01 Temmuz 2026 Tarihli Resmi Gazete
Sayı: 33297
KURUL KARARI
Kişisel Verileri Koruma Kurumundan:
Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Kararı
Karar No: 2026/1095
Karar Tarihi: 20/05/2026
[vc_row][vc_column][vc_message message_box_color=”success”]ÖZET:
Kişisel Verileri Koruma Kurulu, kaza mağdurlarının kişisel verilerinin işlenmesine ilişkin ilke kararını 1 Temmuz 2026 tarihli Resmî Gazete’de yayımladı; hasar danışmanlık şirketleri ve yetkisiz kişilerin mağdurlara ait verilere hukuka aykırı erişimine karşı yaptırım uyarısı yapıldı.
Kişisel Verileri Koruma Kurumu’nun (KVKK), kaza mağdurlarının kişisel verilerinin işlenmesine ilişkin 2026/1095 sayılı İlke Kararı, 1 Temmuz 2026 tarihli ve 33297 sayılı Resmî Gazete’de yayımlandı. 20 Mayıs 2026 tarihli karar, oy birliğiyle alındı.
Kararın Gerekçesi: İstenmeyen İletişim ve Veri Sızıntısı
Kurul kararına göre, hasar danışmanlık şirketi veya benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar ya da kendini avukat olarak tanıtan ancak baro kaydı bulunmayan kişilerin; iş kazası, trafik kazası veya benzeri olayların mağdurlarıyla istekleri dışında iletişime geçtiği yönünde çok sayıda şikâyet ve ihbar Kuruma ulaştı.
Bu kişilerin, vekâlet verilmesi halinde tazminat alacağı vaat ettiği; mağdurların “bilgilerime nasıl ulaştınız?” sorusuna tatmin edici yanıt veremediği belirtildi. Kurul, bazı durumlarda ısrarlı arama ve hak kaybı korkutmasıyla vekâletname alındığını, bazı durumlarda ise hiçbir talimat verilmediği halde mağdur adına işlem yapıldığını tespit etti. İncelemede, kaza tutanağı gibi kimlik ve iletişim bilgisi içeren belgelere kaza sonrası farklı kanallardan erişildiği anlaşıldı.
Tazminat Alacağı Yalnızca Hak Sahibine veya Avukatına
Kararda, 1136 sayılı Avukatlık Kanunu’nun yalnız avukatların yapabileceği işleri, aracılık ve reklam yasağını ve yetkisiz avukatlık yaptırımlarını düzenlediği hatırlatıldı. 5684 sayılı Sigortacılık Kanunu’nun Ek 6 ncı maddesi uyarınca tazminat alacağının yalnızca hak sahibine ya da avukatına ödenebileceği ve bu alacağın kimseye devredilemeyeceği vurgulandı. Buna aykırı sözleşme veya işlemlerin kesin olarak hükümsüz olduğu belirtildi.
Kurul, hasar danışmanlık şirketlerinin ancak doğrudan ya da dolaylı olarak avukatlar eliyle faaliyet gösterebileceğini; aksi durumun ilgili mevzuatı ihlal edebileceği gibi, Türk Ceza Kanunu’nun 136 ncı maddesindeki “verileri hukuka aykırı olarak verme veya ele geçirme” suçunun 137 nci maddedeki nitelikli haline vücut verebileceğini değerlendirdi.
Suç Duyurusu ve İdari Bildirim Yolu
Kurul, mevzuata aykırı veri işleme faaliyetleri bakımından konunun suç teşkil edebileceği dikkate alınarak Cumhuriyet Savcılıklarına suç duyurusunda bulunulabileceğini, idari yönden ise konunun ilgili Bakanlıklara ve baro başkanlıklarına iletilebileceğini belirtti.
Sigorta Eksperlerinin Sınırları
Kararda, sigorta eksperlerinin kişisel veri işleme faaliyetinin; hasar tespiti, raporlama ve tazminat süreçleri gibi yasal görevlerle sınırlı olduğu ifade edildi. Eksperlerin, kendilerine verilen verileri yalnızca görevleri dahilinde kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliği ve mesleki sır saklama yükümlülüklerine uymaları zorunlu tutuldu. Görevleri gereği işledikleri verileri yetkisiz kişilere aktarmaları halinde, TCK 136 ncı maddedeki suçun oluşabileceği belirtildi.
Veri Sorumlularına Yükümlülükler
Karar uyarınca, kaza mağdurlarına ait verileri işleyen veri sorumlularının; çalışanlarına yönelik eğitim ve bilinçlendirme yapması, asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve takip mekanizmaları kurması, 6698 sayılı Kanun’un 12 nci maddesi uyarınca gerekli teknik ve idari tedbirleri alması gerekiyor.
Bu önlemleri almayarak hukuka aykırı uygulamayı sürdüren ve ilke kararına uymadığı tespit edilen veri sorumluları hakkında Kanun’un 18 inci maddesi çerçevesinde işlem yapılacak. İlgili kişiler ise Kanun’un 13 üncü maddesi ve devamındaki usulü izleyerek Kurula şikâyette bulunabilecek.
Karar, yayımı tarihinde yürürlüğe girdi.[/vc_message][vc_column_text]
Hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendilerini avukat olarak tanıtan ancak baro levhası sorgulaması yapıldığında avukat olmadığı tespit edilen kişiler tarafından iş kazaları, trafik kazaları veya benzeri olumsuz olayların mağdurlarıyla istekleri dışında iletişime geçildiği yönünde muhtelif sayıda şikâyet ve ihbar Kişisel Verileri Koruma Kurumuna (Kurum) intikal etmiştir. Bu kapsamda, iletişime geçilen kişilere vekalet vermeleri halinde tazminat alacağı vaat edilerek gerekli başvuruların yapılabileceğinin belirtildiği; mağdurlar tarafından kendilerine ve kazaya ilişkin bilgilerin nasıl elde edildiği hususunda yöneltilen sorulara ise tatmin edici bir cevap verilemediği ifade edilmektedir. Mağdurlarla yapılan görüşmeler sonrasında kimi durumlarda ısrarlı arama ve hak kaybı yaşanabileceğine ilişkin korkutmalar neticesinde vekâletname alındığı kimi durumlarda ise herhangi bir bilginin ya da talimatın verilmemesine karşın mağdurlar adına iş ve İşlemler gerçekleştirildiği görülmektedir. Kişisel Verileri Koruma Kurulu (Kurul) tarafından yapılan incelemeler neticesinde mağdurlara ilişkin kimlik, iletişim bilgileri ile diğer kişisel verilerin yer aldığı kaza tutanakları gibi dokümanlara yukarıda belirtilen kişiler tarafından kaza sonrası süreçte farklı kanallar üzerinden erişilebildiği anlaşılmıştır. Söz konusu hukuka aykırı kişisel veri erişim ve müteakip işleme faaliyetlerinin yaygınlığı sebebiyle Kurul tarafından İlke Kararı alınması gereği hasıl olmuştur.
Bilindiği üzere, 1136 sayılı Avukatlık Kanunu’nun 2’nci maddesinde avukatlığın amacı düzenlenmiş; 35’inci maddesinde yalnız avukatlar tarafından yapılabilecek İşler belirtilmiş; 48’inci maddesinde aracılık yasağı ve buna ilişkin cezai yaptırımlar öngörülmüş; 55’inci maddesinde reklam yasağına yer verilmiş; 63’üncü maddesinde ise yetkisiz avukatlık faaliyeti ve buna bağlanan yaptırımlar düzenlenmiştir. Ayrıca Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği’nin 14’üncü maddesinde yalnız avukatların yapabileceği işler hüküm altına alınmış, Türkiye Barolar Birliği Meslek Kuralları’nın 8’inci maddesinde ise avukatların, kendine iş elde etme niteliğindeki her davranıştan çekineceği düzenlenmiştir.
Öte yandan, 5684 sayılı Sigortacılık Kanunu’nun (5684 sayılı Kanun) Ek Madde 6 hükmü ile sigortacılık yapan kurum veya kuruluşlardan ya da hesaptan talep edilecek tazminat alacağının kimlerden talep edilebileceği düzenlenmiş, tazminat alacağının sadece hak sahibine ya da avukatına ödenebileceği ve bu alacağın kimseye devredilemeyeceği hüküm altına alınmış ve 5684 sayılı Sigortacılık Kanunu Ek 6’ncı Maddesinin Uygulanmasına İlişkin Genelgenin 7’nci maddesinde ise aksine her türlü sözleşme veya işlemin, 5684 sayılı Kanun’a aykırı ve 6098 sayılı Türk Borçlar Kanunu uyarınca kesin olarak hükümsüz olduğu düzenleme altına alınmıştır.
Bu çerçevede, 5684 sayılı Kanun’dan kaynaklanan tazminat alacaklarının ancak 5684 sayılı Kanun’un Ek Madde 6 düzenlemesinde hüküm altına alınan kişilerce takip edilebileceği açık olup, bu alacakların başka kişi, kurum ya da kuruluşlara devrinin de mümkün olmadığı, bu bakımdan Kurumumuza intikal eden ihbarlar kapsamında hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren oluşumların, yukarıda yer verilen düzenlemeler uyarınca, ancak doğrudan ya da dolaylı olarak avukatlar eliyle faaliyet gösterebileceği, aksi bir durumun yukarıda belirtilen ilgili mevzuat düzenlemelerini ihlal edebileceği ve ayrıca 5237 sayılı Türk Ceza Kanunu’nun (TCK) 136’ncı maddesinde düzenlenmiş olan “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun 137’nci maddesinde düzenlenen nitelikli haline vücut verebileceği göz önüne alındığında, 1136 ve 5684 sayılı Kanun hükümlerine aykırı şekilde kişisel verilerin işlenmesinin söz konusu olduğu faaliyetler bakımından konunun suç teşkil edebileceği dikkate alınarak Cumhuriyet Savcılıklarına suç duyurusunda bulunulabileceği, idari yönden ise konunun ilgili Bakanlıklara ve baro başkanlıklarına intikal ettirilebileceği değerlendirilmektedir.
Ek olarak, sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatların/avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda, ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurul’a şikayette bulunulabilecektir.
Diğer taraftan, sigorta eksperlerinin kişisel veri işleme faaliyetleri; 5684 sayılı Sigortacılık Kanunu ve ikincil mevzuat çerçevesinde, hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi gibi yasal görevlerin ifasıyla sınırlı ve bu faaliyetlerle doğrudan bağlantılıdır. Sigorta eksperleri, görevlerini yerine getirirken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirtilen “kanunlarda açıkça öngörülme”; “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ”; ya da “bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması ” işleme şartlarına dayanarak kişisel veri işleyebilmektedir.
Bu kapsamda sigorta eksperlerinin, kendilerine tevdi edilen kişisel verileri yalnızca görevleri dahilinde kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliğine ilişkin yükümlülükleri almaları ve mesleki sır saklama yükümlülüğüne riayet etmeleri zorunludur.
Yasal çerçeve ve mevzuat sınırlarının dışına çıkılarak gerçekleştirilen; hukuka aykırı kişisel veri işleme faaliyetleri 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındaki idari sorumlulukların yanı sıra, 5237 sayılı Türk Ceza Kanunu’nun ilgili maddeleri uyarınca cezai sorumluluk doğurabilecektir.
İş kazaları, trafik kazaları veya benzeri olumsuz olaylar sonrasındaki süreçlerde Kanun’un 4’üncü, 5’inci ve 6’ncı maddeleri kapsamında kaza sonrası adli ve/veya idari soruşturmaların yapılması, mağdurların tedavi edilmesi ve kazaya konu araçların onarımı gibi süreçlerin yürütülebilmesi adına mağdurlara ilişkin kişisel veriler işlenebilecektir. Ancak görevleri ve faaliyet alanları gereği mağdurlara ilişkin kişisel verileri işleyen veri sorumlularının yukarıda belirtilen hukuki çerçeveye riayet etmesi gerekmekte olup bu kişisel veriler ancak kaza sonrası süreçlerin yönetimi amacıyla işlemeye konu edilebilecektir.
Bununla birlikte, Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasında;
“(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ”
düzenlemesine yer verilmiştir. Mezkûr hüküm uyarınca veri sorumluları, organizasyon yapılarını, faaliyet alanlarını, elde ettikleri kişisel verilerin niteliğini ve bu verilerin işlenmesi bağlamında temel hak ve özgürlüklere yönelik olarak ortaya çıkabilecek riskleri göz önünde bulundurarak kişisel verilerin güvenliğini sağlamak adına gerekli önlemleri almakla yükümlüdür. Ayrıca belirtmek gerekir ki Kanun’un 12’nci maddesinin dördüncü fıkrasında veri sorumlusu bünyesinde kişisel veri işleme faaliyetlerini yürüten kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hükme bağlanmıştır. Bununla birlikte, sağlık hizmetlerinin sunumu, sigortacılık ve avukatlık başta olmak üzere farklı iş alanlarında çalışan kişiler, mevzuatta ayrıca ve özel olarak düzenlenmiş mesleki sır saklama yükümlülüklerine de tabi tutulmuştur. Aynı doğrultuda veri sorumlularının, faaliyetleri kapsamında elde edilen kişisel verilerin kendi organizasyonları içerisinde yer alan kişiler tarafından amacı dışında kullanılmaması ve hukuka aykırı bir biçimde başka kişi, kurum ve kuruluşlara aktarılmaması için gerekli tedbirleri alması önem arz etmektedir.
Tüm bu değerlendirmeler ışığında;
– Sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kanun hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatların/avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurula şikayette bulunulabileceği,
– Sigorta eksperlerinin sigortacılık mevzuatının kendilerine yüklediği yasal görev doğrultusunda kişisel veri işleme faaliyetinde bulunabileceği, bununla birlikte görevleri gereği işledikleri kişisel verileri yetkisiz üçüncü kişilere aktarmaları hâlinde Kanun’a aykırılığın söz konusu olacağı, sigorta eksperlerinin Kanun’da öngörülen işleme şartlarına dayanmaksızın gerçekleştireceği kişisel veri işleme faaliyetlerinin 5237 sayılı Kanun’un 136’ncı maddesinde öngörülen kişisel verileri hukuka aykırı olarak verme suçuna vücut verebileceği,
– Faaliyetleri çerçevesinde kaza mağdurlarına ilişkin kişisel verileri uhdesinde bulunduran/işleyen veri sorumluları tarafından çalışanlarına yönelik kişisel verilerin korunması konusunda eğitim ve bilinçlendirme faaliyetlerinin gerçekleştirilmesi ile kişisel verilere erişime ilişkin asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve takip mekanizmalarının kurulması başta olmak üzere Kanun’un 12’nci maddesi uyarınca kişisel verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbirlerin alınması gerektiği,
– Bahse konu önlemleri almayarak, Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden ve bu İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği
hususunda kamuoyunun bilgilendirilmesine ve Kanun’un 15’inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Kararının Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oy birliği ile karar verilmiştir.
[vc_row][vc_column][vc_message message_box_color=”juicy_pink”]FAQ – Sıkça Sorulan Sorular
Bu ilke kararı ne zaman yayımlandı? Kişisel Verileri Koruma Kurulu’nun 2026/1095 sayılı İlke Kararı, 20 Mayıs 2026 tarihinde alındı ve 1 Temmuz 2026 tarihli ve 33297 sayılı Resmî Gazete’de yayımlandı.
Karar hangi soruna karşı alındı? Hasar danışmanlık şirketleri ile avukat olduğunu iddia eden ancak baro kaydı bulunmayan kişilerin, kaza mağdurlarıyla istekleri dışında iletişime geçmesi ve mağdurlara ait kişisel verilere hukuka aykırı erişim sağlaması sorununa karşı alındı.
Kaza tazminatı alacağı kime ödenebilir? 5684 sayılı Sigortacılık Kanunu’nun Ek 6 ncı maddesi uyarınca tazminat alacağı yalnızca hak sahibine ya da avukatına ödenebilir ve bu alacak kimseye devredilemez.
Hukuka aykırı veri işleyenler hangi yaptırımlarla karşılaşabilir? Konunun Cumhuriyet Savcılıklarına suç duyurusuyla iletilebileceği, ilgili Bakanlıklar ve baro başkanlıklarına bildirilebileceği; ayrıca 6698 sayılı Kanun’un 18 inci maddesi kapsamında idari işlem yapılabileceği belirtildi. TCK’nın 136 ve 137 nci maddeleri kapsamında cezai sorumluluk da doğabilir.
Sigorta eksperleri kişisel veri işleyebilir mi? Evet, ancak yalnızca hasar tespiti, raporlama ve tazminat süreçleri gibi yasal görevleriyle sınırlı olarak. Bu verileri yetkisiz üçüncü kişilere aktarmaları halinde Kanun’a aykırılık ve cezai sorumluluk gündeme gelebilir.
Mağdurlar ne yapabilir? Hukuka aykırı veri işlendiğini düşünen ilgili kişiler, 6698 sayılı Kanun’un 13 üncü maddesi ve devamındaki usulü izleyerek Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir.
[/vc_message][vc_column_text]
