Sağlık Sigortasında Açık Rıza Çıkmazı: Sigorta Şirketi Haklı mı? (Karar: 2020/667)
Kişisel Verileri Koruma Kurulu (Kurul), 03/09/2020 tarihli bu kararıyla, özel nitelikli kişisel verilerin (özellikle sağlık verilerinin) işlenmesinde “açık rıza” ve “hizmet şartı” arasındaki ince çizgiyi netleştirmiştir. Karar, sigorta şirketlerinin poliçe düzenlemek için neden açık rıza talep etmek zorunda olduğunu yasal gerekçeleriyle ortaya koymaktadır.
1. Olayın Özeti: “Rıza Vermezsem Poliçem Yenilenmez mi?”
Olay: Bir vatandaş, ailesi için yaptırdığı özel sağlık sigortası poliçesini yeniletmek üzere sigorta şirketine başvurmuştur. Ancak şirket, poliçeyi yenilemek için ilgili kişiden kişisel verilerinin işlenmesine dair açık rıza vermesini istemiştir.
Şikâyet: Vatandaş, hizmet alabilmek (poliçe yenilemek) için açık rıza vermeye zorlanmasının KVKK’ya aykırı olduğunu, rızanın bir “hizmet şartı” haline getirilemeyeceğini ileri sürerek şikâyetçi olmuştur.
2. Kurulun Hukuki Değerlendirmesi: Sağlık Verisi ve İstisnalar
Kurul, şikâyeti KVKK’nın 6. maddesindeki “Özel Nitelikli Kişisel Veriler” rejimi üzerinden analiz etmiştir:
A. Sağlık Verisinin Hassas Niteliği (Md. 6)
Sağlık verileri, kanunda sınırlı olarak sayılan özel nitelikli kişisel verilerdendir. Bu verilerin rızasız işlenebilmesi için kanun çok katı bir sınır çizmiştir.
- Kural: Sağlık verileri ancak; kamu sağlığının korunması, tıbbi teşhis, tedavi veya sağlık hizmetlerinin finansmanının planlanması amacıyla, sır saklama yükümlülüğü altındaki kişiler (doktorlar, sağlık personeli vb.) tarafından rızasız işlenebilir.
B. Sigorta Şirketi “Sır Saklama Yükümlüsü” müdür?
Kurulun değerlendirmesine göre; sigorta şirketleri poliçe hazırlarken sağlık verilerini (geçmiş hastalıklar, tetkikler vb.) işlemek zorundadır. Ancak sigorta şirketleri, Kanun’un 6/3 maddesinde sayılan “rızasız işleme yetkisine sahip” kurumlar (hastaneler, doktorlar vb.) kapsamında değerlendirilmemektedir.
- Sonuç: Sigorta şirketleri, poliçe kurgulamak ve risk analizi yapmak için ihtiyaç duydukları sağlık verilerini ancak ve sadece ilgili kişinin açık rızasıyla işleyebilirler.
C. Hizmet Şartı mı, Yasal Zorunluluk mu?
Normal şartlarda açık rızanın bir hizmetin ön koşulu yapılması (Örn: Bir kafede Wi-Fi kullanmak için pazarlama izni istemek) hukuka aykırıdır.
- Fark: Sağlık sigortası sözleşmesinde durum farklıdır. Şirketin poliçe üretebilmesi için sağlık verisini görmesi “teknik ve yasal bir zorunluluk”tur. Bu veriyi işlemenin yasal yolu da (sigorta şirketi için) sadece “açık rıza”dır. Dolayısıyla rıza alınması, keyfi bir hizmet şartı değil, akdin kurulabilmesi için yasal bir mecburiyettir.
3. Karar Sonucu: “Şikâyet Reddedildi”
Kurul inceleme neticesinde;
- Sağlık sigortası poliçesinin doğası gereği özel nitelikli sağlık verilerini içerdiği,
- Sigorta şirketinin bu verileri Kanun gereği açık rıza olmaksızın işlemesinin mümkün olmadığı,
- Bu nedenle rıza talep edilmesinin hukuka aykırı değil, kanuni bir gereklilik olduğu,Gerekçeleriyle, sigorta şirketi hakkında tesis edilecek bir işlem olmadığına karar vermiştir.
4. Özgür Eralp Perspektifi: “Sağlık Verisi Varsa Rıza Şarttır”
Bilişim ve sigorta hukuku tecrübemizde, vatandaşların “Hizmet alıyorum, verimi de işlemek zorundasınız, neden rıza istiyorsunuz?” şeklindeki kafa karışıklığına sıkça rastlıyoruz. Ancak KVKK’da sağlık verileri “dokunulmaz” kabul edilir. Sigorta şirketleri, bu verileri işleyebilecek “yetkili kurumlar” listesinde sayılmadığı için açık rızasız attıkları her adım onları ağır cezalarla karşı karşıya bırakır.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Eğer bir sözleşmenin (sağlık sigortası gibi) doğası gereği özel nitelikli veri işlenmesi kaçınılmazsa ve kanunda o veriyi rızasız işlemek için özel bir madde yoksa, şirketlerin rıza istemesi yasaldır. Burada önemli olan; şirketin bu rızayı alırken verileri sadece “poliçe üretme ve risk yönetimi” için kullanacağını belirtmesi, bu rızayı “reklam ve pazarlama” amaçlarıyla karıştırmamasıdır. Eğer şirket rıza metnine pazarlama maddelerini de sokuşturursa, o zaman rıza sakatlanır ve ihlal doğar.
Sıkça Sorulan Sorular
1. Özel sağlık sigortası yaptırırken parmak izimi veya genetik verimi isteyebilirler mi?
Poliçe risk analizi için gerekli ve ölçülü olduğu sürece isteyebilirler, ancak bu veriler “özel nitelikli” olduğu için mutlaka açık rızanızı almaları gerekir. Ancak bu talebin “ölçülülük” ilkesine uygun olması şarttır.
2. Rıza vermezsem sigorta şirketi poliçemi yenilemeyebilir mi?
Evet. Sağlık verilerinizi işlemesine izin vermediğiniz bir şirket, riskinizi ölçemez ve priminizi belirleyemez. Veri işleme şartı oluşmadığı için sözleşmeyi kurmaktan kaçınabilir.
3. Hastaneler neden rıza almadan verilerimi kaydediyor da sigortacı istiyor?
Çünkü KVKK Md. 6/3, hastaneleri ve doktorları “tıbbi teşhis ve tedavi” amacıyla yetkili kılmıştır. Sigorta şirketleri bu kapsamda birer “sağlık tesisi” değil, “finansal kuruluş” oldukları için rızaya muhtaçtırlar.
4. Sigorta şirketine verdiğim sağlık verileri silinebilir mi?
Poliçe süresi boyunca ve yasal zamanaşımı süreleri (genellikle 10 yıl) dahilinde verileriniz saklanır. Ancak bu sürelerin sonunda veya işlemenin hukuki sebebi ortadan kalktığında silinmesini talep edebilirsiniz.
5. Açık rıza metnini imzalamazsam ne olur?
Süreç tıkanır. Şirket, verilerinizi işlemeye başladığı an ihlal yapmış sayılacağı için (yasal dayanağı olmadığından) işlemi gerçekleştirmeyecektir.
Kaynaklar
- KVKK Kurumu – 2020/667 Sayılı Karar Özeti
- 6698 Sayılı KVKK (Madde 6 – Özel Nitelikli Kişisel Veriler)
- 5684 Sayılı Sigortacılık Kanunu
Etiketler
KVKK, Sağlık Sigortası, Özel Nitelikli Kişisel Veri, Sağlık Verisi, Açık Rıza, Hizmet Şartı, 2020/667 Sayılı Karar, Bilişim Hukuku, Özgür Eralp, Poliçe Yenileme, Sigortacılık Mevzuatı, Veri İşleme Şartları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),