Kişisel Verileri Koruma Kurulu, kaza mağdurlarının kişisel verilerine kaza sonrası süreçte hukuka aykırı biçimde erişilmesi ve bu verilerin işlenmesi uygulamalarının yaygınlaşması üzerine bir İlke Kararı almıştır. Aşağıdaki metin, kararın kendi anlatımına sadık kalınarak hazırlanmış bilgilendirici bir özettir.
1. Kararın kimliği ve kapsamı
Karar, Kişisel Verileri Koruma Kurulu tarafından “Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Kararı” başlığıyla alınmıştır. Kararın numarası 2026/1095, karar tarihi 20/05/2026’dır. İlke Kararı, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 15’inci maddesinin altıncı fıkrası uyarınca 1 Temmuz 2026 tarihli ve 33297 sayılı Resmî Gazete’de ve Kurumun internet sitesinde yayımlanmasına oy birliği ile karar verilmiştir.
İlke Kararı, belirli bir kişi ya da dosyaya ilişkin bireysel bir uyuşmazlığı değil; sigortacılık sektörü içerisinde kaza mağdurlarının kişisel verilerinin işlenmesine ilişkin genel bir uygulamayı konu edinmekte ve bu alandaki veri sorumlularına yönelik genel ölçütleri ortaya koymaktadır.
2. Olayın arka planı
Kararın anlatımına göre Kuruma; hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendilerini avukat olarak tanıtan ancak baro levhası sorgulaması yapıldığında avukat olmadığı tespit edilen kişiler tarafından; iş kazaları, trafik kazaları veya benzeri olumsuz olayların mağdurlarıyla istekleri dışında iletişime geçildiği yönünde muhtelif sayıda şikâyet ve ihbar intikal etmiştir.
Karara göre bu kapsamda öne çıkan hususlar şunlardır:
- İletişime geçilen kişilere, vekalet vermeleri hâlinde tazminat alacağı vaat edilerek gerekli başvuruların yapılabileceğinin belirtildiği;
- Mağdurlar tarafından, kendilerine ve kazaya ilişkin bilgilerin nasıl elde edildiğine yöneltilen sorulara tatmin edici bir cevap verilemediği;
- Kimi durumlarda ısrarlı arama ve hak kaybı yaşanabileceğine ilişkin korkutmalar neticesinde vekâletname alındığı;
- Kimi durumlarda ise herhangi bir bilgi ya da talimat verilmemesine karşın mağdurlar adına iş ve işlemler gerçekleştirildiği.
Kurul tarafından yapılan incelemeler neticesinde; mağdurlara ilişkin kimlik ve iletişim bilgileri ile diğer kişisel verilerin yer aldığı kaza tutanakları gibi dokümanlara, kaza sonrası süreçte farklı kanallar üzerinden erişilebildiği anlaşılmıştır. Söz konusu hukuka aykırı kişisel veri erişimi ve müteakip işleme faaliyetlerinin yaygınlığı sebebiyle Kurul tarafından İlke Kararı alınması gereği hasıl olmuştur.
3. Hukuki çerçeve
Kurul, değerlendirmesini avukatlık mevzuatı, sigortacılık mevzuatı, Türk Ceza Kanunu ve Kişisel Verilerin Korunması Kanunu hükümlerinin birlikte okunması üzerine kurmuştur. Aşağıda kararda anılan normlar madde madde özetlenmektedir.
3.1. Avukatlık Kanunu ve meslek kuralları
Kararda, 1136 sayılı Avukatlık Kanunu’nun ilgili hükümlerine atıf yapılmıştır:
- m.2 — avukatlığın amacını düzenler;
- m.35 — yalnız avukatlar tarafından yapılabilecek işleri belirler;
- m.48 — aracılık yasağını ve buna ilişkin cezai yaptırımları öngörür;
- m.55 — reklam yasağını düzenler;
- m.63 — yetkisiz avukatlık faaliyetini ve buna bağlanan yaptırımları düzenler.
Ayrıca Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği’nin 14’üncü maddesindeyalnız avukatların yapabileceği işler hüküm altına alınmış; Türkiye Barolar Birliği Meslek Kuralları’nın 8’inci maddesinde ise avukatların, kendine iş elde etme niteliğindeki her davranıştan çekineceği düzenlenmiştir.
3.2. Sigortacılık Kanunu Ek m.6
5684 sayılı Sigortacılık Kanunu’nun Ek Madde 6 hükmü ile sigortacılık yapan kurum veya kuruluşlardan ya da hesaptan talep edilecek tazminat alacağının kimlerden talep edilebileceği düzenlenmiş; tazminat alacağının yalnızca hak sahibine ya da avukatına ödenebileceği ve bu alacağın kimseye devredilemeyeceği hüküm altına alınmıştır.
5684 sayılı Kanun Ek 6’ncı Maddesinin Uygulanmasına İlişkin Genelgenin 7’nci maddesinde ise, aksine her türlü sözleşme veya işlemin 5684 sayılı Kanun’a aykırı ve 6098 sayılı Türk Borçlar Kanunu uyarınca kesin olarak hükümsüzolduğu düzenlenmiştir. Bu çerçevede Kurul, 5684 sayılı Kanun’dan kaynaklanan tazminat alacaklarının ancak Ek Madde 6’da hükme bağlanan kişilerce takip edilebileceğini ve bu alacakların başka kişi, kurum ya da kuruluşlara devrinin mümkün olmadığını belirtmiştir. Bu bakımdan hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren oluşumların, ilgili düzenlemeler uyarınca ancak doğrudan ya da dolaylı olarak avukatlar eliyle faaliyet gösterebileceği, aksi bir durumun ilgili mevzuat düzenlemelerini ihlal edebileceği değerlendirilmiştir.
3.3. Türk Ceza Kanunu m.136–137
Karar, 5237 sayılı Türk Ceza Kanunu’nun 136’ncı maddesinde düzenlenen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçuna ve bu suçun 137’nci maddede düzenlenen nitelikli hâline atıf yapmaktadır. Kurul, 1136 ve 5684 sayılı Kanun hükümlerine aykırı şekilde kişisel verilerin işlenmesinin söz konusu olduğu faaliyetler bakımından konunun suç teşkil edebileceğini; bu nedenle Cumhuriyet Savcılıklarına suç duyurusunda bulunulabileceğini, idari yönden ise konunun ilgili Bakanlıklara ve baro başkanlıklarına intikal ettirilebileceğini değerlendirmiştir.
3.4. 6698 sayılı KVKK yükümlülükleri
Kararda, sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kanun hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatların/avukatlık ortaklıklarının, herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatınınortaya konulabilmesi durumunda, ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurul’a şikâyette bulunulabileceği belirtilmiştir.
Kurul, Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasına yer vermiştir. Bu hükme göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak zorundadır. Mezkûr hüküm uyarınca veri sorumluları; organizasyon yapılarını, faaliyet alanlarını, elde ettikleri kişisel verilerin niteliğini ve bu verilerin işlenmesi bağlamında temel hak ve özgürlüklere yönelik ortaya çıkabilecek riskleri göz önünde bulundurarak gerekli önlemleri almakla yükümlüdür.
Ayrıca Kanun’un 12’nci maddesinin dördüncü fıkrasında, veri sorumlusu bünyesinde kişisel veri işleme faaliyetlerini yürüten kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hükme bağlanmıştır. Sağlık hizmetlerinin sunumu, sigortacılık ve avukatlık başta olmak üzere farklı iş alanlarında çalışan kişiler, mevzuatta ayrıca ve özel olarak düzenlenmiş mesleki sır saklama yükümlülüklerine de tabi tutulmuştur.
3.5. Sigorta eksperleri ve işleme şartları
Karara göre sigorta eksperlerinin kişisel veri işleme faaliyetleri; 5684 sayılı Sigortacılık Kanunu ve ikincil mevzuat çerçevesinde hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi gibi yasal görevlerin ifasıyla sınırlıdırve bu faaliyetlerle doğrudan bağlantılıdır. Sigorta eksperleri görevlerini yerine getirirken 6698 sayılı Kanun’da belirtilen işleme şartlarına dayanabilir:
- “kanunlarda açıkça öngörülme”;
- “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”;
- “bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması”.
Bu kapsamda sigorta eksperlerinin, kendilerine tevdi edilen kişisel verileri yalnızca görevleri dâhilinde kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliğine ilişkin yükümlülükleri almaları ve mesleki sır saklama yükümlülüğüne riayet etmeleri zorunludur. Yasal çerçeve ve mevzuat sınırlarının dışına çıkılarak gerçekleştirilen hukuka aykırı kişisel veri işleme faaliyetleri, 6698 sayılı Kanun kapsamındaki idari sorumlulukların yanı sıra 5237 sayılı Türk Ceza Kanunu’nun ilgili maddeleri uyarınca cezai sorumluluk da doğurabilecektir.
Karar, iş kazaları, trafik kazaları veya benzeri olumsuz olaylar sonrasındaki süreçlerde; Kanun’un 4’üncü, 5’inci ve 6’ncı maddeleri kapsamında kaza sonrası adli ve/veya idari soruşturmaların yapılması, mağdurların tedavi edilmesi ve kazaya konu araçların onarımı gibi süreçlerin yürütülebilmesi adına mağdurlara ilişkin kişisel verilerin işlenebileceğini belirtir. Ancak görevleri ve faaliyet alanları gereği bu verileri işleyen veri sorumlularının yukarıda belirtilen hukuki çerçeveye riayet etmesi gerekmekte olup, bu kişisel veriler ancak kaza sonrası süreçlerin yönetimi amacıyla işlemeye konu edilebilecektir.
4. Kurul'un sonuçları
Kurul, tüm bu değerlendirmeler ışığında dört başlıkta sonuca ulaşmış ve İlke Kararının kamuoyunun bilgilendirilmesine, Resmî Gazete’de ve Kurumun internet sitesinde yayımlanmasına oy birliği ile karar vermiştir:
- Şikâyet yolu.Sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kanun hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatların/avukatlık ortaklıklarının, herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda; ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurul’a şikâyette bulunulabileceği.
- Sigorta eksperinin sorumluluğu.Sigorta eksperlerinin, sigortacılık mevzuatının kendilerine yüklediği yasal görev doğrultusunda kişisel veri işleme faaliyetinde bulunabileceği; bununla birlikte görevleri gereği işledikleri kişisel verileri yetkisiz üçüncü kişilere aktarmaları hâlinde Kanun’a aykırılığın söz konusu olacağı; işleme şartlarına dayanmaksızın gerçekleştireceği kişisel veri işleme faaliyetlerinin 5237 sayılı Kanun’un 136’ncı maddesinde öngörülen kişisel verileri hukuka aykırı olarak verme suçuna vücut verebileceği.
- Veri sorumlusunun teknik ve idari tedbirleri.Faaliyetleri çerçevesinde kaza mağdurlarına ilişkin kişisel verileri uhdesinde bulunduran/işleyen veri sorumluları tarafından; çalışanlarına yönelik kişisel verilerin korunması konusunda eğitim ve bilinçlendirme faaliyetlerinin gerçekleştirilmesi ile kişisel verilere erişime ilişkin asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve takip mekanizmalarının kurulması başta olmak üzere Kanun’un 12’nci maddesi uyarınca kişisel verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbirin alınması gerektiği.
- Aykırılık hâlinde yaptırım.Bahse konu önlemleri almayarak Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden ve İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği.
5. Genel değerlendirme
İlke Kararı, kaza mağdurlarının kişisel verilerinin korunmasını yalnızca 6698 sayılı Kanun ekseninde değil; avukatlık, sigortacılık ve ceza mevzuatının birlikte uygulandığı bütünsel bir çerçevede ele almaktadır. Karardan çıkan başlıca soyut hukuki çıkarımlar şu şekilde özetlenebilir:
- Tazminat alacağının yalnızca hak sahibine veya avukatına ödenebilmesi ve bu alacağın devredilememesi, 5684 sayılı Kanun’un emredici bir düzenlemesidir; aksi yöndeki sözleşme veya işlemler Türk Borçlar Kanunu uyarınca kesin hükümsüzlük yaptırımına tabidir.
- Kaza mağduruna ait kişisel verilere, mevzuatın öngördüğü işleme şartlarına dayanılmaksızın erişilmesi ve bu verilerin işlenmesi; hem 6698 sayılı Kanun kapsamında idari, hem de 5237 sayılı Kanun kapsamında cezai sorumluluk doğurabilir.
- Kaza sonrası süreçlerde kişisel veri işleyen veri sorumluları için amaç sınırlaması esas olup, veriler ancak kaza sonrası süreçlerin yönetimi amacıyla işlenebilir.
- Veri güvenliği yükümlülüğü, veri sorumlularından yalnızca soyut bir taahhüt değil; asgari yetki prensibi, rol tabanlı erişim kontrolleri, takip mekanizmaları ve çalışan eğitimi gibi somut teknik ve idari tedbirlerin alınmasını gerektirir.
Bu içerik genel bilgilendirme amaçlıdır; hukuki görüş veya danışmanlık niteliği taşımaz. İlke Kararının bağlayıcı ve güncel metni için 1 Temmuz 2026 tarihli ve 33297 sayılı Resmî Gazete ile Kişisel Verileri Koruma Kurumunun resmî yayınları esas alınmalıdır.
Kaynak: Kişisel Verileri Koruma Kurulu, 20/05/2026 tarihli ve 2026/1095 sayılı İlke Kararı (Resmî Gazete: 1 Temmuz 2026, Sayı: 33297).