KVKK ile Tam Uyum: Özel Sağlık Sigortalarında Yeni Veri Koruma Düzenlemesi

20 Ekim 2025 tarihli ve 33053 sayılı Resmî Gazete’de yayımlanan “Özel Sağlık Sigortaları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik (“Değişiklik Yönetmeliği”) kişisel sağlık verilerinin işlenmesi ve korunmasına ilişkin hükümleri 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile uyumlu hale getirmeyi ve sigorta sektöründe veri koruma standartlarını güçlendirmeyi amaçlamaktadır.

Değişiklik öncesi, kişinin sigortalılık kayıtlarının ve yazılı onayıyla alınan sağlık bilgilerinin bireysel bazda tutulacağı, söz konusu bilgilerin yalnızca Sigorta Bilgi ve Gözetim Merkezi ve diğer yetkili merciler dışında sigortalının açık rızası olmaksızın üçüncü kişilerle paylaşılamayacağı düzenlenmişti.

Yeni düzenleme ile maddenin kapsamı önemli ölçüde genişletilmiş ve mevcut hükümlerin yerine, KVKK’ya doğrudan atıf içeren daha sıkı bir çerçeve getirilmiştir. Öncelikle, artık yalnızca bireysel değil, grup sigortası sözleşmeleri bakımından da sigortalılık kayıtlarının ve sağlık bilgilerinin bireysel bazda tutulacağı açıkça belirtilmiştir.

Ayrıca, Değişiklik Yönetmeliği ile, yürütülen tüm kişisel veri işleme faaliyetlerinde KVKK ve bu kanuna dayanılarak çıkarılan ikincil mevzuatta yer alan usul ve esaslara uyulmasının zorunlu olduğu açık hükme bağlanmıştır. Böylece, sigorta şirketleri bakımından kişisel sağlık verilerinin işlenmesi yalnızca açık rızaya dayalı olmaktan çıkmış; veri işleme faaliyetlerinin amaçla sınırlı şekilde yürütülmesi, saklama süresi yönetimi, veri güvenliği ve imha yükümlülükleri açısından KVKK’da öngörülen genel ilkelere tam uyum sağlanması zorunluluğu doğmuştur.

Eski düzenlemede sigortalılık kayıtlarının ne kadar süreyle muhafaza edileceğine ilişkin herhangi bir süre öngörülmemekteydi. Buna karşılık, yeni düzenleme ile bu kayıtların sigortalılığın sona ermesinden itibaren on yıl süreyle saklanacağı ve sürenin sonunda silineceği yönünde açık bir hüküm getirilmiştir.

Ayrıca sır saklama yükümlülüğü de yeniden düzenlenmiş ve bu yükümlülüğün kapsamı 5684 sayılı Sigortacılık Kanunu’nun 31/A maddesinde sayılan kişilerle sınırlandırılmıştır. Bu çerçevede, sigortalıya ilişkin sırların saklı tutulmasından sorumlu olan tüm gerçek ve tüzel kişilerin bu yükümlülüğü, ilgili sıfat veya görevin sona ermesinden sonra da devam edecektir.

Sonuç olarak, Değişiklik Yönetmeliği sigorta sektöründe kişisel veri işleme faaliyetlerine ilişkin ikinci düzey bir uyum katmanı oluşturmakta ve şirketlerin KVKK kapsamındaki yükümlülüklerini sektörel denetim mekanizmalarıyla doğrudan ilişkilendirmektedir. Bu nedenle, sigorta şirketlerinin ve aracıların, hem kendi iç politika ve süreçlerini hem de dış hizmet sağlayıcılarıyla ilişkilerini ivedilikle yeni düzenlemeye uygun hale getirmeleri tavsiye edilmektedir.