Kişisel Verileri Koruma Kurulu’nun (“Kurul“) 20 Mayıs 2026 tarihli ve 2026/1095 sayılı Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Kararı (“İlke Kararı“), ile trafik kazaları, iş kazaları ve benzeri olaylar sonrasında mağdurlara ait kişisel verilerin işlenmesine ilişkin önemli değerlendirmelerde bulunmuştur. Söz konusu İlke Kararı, 1 Temmuz 2026 tarihli ve 33297 sayılı Resmî Gazete’de yayımlanmıştır.
İlke Kararı, özellikle hasar danışmanlık şirketleri, sigorta eksperleri, avukatlar ve benzeri kişi veya kuruluşlar tarafından kaza mağdurlarına ait kişisel verilere hukuka aykırı şekilde erişilmesi ve bu veriler kullanılarak mağdurlarla talepleri olmaksızın iletişime geçilmesi, tazminat vaadiyle vekâletname temin edilmesi ve bazı durumlarda mağdurlar adına bilgileri dışında işlem gerçekleştirilmesine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK“) kapsamında faaliyet gösteren Kişisel Verileri Koruma Kurumu’na (“Kurum“) ulaşan çok sayıda şikâyet üzerine alınmıştır.
A. Kararın Hukuki Çerçevesi ve Kurul Değerlendirmesi
Kurul, değerlendirmesinde öncelikle 5684 sayılı Sigortacılık Kanunu’nun (“Sigortacılık Kanunu”) Ek Madde 6 ve Ayrıca, Kurul değerlendirmesinde 25.06.2026 tarihli ve 2026/15 sayılı, 2021/1 sayılı “5684 Sayılı Sigortacılık Kanunu Ek 6 ncı Maddesinin Uygulanmasına İlişkin Genelge”de değişiklik yapan Genelge hükümlerine de açıkça atıf yapmaktadır. Anılan değişiklik ile Sigorta Tahkim Komisyonunda yürütülen uyuşmazlıklar da Genelge kapsamına alınmış; tazminat alacağının yalnızca hak sahibi veya Kanun’da sayılan kişiler tarafından takip ve tahsil edilebileceği yeniden düzenlenmiş, tazminat alacağının devrine ilişkin yasak güçlendirilmiş ve hasar danışmanlığı faaliyetleri kapsamında kişisel verileri hukuka aykırı şekilde ele geçiren, işleyen veya aktaran kişiler hakkında Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu (SEDDK) tarafından Cumhuriyet Başsavcılıklarına yazılı başvuruda bulunulacağı açıkça hüküm altına alınmıştır.
Bu değişiklikler, Kurulun İlke Kararı’nda ortaya koyduğu değerlendirmelerin sigortacılık mevzuatı bakımından dayanağını daha da güçlendirmekte; sigorta tazminat alacaklarının yalnızca Sigortacılık Kanunu’nda belirtilen kişiler tarafından takip edilebileceğini, bunun dışında kişisel verilere hukuka aykırı şekilde erişilerek tazminat takibi yürütülmesinin ilgili mevzuata aykırılık oluşturabileceği değerlendirilmektedir.
Bu kapsamda, özellikle aşağıdaki faaliyetlerin hukuka aykırı olduğuna dikkat çekilmektedir:
- Kaza mağdurlarına ait kişisel verilere hukuki bir dayanak olmaksızın erişilmesi,
- Sigortacılık sistemi veya diğer kaynaklardan elde edilen kişisel verilerin mağdurlarla iletişim kurulması amacıyla kullanılması,
- Mağdurların açık talebi bulunmaksızın telefonla aranması veya farklı iletişim yöntemleriyle kendileriyle iletişime geçilmesi,
- Mağdurların vekâlet vermeye yönlendirilmesi,
- Kişisel verilerin işlenme amacı dışında kullanılması veya üçüncü kişilerle paylaşılması.
Kurul, söz konusu faaliyetlerin yalnızca KVKK kapsamında idari yaptırımlara değil, aynı zamanda 5237 sayılı Türk Ceza Kanunu’nun (“TCK“) kişisel verilerin hukuka aykırı olarak kaydedilmesi ile verilerin hukuka aykırı olarak verilmesi, yayılması veya ele geçirilmesine ilişkin hükümleri[1] kapsamında cezai sorumluluk da doğurabileceğini ifade etmektedir.
İlke Kararı’nda ayrıca, KVKK madde 12 uyarınca veri sorumlularının, organizasyon yapıları ile işledikleri kişisel verilerin niteliğini ve bu verilerin işlenmesinden doğabilecek riskleri dikkate alarak gerekli teknik ve idari tedbirleri almakla yükümlü oldukları hatırlatılmaktadır. Bu kapsamda, kişisel verilere erişimin görev ve yetki sınırları çerçevesinde kontrol altına alınması, verilerin işleme amacı dışında kullanılmasının ve hukuka aykırı şekilde üçüncü kişilere aktarılmasının önlenmesine yönelik uygun organizasyonel ve teknik tedbirlerin hayata geçirilmesi önem arz etmektedir.
B. İlke Kararının Sektörel Etkisi
İlke Kararı, yalnızca hasar danışmanlık şirketlerinin faaliyetlerine ilişkin bir değerlendirme niteliği taşımamakta; kaza mağdurlarına ait kişisel verilerin işlendiği tüm süreçler bakımından önemli sonuçlar doğurmaktadır. Bu kapsamda kararın, hasar yönetimi süreçlerinde yer alan tüm aktörler bakımından birlikte değerlendirilmesi gerekmektedir.
i. Hasar Danışmanlık Şirketleri, Avukatlar ve Sigorta Eksperleri
Kurul, hasar danışmanlık şirketleri, avukatlar ve sigorta eksperlerinin kişisel verilere ancak ilgili mevzuatta öngörülen hukuki işleme şartları ve görev sınırları çerçevesinde erişebileceklerini; kişisel verilere ilişkin KVKK kapsamındaki yükümlülüklerin yanı sıra, tabi oldukları mesleki sır saklama yükümlülüklerinin de gözetilmesi gerektiğini vurgulamaktadır.
Bu kapsamda;
- Hasar danışmanlık şirketleri bakımından, herhangi bir hukuki işleme şartı bulunmaksızın kişisel verilere erişilmesi veya bu verilerin işlenmesinin mümkün olmadığı; bu tür faaliyetlerin KVKK kapsamında idari yaptırımlara, TCK kapsamında cezai sorumluluğa yol açabileceği, gerektiğinde Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulabileceği ve ilgili Bakanlıklar ile baro başkanlıklarının bilgilendirilebileceği belirtilmektedir.
- Avukatlar bakımından ise, İlke Kararı’nın avukatlık faaliyetini sınırlayan genel bir yasak getirmediği; ancak kişisel verilere yalnızca KVKK’da öngörülen hukuki işleme şartlarına dayanılarak erişilebileceği ve hukuka aykırı şekilde elde edilen kişisel veriler kullanılarak hukuki faaliyette bulunulmasının hukuka uygun kabul edilmeyeceği ifade edilmektedir.
- Sigorta eksperleri için kişisel verilerin yalnızca sigortacılık mevzuatından kaynaklanan görevlerin yerine getirilmesi amacıyla ve bu görevin gerektirdiği ölçüde işlenebileceği; görev sırasında elde edilen kişisel verilerin görev kapsamı dışında kullanılmasının veya üçüncü kişilere aktarılmasının KVKK ve TCK bakımından sorumluluk doğurabileceği belirtilmektedir. Kurul ayrıca, eksperlerin de görevleri kapsamında edindikleri bilgi ve belgeler bakımından tabi oldukları gizlilik ve sır saklama yükümlülüklerine uygun hareket etmeleri gerektiğini hatırlatmaktadır
ii. Sigorta Şirketleri ve Otomotiv Ekosistemi Bakımından Değerlendirme
İlke Kararı, doğrudan sigorta şirketleri veya otomotiv sektörüne yönelik bir düzenleme niteliği taşımamakla birlikte, hasar süreçlerinde kişisel verilerin işlendiği faaliyetler bakımından önemli ilkeler ortaya koymaktadır. Bu kapsamda aşağıdaki değerlendirmeler, Kurul tarafından ortaya konulan ilkeler esas alınarak sigorta ve otomotiv sektöründeki uygulamalar bakımından hazırlanmıştır.
- Hasar süreçleri kapsamında işlenen kişisel verilerin yalnızca hasar yönetimi, tazminat değerlendirmesi, onarım organizasyonu ve ilgili mevzuattan kaynaklanan yükümlülüklerin yerine getirilmesi amacıyla kullanılması; bu süreçlerde elde edilen verilerin farklı amaçlarla kullanılmaması gerekmektedir.
- Sigorta şirketleri veya hasar süreçlerinde görev alan diğer aktörler nezdinde bulunan hasar ve müşteri bilgilerinin, mağdurlarla iletişime geçmek amacıyla üçüncü kişilerle paylaşılması İlke Kararı kapsamında önemli hukuki riskler doğurabilecektir. Bu kapsamda, başta hasar danışmanlık şirketleri, çağrı merkezleri, yönlendirme firmaları ile filo kiralama, operasyonel kiralama ve araç abonelik modelleri gibi çok taraflı yapılarda yer alan servisler, eksperler, asistans şirketleri ve diğer hizmet sağlayıcılar olmak üzere üçüncü taraflarla gerçekleştirilen veri paylaşımlarının kapsamı ile tarafların KVKK kapsamındaki sıfat ve yükümlülüklerinin sözleşmelerde açık şekilde belirlenmesi önem taşımaktadır.
- Kişisel verilere erişen çalışanların görev ve yetki sınırları, veri güvenliği ile gizlilik yükümlülükleri konusunda düzenli olarak bilgilendirilmesi ve eğitilmesi; ayrıca ilgili kişilere yönelik iletişim faaliyetlerinin yalnızca ilgili mevzuatta öngörülen hukuki işleme şartlarına dayanılarak yürütülmesi önem taşımaktadır.
- Hasar süreçleriyle bağlantılı olarak sunulan ikame araç, çekici, mini onarım, cam değişimi ve benzeri hizmetler kapsamında elde edilen kişisel verilerin, ilgili hizmetin sunulması amacı dışında kullanılması planlanıyorsa, bu faaliyetlerin KVKK kapsamındaki aydınlatma yükümlülüğü ve hukuki işleme şartları ile elektronik ticari ileti mevzuatından kaynaklanan yükümlülükler birlikte gözetilerek tasarlanması gerekmektedir.
Bu çerçevede İlke Kararı, kaza mağdurlarına ait kişisel verilerin işlenmesinde KVKK kapsamındaki veri güvenliği yükümlülüklerinin yerine getirilmesi, kişisel verilerin yalnızca işleme amacıyla bağlantılı şekilde kullanılması ve ilgili mevzuat uyarınca tabi olunan gizlilik ile mesleki sır saklama yükümlülüklerine uygun hareket edilmesi gerektiğini bir kez daha ortaya koymaktadır.
İlke Kararı’nın tam metnine ulaşmak için buraya tıklayınız.
[1] TCK m. 136 (Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme) ve m. 137 (Nitelikli Hâller).