KİŞİSEL VERİLERİ KORUMA KURULUNUN KAZA MAĞDURLARININ KİŞİSEL VERİLERİNİN İŞLENMESİNE İLİŞKİN İLKE KARARI YAYIMLANDI
01.07.2026
Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin Kişisel Verileri Koruma Kurulunun 20/05/2026 tarihli ve 2026/1095 sayılı İlke Kararı (“İlke Kararı”) 1 Temmuz 2026 tarihinde Resmî Gazete’de yayımlandı.
Kaza sonrası süreçlerde, hasar danışmanlık şirketleri ya da benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendilerini avukat olarak tanıtan ancak baro levhası sorgulaması yapıldığında avukat olmadığı tespit edilen kişiler tarafından iş kazaları, trafik kazaları veya benzeri olumsuz olayların mağdurlarıyla istekleri dışında iletişime geçildiği yönünde muhtelif sayıda şikayet ve ihbar Kişisel Verileri Koruma Kurumuna intikal etmiştir. Bu kapsamda, ilgili kişilere vekalet vermeleri halinde tazminat alacağı vaat edilerek gerekli başvuruların yapılabileceğinin belirtildiği, mağdurlar tarafından kendilerine ve kazaya ilişkin bilgilerin nasıl elde edildiği hususunda yöneltilen sorulara ise tatmin edici bir cevap verilemediği ifade edilmektedir. Mağdurlarla yapılan görüşmeler sonrasında kimi durumlarda ısrarlı arama ve hak kaybı yaşayabileceklerine ilişkin korkutmalar neticesinde kendilerinden vekaletname alındığı, kimi durumlarda ise herhangi bir bilginin ya da taahhüdün verilmemesine karşın mağdurlar adına iş ve işlemler yürütüldüğü belirtilmiştir. Anılan nedenlerle Kurul tarafından İlke Kararı alınmasına ihtiyaç duyulmuştur.
İlke Kararı kapsamında Kurul tarafından yapılan değerlendirmede;
- 5684 sayılı Sigortacılık Kanunu uyarınca tazminat alacağının ancak hak sahibi veya kanuni temsilcisi tarafından takip edilebileceği, bu alacakların başka kişi, kurum veya kuruluşlara devrinin mümkün olmadığı,
- Tazminat alacaklarının avukat olmayan hasar danışmanlık şirketleri ya da benzer isimlerle faaliyet gösteren oluşumlara devredilmesinin hukuken geçersiz olacağı ve bu kapsamda kişisel verilerin hukuka aykırı yollarla elde edilmesi halinde ilgili mevzuatın ihlal edilebileceği ve ayrıca 5237 sayılı Türk Ceza Kanunu’nun 136’ncı maddesinde düzenlenen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun unsurlarının oluşabileceği,
- Sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri, kendilerine verilen yetkinin dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatların/avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde bulunması ve veri sorumlusu sıfatının haiz olması durumunda ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurula şikayette bulunulabileceği
belirtilmiştir.
Diğer taraftan, Kurul tarafından kaza sonrası soruşturma ve mağdurların tespiti, mağdurların tedavi edilmesi ve kaza konusu araçların onarımı gibi süreçlerin yürütülebilmesi adına mağdurlara ilişkin kişisel verilerin işlenebileceği, ancak görevleri ve yetki alanları gereği mağdurlara ilişkin kişisel verileri işleyen veri sorumlularının bu kişisel verileri yalnızca kaza sonrası süreçlerin yönetimi amacıyla işleyebileceği, değerlendirilmiştir. Bu doğrultuda Kurul, Kanun’un 12’nci maddesi kapsamında veri sorumlularının her türlü teknik ve idari tedbiri almakla yükümlü olduğunu hatırlatılmıştır.
Söz konusu değerlendirmeler ışığında İlke Kararı ile;
- Sigortacılık sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan ve Kanun uyarınca işleme faaliyetinde bulunan hasar danışmanlık şirketleri, bunlar ile kendilerine vekalet verilmesi şartıyla işlem yapan kişilerin/ekspertiz şirketlerinin/avukatların ortaklıkları hakkında Kanun hükümleri kapsamında işlem tesis edilebileceği,
- Sigorta eksperlerinin sigortacılık mevzuatının kendilerine yüklediği yasal görevler doğrultusunda kişisel veri işleme faaliyetinde bulunabileceği, ancak birlikte görevleri gereği eriştikleri kişisel verileri yetkisiz üçüncü kişilere aktarmaları halinde Kanun’a aykırılık söz konusu olacağı,
- Veri sorumlularınca çalışanlara yönelik kişisel verilerin korunması eğitimi ve bilinçlendirme faaliyetlerinin gerçekleştirilmesi, erişim yetki prensibinin uygulanması, rol tabanlı erişim kontrolleri başta olmak üzere veri güvenliğinin sağlanması amacıyla her türlü teknik ve idari tedbirin alınması gerektiği,
- Kanun hükümlerine aykırı şekilde bu uygulamaya devam eden ve bu İlke Kararı’nda belirtilen hususlara uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri kapsamında işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine
karar verilmiştir.
İlke Kararı’na buradan ulaşabilirsiniz.
NAZALI VERGI & HUKUK
info@nazali.com
Yukarıda yer verilen açıklamalarımız, hukuki görüş ve tavsiye niteliğinde olmayıp, konuya ilişkin genel bilgiler içermektedir; bu sebeple belirtilen konularda bir aksiyon almadan önce, bir uzmana danışmanızı tavsiye ederiz. NAZALI’ya işbu dokümanın içeriğinden kaynaklanan veya içeriğine ilişkin olarak ortaya çıkan sonuçlardan dolayı herhangi bir sorumluluk iddiasında bulunulamaz.