ARTICLE
14 July 2026

KVKK-Kaza Mağdurlarının Kişisel Verilerinin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun İlke Kararına İlişkin Kamuoyu Duyurusu

Universal Hukuk | Law & Consultancy

Contributor

Specializing in electronic money and payment systems, cryptographic technologies, corporate, insurance, healthcare, health tourism, automotive, and IT law, Universal Law & Consultancy delivers customized legal solutions for businesses and individuals. Our experienced attorneys provide reliable guidance with a commitment to excellence, confidentiality, and client satisfaction on a global scale.
Kişisel Verileri Koruma Kurulu, kaza mağdurlarının verilerinin hasar danışmanlık şirketleri ve yetkisiz kişiler tarafından hukuka aykırı işlenmesine ilişkin ilke kararı yayımladı. Karar, sigorta eksperlerinin yetki sınırlarını, veri sorumluluklarını ve ihlal durumunda uygulanacak idari ve cezai yaptırımları detaylandırıyor.
Turkey Privacy
Universal Hukuk Law & Consultancy’s articles from Universal Hukuk | Law & Consultancy are most popular:
  • in Canada
  • with readers working within the Business & Consumer Services industries
Universal Hukuk | Law & Consultancy are most popular:
  • within Corporate/Commercial Law, Strategy, Media, Telecoms, IT and Entertainment topic(s)

“Kaza Mağdurlarının Kişisel Verilerinin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 20.05.2026 Tarihli ve 2026/1095 Sayılı İlke Kararına İlişkin Kamuoyu Duyurusu” yayımlandı1.

01.07.2026 tarihli ve 33297 sayılı Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurumunun (“Kurum”) 20.05.2026 tarihli ve 2026/1095 sayılı “Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin” İlke Kararı, Kurumun internet sitesinde yayımlanmıştır.

Söz konusu İlke Kararında, “hasar danışmanlığı”, “sigorta takip merkezi” veya benzeri isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendilerini avukat olarak tanıttığı hâlde baro levhası sorgulamasında avukat olmadığı anlaşılan kişiler tarafındankaza mağdurlarıyla istekleri dışında iletişime geçildiği yönünde çok sayıda ihbar ve şikâyet iletildiği, kişisel veri işleme faaliyetlerinin hukuka uygun şekilde yürütülmesi amacıyla kamuoyunun ve sektörün bilgilendirilmesine ihtiyaç duyulduğu ifade edilmiştir.

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yapılan incelemeler neticesinde, mağdurlara ilişkin kimlik ve iletişim bilgileri ile diğer kişisel verilerin yer aldığı kaza tutanakları gibi dokümanlara kaza sonrası süreçte farklı kanallar üzerinden erişilebildiği anlaşılmış; hukuka aykırı şekilde kişisel verilere erişilmesi ve müteakiben bu veriler üzerinde işleme faaliyetlerinin gerçekleştirilmesi sebebiyle Kurul tarafından İlke Kararı alınması gerekliliği meydana gelmiştir.

Kararda yer alan değerlendirmeler özetle aşağıdaki gibidir:

  • 5684 sayılı Sigortacılık Kanunu’nun (“5684 sayılı Kanun”) Ek 6. maddesi uyarınca, sigortacılık yapan kurum veya kuruluşlardan talep edilecek tazminat alacaklarının yalnızca hak sahibine ya da onun resmî vekili olan avukatına ödenebileceği, avukat olmayan üçüncü kişilere ya da hasar danışmanlık şirketi veya benzer isimlerle faaliyet gösteren oluşumlara devredilmesinin hukuken geçersiz olduğu ve 5237 sayılı Türk Ceza Kanunu (“TCK”) bakımından da suç teşkil edebileceği değerlendirilmiştir.
  • Kişisel verileri hukuka aykırı olarak ele geçiren, paylaşan veya bu veriler üzerinden kazazedeleri arayarak iş takibi teklif eden kişi ve kurumlar hakkında TCK uyarınca Cumhuriyet savcılıklarına suç duyurusunda bulunulabileceği, ilgili bakanlıklara ve baro başkanlıklarına da gerekli bildirimlerin yapılabileceği belirtilmiştir.
  • Ek olarak, kişisel verilerinin izinsiz olarak işlendiğini veya hasar şirketleriyle paylaşıldığını düşünen ilgili kişilerin, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“6698 sayılı Kanun”) kapsamında düzenlenen usul takip edilerek Kurula şikâyette bulunma haklarının saklı olduğu belirtilmiştir.
  • Kararda, sigorta eksperlerinin veri işleme faaliyetleri “hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi” gibi yasal görevlerin ifasıyla sınırlı ve bu faaliyetlerle doğrudan bağlantılı olarak kabul edilmiştir. Sigorta eksperlerinin görevlerini icra ederken 6698 sayılı Kanun’da düzenlenen işleme şartlarına dayanarak kişisel veri işleyebilmelerinin altı çizilmiş; kişisel verileri yalnızca görevlerinin gerektirdiği amaçlarla kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliğine ilişkin teknik ve idari tedbirleri almaları ve mesleki sır saklama yükümlülüğüne azami surette riayet etmeleri zorunlu kılınmıştır. Bununla birlikte, yasal çerçevenin dışına çıkılarak gerçekleştirilen hukuka aykırı veri işleme faaliyetlerinin 6698 sayılı Kanun uyarınca idari yaptırımlara sebebiyet vermenin yanı sıra, TCK’nın ilgili hükümleri uyarınca cezai sorumluluk doğurabileceği belirtilmiştir.
  • Kurul; iş kazaları, trafik kazaları veya benzeri olumsuz olaylar neticesinde; adli veya idari soruşturmaların yürütülmesi, mağdurların tedavi süreçlerinin yönetilmesi ve hasara uğrayan araçların onarımı gibi işlemlerin gerçekleştirilmesi amacıyla mağdurlara ait kişisel verilerin işlenmesinin mümkün olduğunu, ancak bu kişisel verileri işleyen veya bu verilere erişimi olan veri sorumlularının kişisel veri işleme faaliyetlerini işleme şartlarına tam bir uyum içinde yürütmesi gerektiğinin altını çizmiştir.

Tüm bunlardan hareketle;

  1. Sigortacılık sektörü içerisinde farklı kanallarla işlenmekte olan kişisel verilere hukuka aykırı olarak erişen veya bu verileri işleyen hasar danışmanlık şirketleri ile yetki sınırlarını aşan eksperlerin, ekspertiz şirketlerinin veya avukatlarınherhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatını haiz olduğunun tespit edilmesi hâlinde, ilgili kişilerce Kurula şikâyette bulunulabileceği ,
  2. Sigorta eksperlerinin yasal görevleri doğrultusunda kişisel veri işleme faaliyetinde bulunabileceği; kişisel verileri yetkisiz üçüncü kişilere aktarmaları durumunda 6698 sayılı Kanun’a aykırılık oluşacağı ve bu kişisel veri işleme faaliyetlerinin TCK’nın ilgili maddesinde düzenlenen “kişisel verileri hukuka aykırı olarak verme veya ele geçirme” suçuna vücut verebileceği,
  3. Kişisel verileri uhdesinde bulunduran ve/veya işleyen veri sorumlularının; çalışanlarına yönelik kişisel verilerin korunması konusunda eğitim ve bilinçlendirme faaliyetlerini gerçekleştirmekle birlikte kişisel verilere erişimde asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve log veya takip mekanizmaları gibi 6698 sayılı Kanun’un 12. maddesi uyarınca kişisel verilerin güvenliğini sağlamaya yönelik gerekli her türlü teknik ve idari tedbiri alması gerektiği,
  4. Bahse konu önlemleri almayarak 6698 sayılı Kanun hükümlerine aykırı şekilde bu uygulamalara devam eden ve İlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18. maddesi hükümleri çerçevesinde idari işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine ve konuya ilişkin olarak Kurul tarafından İlke Kararı alınmasına karar verildiği belirtilmiştir.

Footnote

1 KVKK, Kaza Mağdurlarının Kişisel Verilerinin İşlenmesi Hakkında Kişisel Verileri Koruma Kurulunun 20.05.2026 Tarihli ve 2026/1095 Sayılı İlke Kararına İlişkin Kamuoyu Duyurusu 

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

[View Source]

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More