Özel Sağlık Sigortalarında Veri Koruma Paradigmasının Dönüşümü: 20 Ekim 2025 Tarihli Yönetmelik Değişikliği Üzerine Bir İnceleme
Özet
20 Ekim 2025 tarihli Resmî Gazete’de yayımlanan yönetmelik değişikliği, Türk sigorta hukukunda kişisel verilerin korunması rejimini kökten değiştirmiştir. Bu çalışma, Özel Sağlık Sigortaları Yönetmeliği’nin 16. maddesinde yapılan revizyonu; 6698 sayılı KVKK, 5684 sayılı Sigortacılık Kanunu ve Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ekseninde analiz etmektedir. Çalışmada özellikle "unutulma hakkı", "veri minimizasyonu" ve "sır saklama yükümlülüğünün zamansal sınırı" konuları doktrinsel görüşlerle ele alınmıştır.
1. Giriş
Sigorta sözleşmeleri, geleneksel olarak uberrimae fidei (azami iyi niyet) ilkesine dayanır ve sigortacının risk değerlendirmesi yapabilmesi için geniş bir bilgi havuzuna erişimini zorunlu kılar. Ancak bu erişim, modern veri koruma hukuku ile çatışma halindedir. 20 Ekim 2025 tarihli yönetmelik değişikliği, bu çatışmayı gidermek amacıyla sigortacılık mevzuatını 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile tam uyumlu hale getirmeyi hedefleyen normatif bir müdahaledir.
2. Yönetmelik İle Getirilen Temel Düzenlemelerin Hukuki Analizi
2.1. "Yazılı Onay" Şartından "Açık Rıza ve İşleme Şartlarına" Geçiş
Yönetmeliğin eski metninde yer alan ve doktrinde eleştirilen genel geçer "yazılı onay" ifadesi kaldırılmış; yerine KVKK m.6’da düzenlenen özel nitelikli kişisel verilerin işlenme şartlarına atıf yapılmıştır.
- Doktrin: Dülger, sigorta sözleşmelerinde alınan matbu rızaların, "özgür irade" unsurunu sakatladığını ve rızanın hizmetin ön şartı (bundle consent) haline getirilmemesi gerektiğini savunur[1]. Yeni düzenleme, verinin işlenmesini sadece rızaya değil, Kanun'daki diğer hukuka uygunluk sebeplerine de dayandırarak bu sorunu aşmayı hedeflemektedir.
- AB Mevzuatı: Bu yaklaşım, GDPR m.9/2(a) (açık rıza) ve m.9/2(h) (sağlık hizmetleri ve sigorta amaçlı işleme) ayrımı ile paralellik göstermektedir.
2.2. Veri Saklama Süresi ve Unutulma Hakkı (Right to be Forgotten)
Yönetmelik, sağlık verilerinin sigortalılık sona erdikten sonra 10 yıl süreyle saklanmasını, bu sürenin sonunda ise silinmesi, yok edilmesi veya anonim hale getirilmesini zorunlu kılmıştır.
- Hukuki Değerlendirme: Bu düzenleme, verilerin sonsuza kadar saklanmasını engelleyen "Veri Saklama Sınırı İlkesi"nin (Storage Limitation - GDPR m.5/1-e) bir yansımasıdır. 10 yıllık süre, TTK m.82 ve TBK m.146’daki genel zamanaşımı süreleri ile uyumlu bir "makul süre" olarak belirlenmiştir.
- Anonimleştirme: Doktrinde Kuz, anonimleştirmenin geri döndürülemez (irreversible) olması gerektiğini, aksi takdirde verinin hala kişisel veri sayılacağını belirtir[2]. Yönetmelik, "anonim hale getirme" seçeneğini sunarak sigorta şirketlerine "Big Data" analitiği için bir kapı aralamaktadır.
2.3. Veri Aktarımında Merkezileşme (SBGM Zorunluluğu)
Şirketler arası veri aktarımının (özellikle geçiş işlemlerinde) doğrudan değil, yalnızca Sigorta Bilgi ve Gözetim Merkezi (SBGM) üzerinden yapılması şartı getirilmiştir.
- Veri Güvenliği: Bu hüküm, KVKK m.12/1 kapsamında veri güvenliğini sağlama yükümlülüğünün, merkezi bir otorite üzerinden denetlenmesini sağlar. Dağınık veri paylaşımı yerine merkezi paylaşım, "Privacy by Design" (Tasarım Gereği Gizlilik) ilkesine uygundur.
2.4. Sır Saklama Yükümlülüğünün Zamansal Genişlemesi
Yönetmelik, sır saklama yükümlülüğünün görev ve sıfat sona erdikten sonra da devam edeceğini açıkça düzenlemiştir.
- Dayanak: Bu düzenleme 5684 sayılı Sigortacılık Kanunu m.31/A ile uyumludur.
- Doktrin: Ünan, sigorta hukukundaki sır saklama yükümlülüğünün sözleşmesel sadakat borcundan bağımsız, kanuni ve sürekli bir yükümlülük olduğunu belirtir[3]. Yeni yönetmelik, bu görüşü pozitif hukuk normu haline getirmiştir.
3. Avrupa Birliği (Gdpr) İle Mukayese
| Konu | 2025 Yönetmelik Düzenlemesi | GDPR Karşılığı |
|---|---|---|
| Özel Nitelikli Veri | Sağlık verileri "bireysel bazda" ve KVKK uyumlu tutulur. | Art. 9: İşlenmesi yasaktır (istisnalar hariç). |
| Unutulma Hakkı | 10 yıl sonunda silme/yok etme/anonimleştirme. | Art. 17: İşleme amacı kalmadığında silinir. |
| Veri Taşınabilirliği | SBGM üzerinden şirketler arası aktarım. | Art. 20: Veriyi başka sorumluya aktarma hakkı. |
4. Sonuç
20 Ekim 2025 tarihli yönetmelik değişikliği, Türk sigorta sektöründe "veri mülkiyeti" kavramını sigorta şirketinden alıp, gerçek hak sahibi olan sigortalıya iade etmiştir. Düzenleme, KVKK’nın genel ilkelerini sigortacılık özelinde somutlaştırarak (lex specialis), doktrindeki "sınırsız bilgi talebi" eleştirilerini bertaraf etmiştir. Artık sigorta şirketleri, sağlık verilerini sadece risk kabul, tazminat ve yenileme süreçleriyle sınırlı (amaçla sınırlılık ilkesi) olarak işleyebilecektir.
KAYNAKÇA
1.Dülger, M. V. (2021). Kişisel Verilerin Korunması Hukuku. İstanbul: Hukuk Akademisi Yayınları. s. 245.
2.Kuz, S. (2019). "Büyük Veri ve Kişisel Verilerin Anonimleştirilmesi Sorunu", TBBD Dergisi, Sayı 142.
3.Ünan, S. (2020). Türk Ticaret Kanunu Şerhi: Sigorta Hukuku Cilt 1. İstanbul: On İki Levha Yayıncılık.
4.Özel Sağlık Sigortaları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik, Resmî Gazete, Tarih: 20.10.2025, Sayı: 33053.
5.Avrupa Birliği Genel Veri Koruma Tüzüğü (Regulation EU 2016/679).