KVKK’dan Sigorta ve Hukuk Sektörüne Kritik Uyarı
Kaza Mağdurlarının Kişisel Verilerinin Hukuka Aykırı İşlenmesine İlişkin İlke Kararı (KVKK Karar No: 2026/1095)
1 Temmuz 2026 tarihli Resmî Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun 2026/1095 sayılı İlke Kararı, özellikle trafik kazaları ve iş kazaları sonrasında mağdurların kişisel verilerine hukuka aykırı şekilde erişilmesi ve bu verilerin ticari amaçlarla kullanılmasına karşı önemli düzenlemeler getirmiştir. Karar, yalnızca veri koruma hukuku açısından değil; sigorta hukuku, avukatlık hukuku ve ceza hukuku bakımından da önemli sonuçlar doğurmaktadır.
Kurula yapılan çok sayıda şikâyette;
* Kaza geçiren kişilere dakikalar içerisinde telefon edilmesi,
* Kişisel bilgilerinin nasıl elde edildiğinin açıklanamaması,
* Hasar danışmanlık şirketlerinin tazminat vaadiyle mağdurlara ulaşması,
* Bazı kişilerin avukat olmadıkları hâlde kendilerini avukat gibi tanıtmaları,
* Israrlı aramalar sonucu vekâletname alınması
gibi uygulamaların yaygınlaştığı tespit edilmiştir. Kurul, bu durumun kişisel verilerin hukuka aykırı olarak elde edilip işlendiğini gösterdiğini değerlendirmiştir.
Sigortacılık Kanunu Ne Diyor?
5684 sayılı Sigortacılık Kanunu’nun Ek 6. maddesi uyarınca sigorta tazminatı alacağı yalnızca;
* hak sahibi,
* kanuni temsilcisi,
* veya avukatı
tarafından takip edilebilir.
Dolayısıyla hasar danışmanlık şirketlerinin bu alanda yürüttükleri faaliyetler yalnızca sigortacılık mevzuatı açısından değil, kişisel verilerin korunması bakımından da ciddi hukuki risk oluşturmaktadır. Ayrıca bu alacakların üçüncü kişilere devri de mümkün değildir.
Avukatlık Faaliyeti Başkası Tarafından Yürütülemez
Kurul kararında ayrıca;
* Avukatlık Kanunu,
* Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği,
* Türkiye Barolar Birliği Meslek Kuralları
hatırlatılarak, hukuki danışmanlık ve vekâlet faaliyetlerinin yalnızca avukatlar tarafından yürütülebileceği vurgulanmıştır.
Bu nedenle kendisini avukat gibi tanıtan kişilerin faaliyetleri yalnızca disiplin hukuku değil, aynı zamanda kişisel verilerin hukuka aykırı işlenmesi bakımından da değerlendirmeye alınabilecektir.
Ceza Hukuku Boyutu
Kararın en dikkat çekici yönlerinden biri, hukuka aykırı veri temin edilmesinin yalnızca KVKK ihlali olarak görülmemesidir.
Kurul açıkça;
* Türk Ceza Kanunu’nun 136. maddesinde düzenlenen “Verileri hukuka aykırı olarak verme veya ele geçirme” suçunun oluşabileceğini,
* Cumhuriyet Başsavcılıklarına suç duyurusunda bulunulabileceğini,
* ilgili bakanlıklara ve barolara bildirim yapılabileceğini
ifade etmiştir.
Eksperler Açısından Önemli Hatırlatma
Karar, sigorta eksperlerini de kapsamaktadır.
Eksperler görevleri gereği kişisel veri işleyebilmekle birlikte;
* yalnızca görevleri kapsamında,
* yalnızca gerekli olduğu ölçüde,
* üçüncü kişilerle paylaşmaksızın,
* veri güvenliği tedbirlerini alarak
hareket etmek zorundadır.
Görev sınırını aşan her türlü veri paylaşımı hem KVKK hem de TCK bakımından sorumluluk doğurabilecektir.
Veri Sorumlularına Yeni Yükümlülükler
Kurul yalnızca ihlalleri tespit etmekle yetinmemiş, veri sorumlularına önemli yükümlülükler de yüklemiştir.
Bunlardan bazıları;
* çalışanlara KVKK eğitimleri verilmesi,
* erişim yetkilerinin sınırlandırılması,
* rol bazlı erişim sistemlerinin kurulması,
* erişim kayıtlarının tutulması,
* teknik ve idari güvenlik tedbirlerinin artırılması
şeklinde sıralanmıştır.
Bu yükümlülükleri yerine getirmeyen veri sorumluları hakkında 6698 sayılı Kanun’un 18. maddesi kapsamında idari yaptırımlar uygulanabilecektir.
Kapağan Hukuk Bürosu