- within Corporate/Commercial Law and Antitrust/Competition Law topic(s)
- with readers working within the Retail & Leisure industries
20 Ekim 2025 tarihinde yayımlanan "Özel Sağlık Sigortaları Yönetmeliği'nde ("Yönetmelik") Değişiklik Yapılmasına Dair Yönetmelik" ile sağlık verilerinin işlenmesine ilişkin şartlarda önemli değişiklikler yapılmıştır. Değişiklikler ile özel sağlık sigortası teklifi oluşturulması ile poliçe süreçlerinin güncellenen mevzuat doğrultusunda gözden geçirilerek yeniden kurgulanması ihtiyacı doğmuştur. Yönetmelik'teki değişiklikler 1 Ocak 2026 tarihinde yürürlüğe girecektir.
Mevzuatsal Arka Plan
1 Haziran 2024 tarihinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu'ndaki ("KVKK") özel nitelikli kişisel verileri işleme şartlarını düzenleyen hükümde değişiklik olmuştu. Değişiklik öncesinde sağlık verileri sigorta şirketleri tarafından sigortalının açık rıza şartına dayalı olarak işlenebilmekteydi.
KVKK'da yapılan değişiklikler ile özel nitelikli kişisel veriler, sigorta şirketleri açısından "kanunlarda açıkça öngörülme" ve "bir hakkın tesisi, kullanılması veya korunması için zorunlu olma" gibi hukuki sebeplere dayanarak da işlenebilir hale gelmiştir. Bu kapsamda sigorta şirketlerinin, sigortalının açık rızasını talep etmeksizin sağlık verilerini işleyebilmesinin önü açılmıştır. Nitekim sigorta hükümlerinin düzenlendiği 6102 sayılı Türk Ticaret Kanunu'nda sigorta ettirenin beyan yükümlülüğü ile sigorta şirketinin araştırma yükümlülüğü gibi sigorta şirketlerinin kişisel veri işlemesine imkan veren hükümler de düzenlenmektedir. Dolayısıyla, sigortacılık mevzuatındaki bu düzenlemelerin uygulanabilmesi ve sigorta ilişkisi kapsamındaki yükümlülüklerin yerine getirilebilmesi için sağlık verilerinin işlenmesi de gerekebilmektedir.
Ancak bu geçiş sürecinde, Yönetmelik'in 5. maddesinin 3. fıkrasında düzenlenen "Şirket, sigortalının yazılı onayı alınarak, sigortalıyı tedavi eden kişi ve kurumlardan, SBGM'den, SGK'dan veSağlıkBakanlığından ilgili mevzuat çerçevesinde bilgi alma ve belge isteme hakkına sahiptir." ifadesinde yer alan "sigortalının yazılı onayı alınarak" ibaresi sebebiyle belirli durumlarda sigortalının onayı bulunmaksızın geçmiş sağlık verileri işlenememekteydi. Bu hüküm sebebiyle geçmiş sağlık verilerinin özellikle poliçe üretim aşamasında işlenebilmesi için sigortalının açık rızasının alınması gerekebilmekteydi. Dolayısıyla KVKK'nın değişmesi ile sağlık verilerinin açık rıza şartı aranmaksızın işlenebilir olmasına rağmen Yönetmelik'te bulunan hüküm sebebiyle yazılı onay bulunmaksızın sağlık verileri kullanılamamaktaydı.
Yazılı onay şartı ise uygulamada sigorta şirketleri açısından önemli çıkmazlara yol açmaktaydı. Örneğin, sağlık kuruluşlarından açık rıza olmaksızın sağlık verilerinin elde edilememesi, poliçe üretim aşamasında risk tespitini güçleştirmekteydi. Diğer yandan, sigortalının mevcut poliçesinin sona ermesi ve yeni bir sigorta şirketinden poliçe yaptırması durumunda, önceki sigorta şirketinin geçmiş sağlık bilgilerini yeni şirkete aktarabilmesi için de sigortalının açık rızası gerekmekteydi. İlave olarak, Sigorta Bilgi ve Gözetim Merkezi ("SBGM") sistemlerinde sigortalı bilgilerinin tutulabilmesi için yine sigortalının onayı aranıyordu. Bu düzenlemeler sebebiyle, özellikle grup sağlık poliçelerinde geçiş işlemleri sırasında risk tespitinin yapılması oldukça güçleşiyordu.
Yönetmelik Değişiklikleri ve KVKK Bakımından Etkileri
Yönetmelik'te yapılan değişikliklerle, Yönetmelik'in 5. maddesinin 3. fıkrasında yer alan "sigortalının yazılı onayı alınarak" ifadesi hükümden çıkarılmıştır. Böylece, sigorta şirketlerinin bilgi alma ve belge isteme hakkı kapsamında, sigortalıdan sağlık verilerinin işlenmesine yönelik yazılı onay alınması şartı kaldırılmıştır. Bu hükümle paralel olarak, Yönetmelik'te sağlık verilerinin yazılı onayla SBGM sistemlerine aktarılabileceği ve yalnızca yazılı onay bulunması halinde sağlık bilgilerinin kayıt altına alınabileceğine yönelik atıf yapılan diğer maddeler de revize edilmiş; sağlık verilerinin işlenmesinde yazılı onay şartı Yönetmelik genelinde kaldırılmıştır.
Kişisel Verileri Koruma Kurumunun yayımlamış olduğu "Özel Nitelikli Kişisel Verilerin İşlenmesine İlişkin Rehber"de, ikincil mevzuata açıkça yönlendirme yapılması durumunda, özel nitelikli kişisel verilerin "kanunlarda açıkça öngörülmesi" hukuki sebebine dayanılarak işlenmesinin mümkün olabileceği belirtilmiştir. Bu kapsamda, Yönetmelik'teki yazılı onay şartının kaldırılması ve mevcut düzenlemeler birlikte değerlendirildiğinde, sağlık verilerinin açık rıza dışındaki "kanunlarda açıkça öngörülme" hukuki sebebine dayanılarak işlenmesinin önü açıldığı söylenebilecektir.
Mevzuat değişikliği ile sigorta şirketlerinin sigortalıyı tedavi eden kişi ve kurumlardan bilgi alma ve belge isteme hakkı açıkça düzenlenmiştir. Yapılan değişiklik sonrasında, sigorta şirketleri, sigortalının açık rızası aranmaksızın sağlık kuruluşlarından, SBGM'den Bakanlık'tan, SGK'dan bilgi ve belge talebinde bulunabilecektir.
Yeni düzenleme ile ayrıca sigortalı geçiş bilgilerinin SBGM sistemleri aracılığıyla yürütülmesi zorunlu hale getirilmiştir. Böylece sigorta şirketlerinin birbirlerinden doğrudan bilgi ve belge talep etme uygulaması sona ermekte ve bilgi paylaşımının SBGM'de yer alan veri seti aracılığıyla sağlanması beklenmektedir. Ayrıca bu aktarımda açık rıza aranması uygulaması da sona erecektir.
Yönetmelik'te yer alan değişiklikler kapsamında ayrıca kişisel veri işleme faaliyetlerine ilişkin Kişisel Verilerin Korunması Kanunu'na doğrudan atıf yapılmış ve sigortalı hakkındaki sırlara vakıf olan kişiler bakımından sır saklama yükümlülüğünün görevin sona ermesinden sonra da devam etmesi gerekliliği mevzuata eklenmiştir. Buna ilave olarak SBGM tarafından tutulan verilere ilişkin yasal saklama süresi öngörülmüştür. Bu kapsamda, SBGM tarafından tutulan sigortalılık kayıtları ve sağlık bilgileri kişinin sigortalılığının sona ermesinden itibaren 10 yıl boyunca muhafaza edileceği belirtilmiştir. Bu hüküm her ne kadar SBGM'de tutulan verilere ilişkin olsa da sigorta şirketleri açısından da referans alınabilecektir.
Sonuç ve Değerlendirme
KVKK ve Yönetmelik'te yapılan değişiklikler ile özel sağlık sigortası süreçlerinde sağlık verilerinin sigortalının açık rızası/onayı olmadan işlenmesinin yolu açılmıştır. Sigorta şirketlerinin güncel durumda açık rıza aranmaksızın elde edilen verilerle daha kapsamlı ve detaylı bir değerlendirme yapılması gündeme gelecektir. Bu durumda sağlık verilerinin işlenmesinde ölçülülük, veri minimizasyonu ve amaçla sınırlılık gibi ilkelere uyulması büyük önem taşımaktadır. Ayrıca sigorta şirketlerinin bu süreçte uyguladığı teknik ve idari tedbirlerin yanı sıra veri saklama sürelerini de gözden geçirmeleri gerekmektedir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
