorta uygulamalarına ilişkin verilerin sadece Üye Kuruluşlar, özellikli kuruluşlar ve Kurum tarafından belirlenen kişi ve kuruluşlar ile paylaşılabileceği belirtilmiştir.

(iv) Yönetmelik'te hasar dosyaları için sigorta eksperi atanması durumunda eksperin hasar verilerine erişim süresinin -raporda değişiklik yapılması veya ek rapor tanzimi durumları hariç olmak üzere- kesin ekspertiz raporunun Merkez sistemlerine kaydedilmesi ile sona ereceği düzenlenmiştir.

(v) Yönetmelik'te yetkili kullanıcılar ve diğer kişiler olarak bir ayrım yapılmış ve veri paylaşımına ilişkin düzenlemeleri bu iki kişi grubu bakımından farklılaştırmıştır. Buna göre genel veri tabanında bulunan verilere erişebilecek yetkili kullanıcıların ve bu kullanıcıların erişebilecekleri verinin içeriğinin Kurum'un onayı alınarak Merkez tarafından belirleneceği düzenlenmiştir. Erişim kurallarının yetkili kullanıcılar tarafından ihlal edilmesi halinde Merkez Yönetim Komitesi kararı üzerine Kurum'un onayı ile yetkili kullanıcıların erişimlerinin sınırlandırılabileceği de Yönetmelik'te düzenlenmiştir.

(vi) Yönetmelik'te sigorta sözleşmeleri ile ilgili poliçe ve hasar verileri bakımından Kurumca uygun görülenlerin gerekli kimlik doğrulamasının yapılması veya hak sahipliğinin ispatı kaydıyla yetkili kullanıcı statüsünde olmayan diğer kişilerin erişimine açılabileceği belirtilmektedir.

III. Sigortacılık Verilerinin Kullanılmasına İlişkin Düzenlemeler

Yönetmelik'in dördüncü bölümünde sigortacılık verilerinin temel kullanım amaçları olarak

(i) sigorta uygulamalarını takip etmek, sigorta branşlarında uygulama birliğini sağlamak,

(ii) zorunlu sigortaların takibini yapmak,

(iii) yanlış sigorta uygulamalarının önlenmesine katkıda bulunmak,

(iv) sigortalılık oranlarının artırılmasına yönelik çalışmalar yapmak,

(v) sigortacılık sektörüne ilişkin güvenilir istatistikler üretilmesini sağlamak,

(vi) sigorta puanını hesaplamak ve

(vii) sigortacılık sektöründe kamu gözetimi, denetimi ve ekonomik güvenliğin sağlanmasına ve sağlık hizmetleri finansmanının planlanmasına katkıda bulunmak

hususları sayılmıştır. Yönetmelik'te genel olarak sayılan temel kullanım amaçlarının yanı sıra genel veri tabanında yer alan verilerin Merkez tarafından kullanılabileceği amaçlar da detaylı olarak listelenmiştir.

IV. Merkez'in Sigortacılık Verilerine Yönelik Faaliyetlerine İlişkin Düzenlemeler

Yönetmelik'te sigorta puanı hesaplamasının Merkez tarafından yapılacağı ve sigorta puanlarına ilişkin usul ve esasların Kurum tarafından belirleneceği kararlaştırılmıştır.

Ayrıca Yönetmelik'te Merkez'in sigortacılık verilerine ilişkin temel faaliyetleri olarak veri olgunluğunun ölçümü için puanlama metotları geliştirilmesi, Üye Kuruluşlara, özellikli kuruluşlara ve yetkili kullanıcılara ilişkin raporların hazırlanması ve Kurum'a sunulması, talep üzerine özel bilgi raporlarının üretilmesi; ilgili kişi, kurum ve kuruluşların bilgilendirilmesine yönelik çalışmaların yapılması, Üye Kuruluşların teknik altyapı yeterliliklerinin denetlenmesi ve giderilmesine yönelik uyarılarda bulunulması ve Kurum tarafından talep edilen her türlü uygulama ve çalışmanın yapılması şeklinde sayılmıştır.

V. Sorumluluk, Bilgi Verme ve Gizlilik Yükümlülüklerine İlişkin Düzenlemeler

(i) Yönetmelik'te Merkez ile sağlıklı bir veri paylaşımının gerçekleştirilebilmesi amacıyla Üye Kuruluşlar, özellikli kuruluşlar ve yetkili kullanıcılara gerekli altyapının oluşturulması ve Merkez tarafından talep edilen bilgi ve belgelerin sunulması zorunluluğu getirilmiştir.

(ii) Yönetmelik gereğince bahsi geçen kişi ve kuruluşların Merkez'e aktarılan verilerin doğru, eksiksiz, tutarlı ve zamanında aktarılmasından sorumlu olduğu düzenlenmiş, Merkez'in bu yükümlülüğe aykırılık nedeniyle ödediği tazminatlar bakımından ilgililere rücu hakkının bulunduğu ifade edilmiştir.

(iii) Ayrıca genel veri tabanında yer alan ve paylaşılan veriler için KVKK uyarınca açık rıza alınması ve aydınlatma yükümlülüğünün yerine getirilmesinden Üye Kuruluşlar, özellikli kuruluşlar ve yetkili kullanıcılar sorumlu tutulmuştur.

(iv) Yönetmelik uyarınca Merkez'in talebi halinde genel veri tabanının işleyişi için gerekli olan verilerin Üye Kuruluşlar ile özellikli kuruluşlar tarafından Merkez'e doğru ve eksiksiz olarak aktarılmasına ilişkin bilgi verme yükümlülüğü düzenlenmiştir.

(v) Yönetmelik ile gizlilik yükümlülüğü de ayrı bir maddede düzenlenerek veri paylaşımına dahil olan tüm kişi ve kuruluşların çalışanlarının sigortacılık verilerine ilişkin tüm bilgi ve belgeleri gerek görevleri süresince gerekse görev süreleri sona erdikten sonra üçüncü şahıslarla paylaşma, yayınlama ve kullanma yasağı getirilmiştir.

VI. Sigortacılık Verilerine İlişkin Taleplere İlişkin Düzenlemeler

Yönetmelik'te veri sahiplerinin, yanlış sigorta uygulamalarından elde edilen veriler hariç olacak şekilde kendilerine ait veriler hakkında Merkez'den bilgi isteyebilecekleri belirtilmektedir. Veri sahipleri bilgi talebi başvurularının yanı sıra kendilerine ait verilerin değiştirilmesi talebi ile de Merkez'e başvurmalarına imkân tanınmıştır.

Yönetmelik'te sigortacılık verilerine ilişkin taleplere karşılık olarak yine Yönetmelik'te belirtilen sürelere uymayan kuruluşların Merkez tarafından aylık olarak Kurum'a raporlanacağı ve Kurum'un Merkez sistemlerine erişim ve verilerden yararlanma yetkilerinin kaldırılması da dahil olmak üzere her türlü tedbiri alabilme yetkisine sahip olduğunu belirtilmektedir.

VII. Yürürlük

Yönetmelik yayımı tarihinde yürürlüğe girmiştir.

Yönetmelik'in “Geçiş Takvimi” başlıklı geçici maddesi ile Merkez'e; Kurum'dan uygun görüşü almak kaydıyla, Üye Kuruluşlar'ın poliçe üretimi ve kendilerine gelen ihbarlara dosya açmak için Merkez'den alacak oldukları referans numarası uygulaması için dokuz ayı geçmemek üzere; üretim verileri, hasar verileri ve tazminat verilerinin Merkez'e iletilmesine ilişkin uygulama için ise bir yılı aşmamak üzere branş ya da Üye Kuruluş bazında geçiş takvimi yayımlama imkânı tanınmıştır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.