Kaza mağdurlarıyla 'tazminat vaadi' adı altında iletişime geçilmesine ilişkin önemli karar
Kişisel Verileri Korumu Kurulu, kaza mağdurlarıyla 'tazminat vaadi' adı altında iletişime geçilmesine ilişkin önemli bir karar aldı. Kaza tutanaklarındaki kişisel verileri hukuka aykırı şekilde işleyen ve 'tazminat alma vaadinde' bulunan hasar danışmanlık şirketleri ağır idari yaptırımlarla karşılaşacak.

Kişisel Verileri Korumu Kurulu'nun (KVKK) konuya ilişkin kararı Resmi Gazete'de yayımlandı.
Kararda, bazı hasar danışmanlık şirketleri veya kendilerini avukat olarak tanıtan kişilerin, kazaların ardından mağdurlarla rızaları dışında iletişime geçtiği yönündeki şikayet ve ihbarların arttığı kaydedildi.
Söz konusu şirket ve kişilerin, kaza sonrasındaki süreçte mağdurların kimlik ve iletişim bilgilerine ulaştığı, tazminat alma vaadinde bulunarak vekaletname talep ettiği belirlendi.
Bunun üzerine harekete geçen Kişisel Verileri Koruma Kurulu, önemli bir karara imza attı.
Buna göre, hukuka aykırı şekilde kişisel veri işleyen hasar danışmanlık şirketleri hakkında Cumhuriyet Başsavcılıklarına suç duyurusunda bulunulacak.
Konu, idari yönden ise ilgili bakanlıklara ve baro başkanlıklarına intikal ettirilecek.
Kararda, görevleri sırasında elde ettikleri kişisel verileri yetkisiz üçüncü kişilerle paylaşan sigorta eksperlerinin de suç işlemiş sayılacağı hatırlatıldı.
KURUL KARARI
Kişisel Verileri Koruma Kurumundan:
Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Karan
Karar No: 2026/1095
Karar Tarihi: 20/05/2026
Hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendilerini avukat olarak tanıtan ancak baro levhası sorgulaması yapıldığmda avukat olmadığı tespit edilen kişiler tarafından iş kazaları, trafik kazaları veya benzeri olumsuz olayların mağdurlarıyla istekleri dışında iletişime geçildiği yönünde muhtelif sayıda şikâyet ve ihbar Kişisel Verileri Koruma Kurumuna (Kurum) intikal etmiştir. Bu kapsamda, iletişime geçilen kişilere vekalet vermeleri halinde tazminat alacağı vaat edilerek gerekli başvuruların yapılabileceğinin belirtildiği; mağdurlar tarafından kendilerine ve kazaya ilişkin bilgilerin nasıl elde edildiği hususunda yöneltilen sorulara ise tatmin edici bir cevap verilemediği ifade edilmektedir. Mağdurlarla yapılan görüşmeler sonrasında kimi durumlarda ısrarlı arama ve hak kaybı yaşanabileceğine ilişkin korkutmalar neticesinde vekâletname alındığı kimi durumlarda ise herhangi bir bilginin ya da talimatın verilmemesine karşın mağdurlar adına iş ve İşlemler gerçekleştirildiği görülmektedir. Kişisel Verileri Koruma Kurulu (Kurul) tarafından yapılan incelemeler neticesinde mağdurlara ilişkin kimlik, iletişim bilgileri ile diğer kişisel verilerin yer aldığı kaza tutanakları gibi dokümanlara yukarıda belirtilen kişiler tarafından kaza sonrası süreçte farklı kanallar üzerinden erişilebildiği anlaşılmıştır. Söz konusu hukuka aykırı kişisel veri erişim ve müteakip işleme faaliyetlerinin yaygınlığı sebebiyle Kurul tarafından îlke Kararı alınması gereği hasıl olmuştur.
Bilindiği üzere, 1136 sayılı Avukatlık Kanunu’nun 2’nci maddesinde avukatlığın amacı düzenlenmiş; 35’inci maddesinde yalnız avukatlar tarafından yapılabilecek İşler belirtilmiş; 48’inci maddesinde aracılık yasağı ve buna ilişkin cezai yaptırımlar öngörülmüş; 55’inci maddesinde reklam yasağına yer verilmiş; 63’üncü maddesinde ise yetkisiz avukatlık faaliyeti ve buna bağlanan yaptırımlar düzenlenmiştir. Ayrıca Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği’nin 14’üncü maddesinde yalnız avukatların yapabileceği işler hüküm altına alınmış, Türkiye Barolar Birliği Meslek Kuralları’nın 8’inci maddesinde ise avukatların, kendine iş elde etme niteliğindeki her davranıştan çekineceği düzenlenmiştir.
Öte yandan, 5684 sayılı Sigortacılık Kanunu’nun (5684 sayılı Kanun) Ek Madde 6 hükmü ile sigortacılık yapan kurum veya kuruluşlardan ya da hesaptan talep edilecek tazminat alacağınm kimlerden talep edilebileceği düzenlenmiş, tazminat alacağının sadece hak sahibine ya da avukatına ödenebileceği ve bu alacağın kimseye devredilemeyeceği hüküm altına almmış ve 5684 sayılı Sigortacılık Kanunu Ek 6’ncı Maddesinin Uygulanmasına İlişkin Genelgenin 7’nci maddesinde ise aksine her türlü sözleşme veya işlemin, 5684 sayılı Kanun’a aykırı ve 6098 sayılı Türk Borçlar Kanunu uyarınca kesin olarak hükümsüz olduğu düzenleme altına alınmıştır.
Bu çerçevede, 5684 sayılı Kanun’dan kaynaklanan tazminat alacaklarının ancak 5684 sayılı Kanun’un Ek Madde 6 düzenlemesinde hüküm altına alınan kişilerce takip edilebileceği açık olup, bu alacakların başka kişi, kurum ya da kuruluşlara devrinin de mümkün olmadığı, bu bakımdan Kurumumuza intikal eden ihbarlar kapsamında hasar danışmanlık şirketi ya da benzer isimlerle faaliyet gösteren oluşumların, yukarıda yer verilen düzenlemeler uyarınca, ancak doğrudan ya da dolaylı olarak avukatlar eliyle faaliyet gösterebileceği, aksi bir durumun yukarıda belirtilen ilgili mevzuat düzenlemelerini ihlal edebileceği ve ayrıca 5237 sayılı Türk Ceza Kanunu’nun (TCK) 136’ncı maddesinde düzenlenmiş olan “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun 137’nci maddesinde düzenlenen nitelikli haline vücut verebileceği göz önüne alındığında, 1136 ve 5684 sayılı Kanun hükümlerine aykırı şekilde kişisel verilerin işlenmesinin söz konusu olduğu faaliyetler bakımından konunun suç teşkil edebileceği dikkate alınarak Cumhuriyet Savcılıklarına suç duyurusunda bulunulabileceği, idari yönden ise konunun ilgili Bakanlıklara ve baro başkanlıklarına intikal ettirilebileceği değerlendirilmektedir.
Ek olarak, sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatlarm/avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatınm ortaya konulabilmesi durumunda, ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurul’a şikayette bulunulabilecektir.
Diğer taraftan, sigorta eksperlerinin kişisel veri işleme faaliyetleri; 5684 sayılı Sigortacılık Kanunu ve ikincil mevzuat çerçevesinde, hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi gibi yasal görevlerin ifasıyla sınırlı ve bu faaliyetlerle doğrudan bağlantılıdır. Sigorta eksperleri, görevlerini yerine getirirken 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda belirtilen “kanunlarda açıkça öngörülme”; “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ”; ya da “bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması ” işleme şartlarına dayanarak kişisel veri işleyebilmektedir.
Bu kapsamda sigorta eksperlerinin, kendilerine tevdi edilen kişisel verileri yalnızca görevleri dahilinde kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliğine ilişkin yükümlülükleri almaları ve mesleki sır saklama yükümlülüğüne riayet etmeleri zorunludur.
Yasal çerçeve ve mevzuat sınırlarının dışına çıkılarak gerçekleştirilen; hukuka aykırı kişisel veri işleme faaliyetleri 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsammdaki idari sorumlulukların yanı sıra, 5237 sayılı Türk Ceza Kanunu’nun ilgili maddeleri uyarınca cezai sorumluluk doğurabilecektir.
İş kazaları, trafik kazaları veya benzeri olumsuz olaylar sonrasındaki süreçlerde Kanun’un 4’üncü, 5’inci ve 6’ncı maddeleri kapsamında kaza sonrası adli ve/veya idari soruşturmaların yapılması, mağdurların tedavi edilmesi ve kazaya konu araçların onarımı gibi süreçlerin yürütülebilmesi adına mağdurlara ilişkin kişisel veriler işlenebilecektir. Ancak görevleri ve faaliyet alanları gereği mağdurlara ilişkin kişisel verileri işleyen veri sorumlularının yukarıda belirtilen hukuki çerçeveye riayet etmesi gerekmekte olup bu kişisel veriler ancak kaza sonrası süreçlerin yönetimi amacıyla işlemeye konu edilebilecektir.
Bununla birlikte, Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin birinci fıkrasında;
“(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ”
düzenlemesine yer verilmiştir. Mezkûr hüküm uyarınca veri sorumluları, organizasyon yapılarını, faaliyet alanlarını, elde ettikleri kişisel verilerin niteliğini ve bu verilerin işlenmesi bağlamında temel hak ve özgürlüklere yönelik olarak ortaya çıkabilecek riskleri göz önünde bulundurarak kişisel verilerin güvenliğini sağlamak adına gerekli önlemleri almakla yükümlüdür. Ayrıca belirtmek gerekir ki Kanun’un 12’nci maddesinin dördüncü fıkrasında veri sorumlusu bünyesinde kişisel veri işleme faaliyetlerini yürüten kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hükme bağlanmıştır. Bununla birlikte, sağlık hizmetlerinin sunumu, sigortacılık ve avukatlık başta olmak üzere farklı iş alanlarında çalışan kişiler, mevzuatta ayrıca ve özel olarak düzenlenmiş mesleki sır saklama yükümlülüklerine de tabi tutulmuştur. Aynı doğrultuda veri sorumlularının, faaliyetleri kapsamında elde edilen kişisel verilerin kendi organizasyonları içerisinde yer alan kişiler tarafından amacı dışında kullanılmaması ve hukuka aykırı bir biçimde başka kişi, kurum ve kuruluşlara aktarılmaması için gerekli tedbirleri alması önem arz etmektedir.
Tüm bu değerlendirmeler ışığında;
- Sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kanun hükümleri uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatlann/avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurula şikayette bulunulabileceği,
- Sigorta eksperlerinin sigortacılık mevzuatının kendilerine yüklediği yasal görev doğrultusunda kişisel veri işleme faaliyetinde bulunabileceği, bununla birlikte görevleri gereği işledikleri kişisel verileri yetkisiz üçüncü kişilere aktarmaları hâlinde Kanun’a aykırılığın söz konusu olacağı, sigorta eksperlerinin Kanun’da öngörülen işleme şartlarına dayanmaksızın gerçekleştireceği kişisel veri işleme faaliyetlerinin 5237 sayılı Kanun’un 136’ncı maddesinde öngörülen kişisel verileri hukuka aykırı olarak verme suçuna vücut verebileceği,
- Faaliyetleri çerçevesinde kaza mağdurlarına ilişkin kişisel verileri uhdesinde bulunduran/işleyen veri sorumluları tarafindan çalışanlarına yönelik kişisel verilerin korunması konusunda eğitim ve bilinçlendirme faaliyetlerinin gerçekleştirilmesi ile kişisel verilere erişime ilişkin asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve takip mekanizmalarmın kurulması başta olmak üzere Kanun’un 12’nci maddesi uyarınca kişisel verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbirlerin alınması gerektiği,
- Bahse konu önlemleri almayarak, Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden ve bu îlke Kararında belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine ve Kanun’un 15’inci maddesinin altıncı fıkrası hükmü uyarınca alınan bu İlke Karamın Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oy birliği ile karar verilmiştir.
