Sigortacılık Verileri Özel Düzenleme ile Koruma Altına Alınıyor

Yeni Gelişme

Sigortacılık Verilerinin Toplanması, Saklanması ve Paylaşılmasına Dair Yönetmelik (“Yönetmelik“) 18 Ekim 2022 tarih ve 31987 sayılı Resmi Gazete’de yayımlandı ve yayım tarihinde yürürlüğe girdi. Yönetmelik, sigortacılık verilerinin belirtilen kurum ve kuruluşlardan elde edilmesi, saklanması, kullanılması gibi sigortacılık verileri üzerinde gerçekleştirilen her türlü işleme ve bu verilerin belirtilen kişi ve kuruluşlarla paylaşılmasına dair usul ve esaslara yer veriyor. Yönetmelik’e buradan ulaşabilirsiniz.

Yönetmelik neler getiriyor?

Yönetmelik’te başlıca aşağıdaki hususlar ele alınmaktadır:

• Sigortacılık verisi kavramı ve genel veri tabanı: Yönetmelik’te sigorta sözleşmesine taraf olan sigorta ettiren ve sigorta şirketlerine, sigorta sözleşmesinden doğrudan veya dolaylı menfaat sağlayan sigortalı, lehtar ve diğer üçüncü kişilere ilişkin veriler ile yanlış sigorta uygulamaları dahil olmak üzere risk değerlendirmesine esas tüm veriler sigortacılık verisi olarak tanımlanmıştır. Özel hukuk tüzel kişileri ile kamu kurum ve kuruluşlarından, kamu kurumu niteliğindeki meslek kuruluşları ve bunların üst kuruluşlarından, ilgili mevzuatla kurulmuş diğer bilgi merkezlerinden Sigorta Bilgi ve Gözetim Merkezi (“Merkez“) tarafından toplanarak genel veri tabanında tutulacağı düzenlenmiştir. İlgili kurum ve kuruluşlar Merkez’in talebine istinaden genel veri tabanı için veri paylaşmakla yükümlüdür.
• Üye kuruluşların yükümlülükleri: Üye kuruluşlar olarak tanımlanan ve kendisine tanınan sınırlı erişim yetkisi doğrultusunda Merkez’in veri paylaşımında bulunduğu sigorta, reasürans ve emeklilik şirketleri; (i) Merkez’e üye olmak ve genel veri tabanını güncel tutmak, (ii) poliçe üretimlerini Merkez’den alınan referans numarasıyla gerçekleştirmek ve poliçelerde bu numaralara yer vermek, (iii) üretim verilerini eş zamanlı olarak merkeze iletmek, (iv) kendilerine iletilen tüm ihbarlar için Merkez’den alınan referans numarasıyla dosya açmak, (v) hasar verilerini belirtilen sürede Merkez’e bildirmek, (vi) ihbardan ödemenin sonuçlanmasına kadar hasara ilişkin bilgi ve belgeleri eksiksiz şekilde Merkez’e iletmek gibi yükümlülüklere sahiptir.
• Tahkim sistemi verileri: Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu (“Kurum“), tahkim sistemi ile sigortacılık verilerinin paylaşılmasına ve tahkim verilerinin genel veri tabanına kaydedilmesine ilişkin usul ve esasları belirler.
• Sigortacılık verilerinin paylaşımı:
  • Merkez, 5684 sayılı Sigortacılık Kanununun 31/B maddesi çerçevesinde sigortacılık verilerini üye kuruluşlarla paylaşır.
  • Üye kuruluş dışındaki kurum, kuruluş ve veri merkezleri ile paylaşımı, Kurum’un onayı ile Merkez tarafından imzalanan protokoller aracılığıyla ilgili platformlar veya kısa mesaj, çağrı merkezi gibi iletişim araçları yoluyla gerçekleştirilir.
  • Merkez’in, elde ettiği verileri kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek şekilde paylaşması mümkündür.
  • Genel veri tabanında tutulan yanlış sigorta uygulamalarına ilişkin veriler, başka mevzuatlarda aksine düzenleme bulunmadıkça, üye kuruluşlar, Yönetmelik’te tanımlanan özellikli kuruluşlar ve Kurum tarafından belirlenen diğer kuruluşlar dışında kişilerle paylaşılamaz.
  • Sigorta eksperleri, hasar dosyası için atanmalarının Merkez’e iletilmesinden, kesin ekspertiz raporunun Merkez sistemlerine kaydedilmesine kadar ilgili verilere erişebilir. Bu durumun istisnaları Yönetmelik’te belirtilmiştir.
  • Genel veri tabanındaki verilere erişime yetkili kullanıcıların erişim yetkilerinin sınırı Kurum’un onayına istinaden Merkez tarafından belirlenir ve erişim kurallarını ihlal eden yetkili kullanıcılara karşı, erişim yetkilerinin sınırlandırılması, ihlal süreklilik gösteriyorsa kaldırılması, durumun aciliyeti ve önemi gerektiriyorsa derhal askıya alınması tedbirleri uygulanabilir.
  • Gerekli kimlik doğrulamasının yapılması ya da hak sahipliğinin sağlanması hallerinde kullanım amacı bildirilmek şartıyla sigorta sözleşmeleri ile poliçe ve hasar verilerinin ilgili diğer kişilerle paylaşılması mümkündür.
• Sigortacılık verilerinin kullanılması: Sigortacılık verileri; sigortacılık sektöründe kamu gözetimi, denetimi ve ekonomik güvenliğin sağlanmasına ve sağlık hizmetleri finansmanının planlanmasına katkıda bulunmak, sigorta uygulamalarını takip etmek, sigorta branşlarında uygulama birliğini sağlamak, zorunlu sigortaların takibini yapmak, yanlış sigorta uygulamalarının önlenmesine katkıda bulunmak, sigortalılık oranlarının artırılmasına yönelik çalışmalar yapmak, sigortacılık sektörüne ilişkin güvenilir istatistikler üretilmesini sağlamak ve sigorta puanını hesaplamak gibi amaçlarla kullanılır. Yönetmelik’te, ayrıca, Merkezin veri kullanım amaçları da belirtilmiştir.
• Merkezin faaliyetleri:
  • Merkez, sigorta puanını hesaplar. Merkez tarafından hesaplanan sigorta puanına ilişkin usul ve esaslar Kurum tarafından belirlenir.
  • Merkez; üye kuruluşların temin ettiği verilere ilişkin olarak veri olgunluğunun ölçümü için puanlama metotları geliştirmek, Kurum’a sunmak üzere veya üye kuruluş, özellikli kuruluş ve yetkili kullanıcıların talebi üzerine Yönetmelik’te belirtilen raporları hazırlamak, raporlarda mevzuata aykırı olduğu tespit edilen uygulamaları Kurum’a bildirmek, ilgili öznelerin bilgilendirilmesine yönelik çalışmalar yapmak ve teknik altyapının uyguluğunun sınanmasıyla yükümlüdür ve veri sistemlerinde yaşanan sistemsel hata ya da aksaklıklardan, kayıtlı verilerin güvenliğinden ve oluşabilecek sorunların derhal giderilmesinden sorumludur.
• Sorumluluk ve Bilgi verme yükümlülüğü:
  • Üye kuruluşlar, özellikli kuruluşlar ile yetkili kullanıcılar, Merkez tarafından istenen tüm bilgileri, doğru, eksiksiz, tutarlı olarak, zamanında iletmekle ve sağlıklı veri paylaşımı gerçekleştirmek için gereken altyapıyı oluşturmakla yükümlüdür ve yükümlülüklerin yerine getirilmemesinden veya verilerin üçüncü şahıslar ile paylaşılmasından kaynaklanan bir zararın doğması halinde Merkez ödediği tazminatları ilgililere rücu edebilir.
  • Veri sahibinin açık rızası veya onayı aranan hallerde, açık rıza veya onayın alınmasından ve aydınlatma yükümlülüğünün yerine getirilmesinden veri alışverişi yapan muhatap üye kuruluş, özellikli kuruluş ve yetkili kullanıcı ile veri sahibinin muhatabı diğer kurum ve kuruluşlar sorumludur. Yanlış sigorta uygulamalarına taraf kişi ve kuruluşlara ait verilere ilişkin işlemlerde açık rıza veya onay aranmaz.
  • Üye kuruluşlar tarafından bilgi verme yükümlülüğünün yerine getirilmemesi Sigorta ve Reasürans ile Emeklilik Şirketlerinin Mali Bünyelerine İlişkin Yönetmeliğin 11/1(i) maddesi uyarınca şirketin mali bünyesinin sigortalıların hak ve menfaatlerini tehlikeye düşürecek şekilde zayıfladığı hallerden sayılır.
  • Veri paylaşımına dahil olan tüm kurum ve kuruluşların çalışanları gizlilik yükümlülüğü altındadır.
• Sigortacılık verilerine ilişkin talepler:
  • Veri sahiplerinin yanlış sigorta uygulamalarına ilişkin veriler dışında kalan genel veri tabanında yer alan kendilerine ait veriler hakkındaki bilgi talepleri Merkez tarafından on beş gün içerisinde yanıtlanır.
  • Genel veri tabanındaki verilerin eksik veya yanlış olduğunu iddia eden veri sahibinin Merkez’e başvurusu üzerine Merkez, talebi on gün içinde ilgili üye kuruluşa iletir ve ilgili üye kuruluş talebi kabul edip verileri düzeltirse bu durumu, reddederse gerekçesiyle birlikte ret kararını Merkez’e bildirir.
• Kişisel verilerin korunması: Yönetmelik kapsamındaki kişisel veri işleme faaliyetlerinde Kişisel Verilerin Korunması Kanunu’na ve ilgili kanunda yer alan usul ve esaslara uyulmalıdır.
• Geçiş takvimi: Merkez, üretim verileri ve hasar verilerine ilişkin yükümlülükler bakımından branş ya da üye kuruluş bazında geçiş takvimi yayımlar. Geçiş takvimi, gerek görülmesi halinde bir yıl uzatılabilir.

Sonuç

Yönetmelik, sigortacılık verileri işleme süreçlerini detaylı şekilde ele alarak, üye kuruluşlar, özellikli kuruluşlar ve diğer yetkili kullanıcıların yükümlülüklerini belirlemiş ve Merkez’in faaliyetleri ve Kurum ile olan ilişkisini düzenlemiştir. Bu kapsamda, sigortacılık verilerinin toplanması saklanması ve paylaşılmasında Merkez’in ve Kurum’un belirlediği usul ve esasların dikkate alınması gerekmektedir.