SİGORTA VERİLERİNE “VERİ KORUMASIZ VERİ MERKEZİ”!

Başbakanlık Hazine Müsteşarlığı 9 Ağustos 2008 tarihli ve 26962 Sayılı Resmi Gazete’de “Sigorta Bilgi Merkezi Yönetmeliği” yayımladı.

Sözkonusu Yönetmeliğin amacı ve kapsamı; 3/6/2007 tarihli ve 5684 sayılı Sigortacılık Kanununun 24 üncü maddesinin 10. fıkrasına göre Türkiye Sigorta ve Reasürans Şirketleri Birliği bünyesinde tüzel kişiliği haiz olarak kurulan Sigorta Bilgi Merkezinin işleyişine ve sigorta şirketlerinin bu konudaki yükümlülüklerine ilişkin usul ve esasları düzenlemektir. Ancak aşağıdaki hükümler incelenddiğinde görülecektir ki; Sigorta Bilgi Merkezi’nin işleyiş usul ve esasları arasında veri koruması, mahremiyet ve bilgi güvenliği gibi kritik konular yer almamaktadır. Yönetmelikte yer alan hükümler hazırlanırken her ne kadar yasalaşmamış olsa da Meclis Altkomisyonunda bulunan Kişisel Verilerin Korunması Kanunu Tasarısı dikkate alınmadığı gibi, Anayasa’nın özel hayatın gizliliği hakkına ilişkin hükmü, Medeni Kanunun kişiliğin korunmasına ilişkin hükümleri ve kişisel verilerin hukuka aykırı olarak işlenmesini suç kabul eden ve yaptırımlarını düzenleyen Türk Ceza Kanunu md. 135 vd. hükümleri de göz ardı edilmiştir.


Kişisel Verilerin Korunması Kanunu Tasarısı’na yönelik olarak getirilen eleştirilerden biri de “veri havuzları oluşturulacağı” iddiasıydı. Oysa birçok yazımda ve konuşmamda Yasa Tasarısı’nın öncelikle adının ve amacının bu tür veri tabanları oluşturulmasının engellenmesi veya oluşturulacaksa buna ilişkin veri koruması hukuku ilkelerinin belirlenmesi olduğunu vurgulamıştım. Tasarı’ya yönelik eleştirilerin bu Yönetmelik bakımından daha güçlü bir şekilde yapılması gerektiği aşikardır. Bu tür Yönetmelikler Türkiye’de veri korumasına ilişkin ayrı ve özel bir yasa olmamasının olumsuz sonuçlarından sadece birisidir. Ancak; pozitif hukuk kurallarımızla bu tür yapılanmalara engel olmamız gerektiği de kaçınılmazdır. Yoksa “fişleme” olarak ifade ettiğimiz ve temel hak ve özgürlüklerimize yakıştıramadığımız eylem daha birçok kurumun birçok farklı uygulaması dolayısıyla karşımıza çıkacaktır.

Sigorta Bilgi Merkezi Yönetmeliği’nde yer alan hükümlere göz atacak olursak:

Yönetmelikte belirtilen görevleri yerine getirmek amacıyla merkezi İstanbul’da olacak Sigorta Bilgi Merkezi kurulmuştur. Kapsam dahilinde olan Hayat, Hastalık/Sağlık, Trafik Sigortaları, Zorunlu Sigortalar ve Birlik görüşü alınmak üzere Müsteşarlıkça belirlenen sigortalara ilişkin veriler ilgili alt bilgi merkezleri nezdinde tutulacaktır. İlgili branşta ruhsat sahibi sigorta şirketleri alt bilgi merkezlerinin doğal üyesidir. Alt Bilgi Merkezleri ise; Sigorta Bilgi Merkezi nezdinde ilgili sigortalar için kurulan bilgi merkezleridir. Merkez nezdinde kurulan alt bilgi merkezlerinin koordinasyonu Koordinasyon Komitesi tarafından yerine getirilir. Koordinasyon Komitesi; Merkez tarafından üretilen bilgi ve belgelerin yetkili kullanıcılar dışındaki diğer isteklilere bedeli mukabilinde veya bedelsiz olarak verilip verilmemesine karar vermek, Merkez tarafından sağlanan veya sigorta sektöründen elde edilen verileri toplulaştırarak uygun görülenleri Müsteşarlığın onayıyla yayımlamak

Burada sahadan toplanan her branştaki sigorta verilerinin, sahadan toplanmasına, işlenmesine ilişkin veri koruması ve mahremiyet ilkeleri belirlenmediği gibi, bu verilerin üçüncü kişi veya kurumlarla paylaşımına ilişkin ilkeler de mevcut değildir. Bu yukarıda sözünü ettiğimiz Anayasa ve ilgili diğer yasal hükümlerin ihlali anlamına gelmektedir.

Sigorta Bilgi Merkezi ve Alt Bilgi Merkezlerinde, Koordinasyon Komitesinde görev yapacak personel bakımından da; veri koruması, mahremiyet ve bilgi güvenliği konularında mutlaka bilgi ve deneyim sahibi olma şartı getirilmelidir.

Alt Bilgi Merkezleri arasında şu kurumlar yer almaktadır:

Trafik Sigortaları Bilgi Merkezi (TRAMER): Görevi ise; üye sigorta şirketlerinin zorunlu trafik, zorunlu taşımacılık ve zorunlu ferdi kaza sigortası sözleşmelerine ilişkin kayıtlarının tutulduğu bir veri tabanı oluşturmak, bu verilerin en çok bir günlük gecikmeyle üye sigorta şirketleri tarafından güncellenmesini sağlamak, Üye sigorta şirketlerinden bahsi geçen sigortalara ilişkin muallâk ve ödenmiş hasar verilerini güncellenmiş ve günlük olarak en çok bir günlük gecikmeyle almak ve bu kayıtları Merkez nezdindeki sigorta kayıtları ile ilişkilendirmek,

Hayat Sigortaları Bilgi Merkezinin amacı, hayat ve kaza branşları altında sunulan sigorta ürünlerine ilişkin güvenilir istatistiklerin üretilmesi, kamu gözetim ve denetiminin daha etkin bir şekilde yerine getirilmesidir. Üye sigorta şirketlerinin hayat ve kaza branşlarında düzenledikleri sigorta sözleşmelerine ilişkin kayıtların en çok bir gün gecikmeyle tutulduğu bir veri tabanını oluşturmak, sigorta sözleşmelerine taraf olan kurum ve kuruluşların, taraf oldukları sigorta sözleşmeleri ile sınırlı olmak kaydıyla, bilgi taleplerinin karşılanmasına yönelik olarak söz konusu kurum ve kuruluşlarla işbirliği yapmak, Yetkili kullanıcıların bilgi taleplerini karşılamak,

Sağlık Sigortası Bilgi Merkezinin amacı sağlık ve hastalık branşları altında sunulan sigorta ürünlerine ilişkin güvenilir istatistiklerin üretilmesi, kamu gözetim ve denetiminin daha etkin bir şekilde yerine getirilmesidir. Görevleri ise; Üye sigorta şirketlerinin sağlık ve hastalık branşlarında düzenledikleri sigorta sözleşmelerine ilişkin kayıtların en çok bir gün gecikmeyle tutulduğu bir veri tabanı oluşturmak, sigorta sözleşmelerine ilişkin muallâk ve ödenmiş hasar verilerini üye sigorta şirketlerinden en çok bir günlük gecikmeyle alarak Merkez nezdindeki sigorta kayıtları ile ilişkilendirmek, Üye sigorta şirketleri tarafından yapılacak risk değerlendirme sürecinin sağlıklı bir şekilde yapılabilmesini teminen, sigortalıya ait kayıtları üye sigorta şirketlerine bedelsiz olarak vermek, Yetkili kullanıcıların bilgi taleplerini karşılamak,

Üyelerin bilgi verme yükümlülüğüne ilişkin olarak öngörülen hükümde ise; “Üye sigorta şirketleri, Merkez tarafından kendilerinden istenen tüm bilgileri, doğru ve eksiksiz olarak, belirlenen şekilde ve sürelerde Merkeze iletmekle yükümlüdür. Üye sigorta şirketleri, zorunlu sigortalar, zorunlu trafik sigortası, zorunlu taşımacılık sigortası ve zorunlu ferdi kaza sigortası sözleşmelerine ait poliçe bilgileri ile güncellenmiş ve günlük muallâk ve ödenmiş hasarlara ve kaza tutanaklarına ilişkin bilgileri Merkez tarafından hazırlanarak Müsteşarlık tarafından onaylanan veri yapısında ve en çok bir günlük gecikmeyle Merkeze iletmek zorundadır. Üye sigorta şirketleri, Yönetim Komitesi kararı üzerine ihtiyari trafik sigortası, kasko sigortası ve Birlik görüşü alınmak üzere Müsteşarlıkça belirlenen sigorta sözleşmelerine ait içeriği ve veri yapısı Birlik tarafından belirlenen poliçe bilgileri ile güncellenmiş ve günlük muallâk ve ödenmiş hasar verilerini en çok bir günlük gecikmeyle Merkeze iletmek zorundadır. Üye sigorta şirketleri, Merkez tarafından, hatalı olarak gönderildiği tespit edilen bilgileri gecikmeksizin düzeltmek ve düzeltme kayıtlarını en çok bir günlük gecikmeyle Merkeze iletmek zorundadır”.

Sigortalılara taraf oldukları sigorta sözleşmeleri ile ilgili özet sigorta ve hasar bilgilerine internet ortamında erişim imkânı sağlanacağı öngörülmektedir. Burada da bu erişime ilişkin güvenlik kriteleri belirlenmiştir. Özellikle kimlik tespiti, kimlik doğrulaması, yetkilendirme gibi konulara ilişkin hüküm yoktur.

Bilgilere erişim hakkı bakımından teknik ve hukuki ilkelerin belirlenmesi gereken diğer hükümler ise şunlardır:
“Münhasıran çalışma konuları ile ilgili olmak üzere Merkez nezdinde tutulan bilgilere dışarıdan erişim tanınacak yetkili kullanıcılar ve erişebilecekleri kayıtların içeriği ile erişim şekli Müsteşarlıkça belirlenir.

Kurallara uymayan yetkili kullanıcıların sisteme erişimleri ve bilgi kayıtlarından yararlanmaları, Müsteşarlığın onayına tabi olmak üzere ilgili Yönetim Komitesi kararıyla sınırlandırılır. Bu durumun süreklilik göstermesi halinde, bu kişilerin sisteme erişim ve bilgi kayıtlarından yararlanma yetkileri Müsteşarlığın onayına tabi olmak üzere ilgili Yönetim Komitesi kararıyla kaldırılır.

Merkez nezdinde tutulan bilgileri talep eden yetkili kullanıcılar dışındaki diğer isteklilerin talepleri ilgili Yönetim Komitesi tarafından karara bağlanır. Bu fıkra kapsamında verilecek bilgilerin içeriği Müsteşarlık tarafından belirlenir.

İlgili Yönetim Komitesi, yetkili kullanıcılar dışındaki diğer isteklilerin sahip oldukları bilgileri belirlenen amaç doğrultusunda kullanmalarını teminen gerekli tedbirleri alır.

İkinci ve dördüncü fıkralar kapsamında tanınacak erişimin ve/veya verilecek bilgilerin ücretinin belirlenmesine veya ücretsiz olarak sağlanmasına ilgili Yönetim Komitesinin görüşü üzerine Koordinasyon Komitesince karar verilir. Münhasıran çalışma konuları ile ilgili olmak üzere kamu kurum ve kuruluşlarına bu madde kapsamında sağlanan hizmet ücrete tabi değildir”
.

0 yorum: