Sağlık sigortalarında KVKK’ya alternatif yorum ihtiyacı

Kişisel verilerin korunması bütün dünyada olduğu gibi ülkemizde de son zamanlarda öne çıkan ve sıkça tartışılan konuların başında gelmektedir. Sigortacılık, kişisel verilerin toplanmasını, işlenmesini ve paylaşılmasını gerektiren bir etkinliktir. Bu nedenle bir yandan bu gereğin mümkün olduğunca kolay ve çabuk yerine getirilmesini sağlamak, diğer yandan ise veri sahiplerinin korunmaya değer çıkarlarını yeteri ölçüde gözetmek ihtiyacı vardır.

Türkiye’nin kişisel verilerin korunması alanında benimsemiş olduğu hukuk kuralları büyük ölçüde Avrupa Birliği’nden (AB) alınmıştır. Ancak AB, son zamanlarda yeni ve eskisinden kısmen farklı bir düzenlemeye gitmiş bulunmaktadır. Ülkemiz henüz bu son düzenleme doğrultusunda değişiklik gerçekleştirmemiştir. Yasal düzenlememiz “Kişisel Verilerin Korunması Kanunu”(kısaca KVKK) içinde yer almaktadır.  “Kişisel veri”bir gerçek kişiye ilişkin her türlü veri anlamına gelmektedir. Ancak bu gerçek kişinin “kimliği belirli”veya en azından “kimliği belirlenebilir”olması lâzımdır (KVKK m.3(1)(d)).

“Kişisel verinin işlenmesi”kural olarak veri ile ilgili ve veri üzerindeki her türlü işlemi ifade etmektedir. Veri işleme, belirli bir veri kayıt sistemi dahilinde gerçekleştirilmelidir (KVKK m.3(1)(e)). Ana ilke kişisel verilerin “açık rıza”olmadan işlenememesidir (KVKK m.5(1)). Ancak yasa, bazı hallerde, açık rıza koşulunun aranmayacağını hükme bağlamıştır (KVKK m.5(2)).

Bazı kişisel veriler “özel nitelikli kişisel veri”sayılmış ve bunlar hakkında daha “sıkı bir koruma”öngörülmüştür. Özel nitelikli kişisel veriler arasında “sağlık ile ilgili veriler”ve “cinsel hayatla ilgili veriler”de mevcuttur. Sağlık verileri ve cinsel hayata ilişkin veriler “kamu sağlığının korunması”,“koruyucu hekimlik”, “tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi”ve “sağlık hizmetleri ile bu hizmetlerin finansmanının planlanması ve yönetimi”amacıyla açık rıza aranmaksızın da işlenebilmektedir. Bu işlemenin “sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından”gerçekleştirilmesi lazımdır (KVKK m.6(3) cümle 2). Özel nitelikli kişisel verilerin işlenmesinde Kişisel Verileri Koruma Kurulu (kısaca Kurul) tarafından belirlenen önlemlerin alınmış olması da şarttır (KVKK m.6(4)).

VERİ OLMADAN SİGORTA MÜMKÜN DEĞİL

Sağlık verilerinin işlenmesi, birçok sigorta bakımından gerek sözleşmenin yapılması gerek ifası için zorunludur. Mesela;

– Sağlık sigortasında, sigorta koruması altına girmek isteyen kişinin sağlık durumunun bilinmesi sigortacının o kişiye sigorta güvencesi sağlayıp sağlamayacağını kararlaştırması veya sözleşme yapmayı uygun görmekte ise bunu hangi sınırlamalarla yapacağını belirleyebilmesi için elzemdir.

– Aynı şekilde, sağlık giderleri sigortasında sigorta şemsiyesi altına girmiş olan bir sigortalı sigortacıdan ödeme talep ettiğinde, bunun yerinde ve sözleşmeye uygun bir istem olup olmadığını saptamak için sağlık verilerini değerlendirmek gerekir.

– Sağlık verilerinin işlenmesi hayat, kaza, hastalık ve sorumluluk sigortalarında da gereklidir.

– Buna karşılık kaza sigortasında sigortalının sağlık durumuna ilişkin verilerin işlenmesi, gerçekleşmiş olan sakatlıkların teminat kapsamında olup olmadığı veya eğer teminata dahil iseler ne ölçüde ödeme yapılması gerektiğini saptamak bakımından önem taşımaktadır.

– Sigorta süresi içinde sözleşmede öngörülmüş olan hastalıklardan birine yakalanılmış olması halinde toplu bir para almaya hak kazandıran “hastalık”sigortasında da, gerek sözleşmenin yapılması sırasında riziko değerlendirmesi amacıyla gerek daha sonra rizikonun gerçekleşmiş sayılıp sayılmayacağının tespiti için sağlık verilerinin işlenmesi icap etmektedir.

– Sorumluluk sigortalarında da, ölüm ve bedensel zararlardan kaynaklanan sorumlulukların değerlendirilmesi için sağlık verilerinin incelenmesi zorunluluğu söz konusudur.

Sigortacılar, sağlık verilerini çoğu zaman üçüncü bir kişiden almakta ve çoğu halde de bunları değerlendirmek için uzman üçüncü taraflarla paylaşmaktadırlar. Mesela, sağlık sigortası yaptırmış olan bir kişinin gördüğü tedavinin sigorta öncesinde var olan bir rahatsızlıkla ilgili olup olmadığını belirleyebilmek için sağlık kuruluşlarından önceki tedavilere ilişkin bilgi edinilmesi veya sigortalının gördüğü/göreceği tedavinin teminat dahilinde olup olmadığının değerlendirilmesi için dışarıdan hizmet alınması ihtiyacı doğabilmektedir.

GRUP SİGORTALARI MESELESİ

Özel nitelikli kişisel veri kategorisinin en başta gelen örneği olan sağlık verilerinin işlenebilmesi, yukarıda da altını çizdiğimiz gibi kural olarak veri sahibinin buna izin vermesi ile mümkün olmaktadır. Bu iznin “açık”olması da zorunlu görülmüştür. Veri sahibinin bazı davranışlarından onun “izin verdiği”sonucunun çıkartılması üzerine ona ait verilerin işlenmesi kural olarak hukuka uygun bulunmamaktadır. Bununla birlikte bu kuralın en azından bazı durumlarda “yumuşatılması”gerektiği kanısındayız.

Sigorta sektörünün en güncel sorunlarında biri sağlık verilerinin işlenmesi bakımından ortaya çıkmıştır. Sağlık verilerinin işlenmesi için sigortalılardan açık rıza alabilmek çoğu halde mümkün olmamaktadır. Sigortacılar bu hususta şu açıklamaları yapmaktadırlar:

• Sigortalı sayısının on binlerle, yüz binlerle ifade edildiği grup sigortalarında ve aile sağlık sigortalarında tüm çabalara rağmen açık rıza koşulu yerine getirilememektedir.
• Aile sağlık sigortalarında sigortacı aileden yalnızca bir kişi ile temas ederek diğer aile bireylerini de sigorta kapsamına almaktadır. Ancak sigortaya dahil edilen diğer aile bireylerine sigorta sözleşmesi sırasında ulaşılamamaktadır.
• Grup sigortalarında her sene ihale usulü ile teklif toplanmakta ve prim ağırlıklı/maliyet temelli değerlendirmeler sonucunda sık sık şirket değişikliği söz konusu olmaktadır. Grup sağlık sigortalarında sigorta yaptırmaya ilişkin karar, sigorta ettiren (grup kurucusu) tarafından verildiği için, grup üyesi sigortalılar hiçbir aşamada sürece dahil olmamaktadır. Grup için yeni şirkette sigorta sözleşmesi yapılırken işlem yalnızca“isim listesi”üzerinden tamamlanmakta; grup üyesi sigortalılardan başvuru formu alınmamaktadır. Grup sigortalarında sigorta ettirenler de, operasyonel yük kaygısıyla her bir grup üyesinden açık rıza alınması için sigortacılara destek olmamaktadırlar.

Türkiye Sigorta Birliği, sigorta şirketlerinin KVKK m.6(3) kapsamındaki kurumlar arasında kabul edilmesi gerektiğini belirterek Kurul’a başvurmuş ve bu yönde bir “yorum”talep etmiştir. Ancak Kurul, bu talebi “KVKK m.6(3)’teki şartların oluşmaması nedeniyle sigortalıya ait kişisel sağlık verilerinin ilgili kişinin açık rızası alınmaksızın işlenmesinin Kanun’a aykırılık teşkil edeceği, kişisel verilerin korunması hakkının temel hak ve özgürlükler arasında yer alıyor olması da dikkate alınmak suretiyle, Kanun’un amir hükümlerini genişletecek nitelikte Kurul kararı tesis edilmesinin mevcut meri mevzuat karşısında hukuka uygun olmayacağı”  gerekçesiyle reddetmiştir.

Kanımızca Kurul, KVKK’daki düzenlemeyi yorumlarken esnek davranabilir ve sigortacıların sağlık verilerini işlemelerine yeşil ışık yakabilirdi. Sigorta şirketlerinin en azından “tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi”bağlamında kaynak yaratarak önemli bir katkı sağladıkları ve “sağlık hizmetlerinin finansmanının ve yönetiminin planlanmasında”rol üstlendikleri kuşkusuzudur. Özel sağlık sigortaları sayesinde kamunun üzerindeki ekonomik yükün en azından hafifletildiği bir gerçektir. Sağlık sigortası teminatı vermekte olan sigorta şirketlerinin “kamu sağlığının korunması”amacına hizmet ettikleri kabul edilmelidir. Bu çerçeve içinde yasa gereği “sır saklama yükümlülüğü”altındaki sigorta şirketlerini hiç değilse sağlık sigortası bakımından KVKK m.6(3) kapsamında saymakta sakınca yoktur. Yasanın sözü ve mantığı buna engel değil tersine destektir. Bu sebeple, Kurul’un sigortacıların KVKK m.6(3) kapsamında olduğu yorumunu benimseyip, sağlık verilerini işlemekte tabi olacakları ek kuralları belirlemesi en doğru adım olacaktır.

Bu noktada, ülkemizde sürdürülen uygulamanın bazı yönlerine kısaca değinelim ve bunlarla ilgili yorumlarımızı sunalım:

• Sağlık sigortası kapsamında sigortalı olan bir kişi, eğer sözleşme ilişkisi kurulurken sigortacıya sağlık verilerini aktarmamışsa, daha sonra tanı ve tedavi için harcama yapıp sigortacıdan bunların karşılanmasını istediği aşamada bu verileri paylaşmadığı sürece zaten -olağan koşullarda- ödeme alamayacaktır.
• Bütün sigortalarda uygulanan “sözleşme öncesi bildirim yükümlülüğü”sağlık sigortası yaptırılırken de yerine getirilmelidir. Sigorta ettiren, sigortacının sigortayı yapıp yapmamaya ilişkin kararını belirleyen bütün önemli hususları sözleşme kurulmadan önce sigortacıya bildirmek zorundadır. Şu halde sağlık verilerinin sözleşme öncesinde paylaşılması zaten yasanın öngördüğü bir husustur.
• Sağlık sigortası yaptırmak üzere sigorta ettirene başvuran bir sigortalı adayı, işin doğası gereği sağlık verilerini işleme konusunda sigortacıya onay vermiş sayılmalıdır. Sigorta sözleşmesinin başkası lehine yapıldığı hallerde ise, sigortadan haberi olan ve sigorta ettirenin girişimine karşı çıkmamış bulunan sigortalı adayını da onay vermiş kabul etmek doğru olur. Ancak, başkası lehine sigorta olasılığında, sigortalı adayının kendisi için sigorta yapılacağı hususunda bilgi sahibi olup olmadığını ve bunu uygun bulup bulmadığını belirlemek sigortacı açısından zordur. Bununla birlikte, kendisi için yaptırılan sigortayı onayladığını sigortacıya bildirmiş olan bir sigortalının, verdiği bu onay ile aynı zamanda sağlık verilerinin sigortacı tarafından işlenmesine rıza gösterdiği sonucuna varmak yanlış olmaz.
• Sigortacıdan bir sağlık harcaması için istemde bulunan sigortalı da bu harcamanın sigorta kapsamında olup olmadığının belirlenmesi bakımından lazım geldiği ölçüde sağlık verilerinin işlenmesini onaylamış kabul edilmelidir.
• Aynı şekilde, sağlık kuruluşuna başvurarak tanı veya tedavi amaçlı hizmet almak isteyen bir sigortalı eğer özel sigortası olduğu bilgisini sağlık kuruluşuna aktarır ve sağlık kuruluşu tarafından sigorta şirketinden “provizyon”alınması sürecinin işletilmesine itiraz etmezse, bu olasılıkta da sağlık verilerinin sigortacı tarafından işlenmesine razı olmuş sayılmalıdır.
• Bütün bu hallerde, onayın “açık”olması koşulunun da yerine gelmiş bulunduğu benimsenmelidir. Çünkü sigortacının sözleşme öncesinde üstleneceği riziko için değerlendirme yapacağı ve daha sonra tanı veya tedavi gideri söz konusu olduğunda da bunu ödeyip ödememe bakımından sağlık verilerini değerlendireceği herkesçe bilinen bir husustur.
• Hayat sigortalarında kanun çok ilginç bir düzenleme içermektedir: Yaşama (kararlaştırılan tarihte hayatta bulunma) koşullu sigortalarda, ayrılma değerini almaya hak kazanmış sayılmak için sigortalının “sağlıklı”olduğunu kanıtlaması gereklidir (TTK 1500(2)). Görüldüğü gibi, kanun sigorta uygulamalarında sigortalının sağlık verilerinin paylaşılmasının yasal bir gerek olduğunu, aksi halde sigortacının edimini yerine getirmekle yükümlü tutulamayacağını hükme bağlamaktadır (belirtelim ki, sözü geçen TTK 1500(2) hükmü kanımızca insanlık değerlerine aykırıdır. Sigortadan ayrılma hakkını diğer bütün koşullar itibariyle kazanmış bir kişiden, “yakında onu öldürebilecek bir hastalığı olduğu”için bu hakkı esirgemenin vicdana sığmadığı düşüncesindeyiz. Ayrılma hakkı ya vardır ya yoktur; sigortalının vadeden önce ölebileceği olasılığı yüzünden bu hakkını yitirmesi doğru bir çözüm değildir ve olamaz).
• İşveren sorumluluk sigortalarında, birçok halde iş kazası sonrasında kaza geçiren çalışana en yakın sağlık kuruluşunda tedavi uygulanmakta ve bunun gerektirdiği giderler de işveren tarafından karşılanmaktadır. İşveren daha sonra faturayı sigortacıya sunularak ödeme talep etmektedir. Sigortacının yalnızca faturadaki bilgilere dayalı olarak ödeme yapması dahi aslında başkasının sağlık verilerinin işlenmesi niteliğindedir. Ancak, bu gibi bir halde sorumluluk sigortacısı fatura ile yetinmeyebilecek ve iş kazasına maruz kalan çalışanın gördüğü tedavi ile ilgili başka bilgi ve belgelere de ihtiyaç duyabilecektir. Ancak o aşamada çalışanın bu ihtiyacın karşılanması için onay vermeleri çoğu zaman söz konusu olmamaktadır.

Yukarıdaki açıklamalarımız ve uygulamada karşılaşılan zorluklar ışığında, sigortacıların sağlık verilerine sigortacılık amaçlarıyla sınırlı olarak ulaşmasını ve bu verileri işlemesini mümkün kılacak yorum ve çözümlere yönelmemiz gerektiği düşüncesindeyiz.

• Bu doğrultuda ilk olarak Kurul tarafından sigorta şirketlerinin KVKK m.6(3) kapsamında kabul edilmeleri yoluyla “sağlık sigortaları”açısından çözüm üretilebilir. Bu çözümde sağlık giderleri teminatı vermiş olan sigorta şirketleri sağlık verilerini inceleyebileceklerdir.
• Sağlık verilerinin işlenmesine ihtiyaç duyulan diğer sigortalarda, “açık rıza”koşulu ile ilgili olarak gerçekçi ve makul yorum yapılarak ilerlenmelidir.

– Tartışmasız uygulama, sigorta ettirenler ve sigortalılardan yazılı açık rıza alınmasıdır. Ancak bunun çeşitli sebeplerle mümkün olamadığı bilinmektedir.

–           Bazı hallerde açık rıza koşulunun davranışa bağlı olarak yerine gelmiş sayılması lazımdır. Belirli davranışların, zorunlu olarak rızayı içerdiği kabul edilmelidir.

• Bu bağlamda sözleşmenin kurulması safhası ile gerçekleşen rizikonun incelenmesi ve değerlendirilmesi safhalarını ayrı ayrı ele almak ve her bir safha için sigortacıya izin verilip verilmediğini değerlendirmek uygun olur.
• Sigorta ettirenler sözleşme kurulurken riziko değerlendirmesi için onay vermiş sayıldıklarında, bu onay kendiliğinden gerçekleşen riziko bakımından değerlendirme yapılması için de verilmiş kabul edilmemelidir. Çünkü riziko aşamasında sigortacıdan istemde bulunulup bulunulmayacağı belli değildir (sigortalı çeşitli sebeplerle, mesela prim artışına yol açmamak için hiç istemde bulunmayabilir).

• Ancak gerçekleşen riziko için sigorta teminatının işletilmesini talep etmiş olan kişi, kendisi ile ilgili sağlık verilerinin işlenmesine razı gelmiş sayılmalıdır.