Özel Sağlık Sigortaları Yönetmeliğinde Yapılan KVKK Düzenlemeleri

20.10.2025 tarih ve 33053 sayılı Resmi Gazete’de yayımlanan Özel Sağlık Sigortaları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik (“Değişiklik Yönetmeliği”), özel sağlık sigortası alanında kişisel veri güvenliği ve veri paylaşımı bakımından kapsamlı yenilikler getirmiştir. Değişiklik Yönetmeliği ile getirilen düzenlemeler, sigortalıların sağlık bilgileri ile sigortalılık kayıtlarının korunması, saklanması ve paylaşılmasına ilişkin usulleri 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ile tam uyumlu hale getirmeyi hedeflemektedir.

1.     Sağlık Verilerinin İşlenmesi

Değişiklik Yönetmeliği ile bireysel ve grup sağlık sigortası sözleşmelerinde, sigortalılara ait sağlık bilgileri ile sigortalılık geçmişine ilişkin kayıtların tutulması zorunluluğuna ilişkin değişiklikler yapılmıştır.

Bu çerçevede Değişiklik Yönetmeliği öncesinde sigortalıların KVKK bakımından özel nitelikli kişisel veri (“ÖNKV”) olarak nitelendirilen sağlık verilerinin işlenmesi, kişilerin yazılı muvafakat vermesine bağlanmaktaydı. Değişiklik Yönetmeliği ile birlikte sigortalı kişilerin sağlık verilerinin işlenmesi, KVKK ile uyumlu hale getirilerek KVKK’nın 6.maddesinde ÖNKV’lerin işlenmesi için sayılan hukuka uygunluk sebeplerinden “Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması” hukuka uygunluk sebebine bağlı olarak, sigortalı kişilerin yazılı onayının alınmasına gerek olmadan işlenebilecektir.

Bununla birlikte, sigortacılık alanında faaliyet gösteren şirketlerin teklif aşamasındaki, yürürlükteki ve geçiş aşamasındaki sözleşmeler bakımından sigortalının sağlık durumu ve sağlık geçmişine ilişkin kişisel verileri işlemesini, yalnızca belirli ve sınırlı amaçlarla mümkün kılınmıştır. Bu kapsamda, sağlık durumu ve sağlık geçmişine ilişkin veriler ancak:

1. Risk değerlendirmesinin yapılması,
2. Tazminat hesaplamalarının gerçekleştirilmesi,
3. Verilecek ömür boyu yenileme garantisinin ve uygulanacak bekleme sürelerinin sınırlarının belirlenmesi,
4. Tamamlayıcı ve destekleyici sağlık sigortası ürünleri kapsamında ödenecek tutarların belirlenmesi

amaçları doğrultusunda işlenebilecektir.

Bu verilerin işlenmesi, 5684 sayılı Sigortacılık Kanunu’nun 31/A ve 31/B maddeleri uyarınca yalnızca yetkili kişiler tarafından ve SBGM aracılığıyla gerçekleştirilecektir.

2.     Geçiş İşlemlerinde Sağlık Verisi Yönetiminin Merkezi Yapıya Bağlanması

Özel Sağlık Sigortaları Yönetmeliği’ne eklenen 9/A maddesi ile sigortalıların başka bir şirkete geçiş sürecinde ihtiyaç duyulan verilerin paylaşımının doğrudan şirketler arasında yapılması yasaklanmış ve yalnızca SBGM üzerinden veri aktarımının yapılacağı düzenlenmiştir.

Doğrudan şirketler arasında veri paylaşımının kaldırılması veri aktarım riskleri azaltılmış olmakla birlikte sektör özelinde sıkça karşılaşılan durum olarak farklı sigorta şirketlerince aynı verilerin yeniden talep edilmesinin önüne geçilmektedir. Bu da hem veri minimizasyonu hem de sigortalı açısından operasyonel kolaylık sağlamaktadır.

3.     Kişisel Verilerin Saklanması ve İmha Edilmesi

Değişiklik Yönetmeliği ile birlikte Sigorta Bilgi ve Gözetim Merkezi (“SBGM”) tarafından tutulan ve yukarıdaki usul ile elde edilen sağlık ve sigortalılık verilerinin, saklama ve imha usulüne ilişkin yeni bir düzenleme getirilmiştir. Değişiklik Yönetmeliği’nin öngördüğü usule göre SBGM tarafından tutulan sağlık ve sigortalılık verileri, kişinin sigortalılık ilişkisinin sona ermesinden itibaren 10 yıl süreyle saklanacaktır. 10 yıllık saklama süresinin sonunda ise SBGM, KVKK’nın 7. maddesinde belirtilen “silme, yok etme veya anonim hale getirme” yükümlülüklerine uygun olarak bu verileri sistemden çıkaracaktır.

4.     Sır Saklama Yükümlülüğü

Değişiklik Yönetmeliği ile birlikte sır saklama yükümlülüğü de yeniden düzenlenmiş ve bu yükümlülüğün kapsamı, 5684 sayılı Sigortacılık Kanunu’nun 31/A maddesinde açıkça belirtilen kişi ve kurumlarla sınırlandırılmıştır. Değişiklik Yönetmeliği ayrıca sır saklama yükümlülüğünün yalnızca görev süresiyle sınırlı olmadığını da açık biçimde vurgulamaktadır. Buna göre, söz konusu yükümlülük, ilgili kişinin sigorta sektörüyle olan görev, yetki veya sıfatının sona ermesinden sonra da süresiz olarak devam edecektir.

5.     Bütün Süreçlerin KVKK’ya Uygun Yürütülmesi

Değişiklik Yönetmeliği, sigortacılık sektöründe yürütülen kişisel veri işleme faaliyetlerine ilişkin KVKK yükümlülüklerini vurgulamakta ve bu yükümlülüklerin sigorta mevzuatı bünyesinde açık bir şekilde düzenlenmesini sağlamaktadır. Bu kapsamda, sigorta sektöründe faaliyet gösteren tüm sigorta şirketlerinin mevcut veri işleme süreçlerini ve bu veri işleme süreçlerinde kullanılan aydınlatma metinlerini, politikalarını, açık rıza metinlerini ve saklama-imha prosedürleri gibi dokümanlarını Değişiklik Yönetmeliği doğrultusunda revize etmesi gerekmektedir.

6.     Yürürlük

Değişiklik Yönetmeliği, yalnızca KVKK bakımından düzenlemeler içermemekte özel sağlık sigortalarının süreçleri bakımından kapsamlı düzenlemeler içermektedir. Bu bakımdan şirketlere Değişiklik Yönetmeliği ile getirilen düzenlemelere uyum sağlanabilmesi amacıyla geçil süreci tanınmış ve Değişiklik Yönetmeliği’nin 01.01.2026 tarihinde yürürlüğe gireceği düzenlenmiştir.