Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 20.05.2026 tarihli ve 2026/1095 sayılı “Kaza Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Kararı” (“İlke Kararı”), 1 Temmuz 2026 tarihli ve 33297 sayılı Resmî Gazete’de yayımlanmıştır. İşbu sirkülerde, İlke Kararı’nın gerekçeleri, Kurul tarafından yapılan hukuki değerlendirmeler ve veri sorumluları bakımından ortaya konulan yükümlülükler özetlenmektedir.

1. Kararın konusu ve arka planı

Kurul, kendisine intikal eden çok sayıda şikâyet ve ihbarda; hasar danışmanlık şirketleri ya da benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut kendisini avukat olarak tanıtan ancak baro levhası sorgulamasında avukat olmadığı tespit edilen kişiler tarafından, iş kazaları, trafik kazaları veya benzeri olumsuz olayların mağdurlarıyla istekleri dışında iletişime geçildiğinin ifade edildiğini belirtmiştir.

  • Söz konusu kişilerce, vekâlet verilmesi hâlinde tazminat alınacağının vaat edildiği; mağdurların kendilerine ve kazaya ilişkin bilgilere nasıl ulaşıldığına dair sorularına ise tatmin edici cevap verilmediği ifade edilmiştir.
  • Kimi durumlarda ısrarlı arama ve hak kaybı yaşanabileceğine ilişkin korkutmalar neticesinde vekâletname alındığı, kimi durumlarda ise herhangi bir talimat verilmemesine karşın mağdurlar adına iş ve işlemler gerçekleştirildiği tespit edilmiştir.
  • Kurul tarafından yapılan incelemeler neticesinde, mağdurlara ilişkin kimlik ve iletişim bilgileri ile kaza tutanakları gibi dokümanlarda yer alan diğer kişisel verilere, kaza sonrası süreçte farklı kanallar üzerinden erişilebildiği anlaşılmıştır.

Kurul, bu nitelikteki hukuka aykırı kişisel veri erişim ve müteakip işleme faaliyetlerinin yaygınlığı sebebiyle İlke Kararı alınması gereğinin hasıl olduğunu değerlendirmiştir.

2. Kurul’un hukuki değerlendirmeleri

İlke Kararı’nda Kurul, konuyu hem avukatlık ve sigortacılık mevzuatı hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) çerçevesinde değerlendirmiştir.

  • Avukatlık mevzuatı yönünden: 1136 sayılı Avukatlık Kanunu’nun 2, 35, 48, 55 ve 63’üncü maddelerine, Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği’nin 14’üncü maddesine ve Meslek Kuralları’nın 8’inci maddesine atıfla, yalnızca avukatların yapabileceği işler ile aracılık ve reklam yasaklarına dikkat çekilmiştir.
  • Sigortacılık mevzuatı yönünden: 5684 sayılı Sigortacılık Kanunu’nun Ek 6’ncı maddesi uyarınca tazminat alacağının yalnızca hak sahibine ya da avukatına ödenebileceği ve bu alacağın kimseye devredilemeyeceği; ilgili Genelge’nin 7’nci maddesi gereğince aksine her türlü sözleşme veya işlemin kesin olarak hükümsüz olduğu hatırlatılmıştır.
  • Bu çerçevede Kurul, hasar danışmanlık şirketlerinin ancak doğrudan ya da dolaylı olarak avukatlar eliyle faaliyet gösterebileceğini; aksi bir durumun ilgili mevzuatı ihlal edebileceği gibi, 5237 sayılı Türk Ceza Kanunu’nun (“TCK”) 136’ncı maddesinde düzenlenen “verileri hukuka aykırı olarak verme veya ele geçirme” suçuna ve 137’nci maddedeki nitelikli hâline vücut verebileceğini değerlendirmiştir.
  • Kurul, konunun suç teşkil edebileceği dikkate alınarak Cumhuriyet Savcılıklarına suç duyurusunda bulunulabileceğini; idari yönden ise konunun ilgili Bakanlıklara ve baro başkanlıklarına intikal ettirilebileceğini ifade etmiştir.
  • Yetki sınırları dışına çıkan eksperlerin, ekspertiz şirketlerinin, avukatların veya avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işlemesi ve veri sorumlusu sıfatının ortaya çıkması hâlinde, ilgili kişilerce Kanun’un 13’üncü maddesi ve devamında düzenlenen usul takip edilerek Kurul’a şikâyette bulunulabileceği belirtilmiştir.
  • Sigorta eksperlerinin veri işleme faaliyetlerinin ise hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi gibi yasal görevlerin ifasıyla sınırlı olduğu; “kanunlarda açıkça öngörülme”, “veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” ya da “bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması” işleme şartlarına dayanılabileceği ifade edilmiştir. Eksperlerin verileri yalnızca görevleri dahilinde kullanmaları, yetkisiz üçüncü kişilerle paylaşmamaları ve meslek sırrı yükümlülüğüne riayet etmeleri gerektiği vurgulanmıştır.

3. Veri güvenliğine ilişkin yükümlülükler

  • Kurul, kaza sonrası adli ve/veya idari soruşturmaların yürütülmesi, mağdurların tedavi edilmesi ve kazaya konu araçların onarımı gibi süreçlerin yürütülebilmesi amacıyla Kanun’un 4, 5 ve 6’ncı maddeleri kapsamında kişisel veri işlenebileceğini; ancak bu verilerin yalnızca kaza sonrası süreçlerin yönetimi amacıyla işleme konu edilebileceğini belirtmiştir.
  • Kanun’un 12’nci maddesinin birinci fıkrasına atıfla, veri sorumlusunun; kişisel verilerin hukuka aykırı işlenmesini ve bunlara hukuka aykırı erişilmesini önleme ile muhafazasını sağlama amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almakla yükümlü olduğu hatırlatılmıştır.
  • Kanun’un 12’nci maddesinin dördüncü fıkrası uyarınca, veri işleme faaliyetlerini yürüten kişilerin öğrendikleri kişisel verileri başkasına açıklayamayacağı ve işleme amacı dışında kullanamayacağı; bu yükümlülüğün görevden ayrılmalarından sonra da devam edeceği ifade edilmiştir. Sağlık hizmetleri, sigortacılık ve avukatlık başta olmak üzere ilgili alanlarda çalışan kişilerin ayrıca meslek sırrı saklama yükümlülüğüne tabi olduğu vurgulanmıştır.

4. Sonuç ve Kurul’un tespitleri

Kurul, tüm bu değerlendirmeler ışığında özetle aşağıdaki hususlara oy birliği ile karar vermiştir:

  • Sigortacılık sektöründe farklı kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim sağlayan hasar danışmanlık şirketleri ile yetki sınırları dışına çıkan eksper/ekspertiz şirketi/avukat/avukatlık ortaklıklarının herhangi bir işleme şartına dayanmadan veri işlemesi ve veri sorumlusu sıfatının ortaya konulabilmesi hâlinde, ilgili kişilerce Kanun’un 13’üncü maddesi kapsamında Kurul’a şikâyette bulunulabileceği
  • Sigorta eksperlerinin, sigortacılık mevzuatının yüklediği yasal görev doğrultusunda kişisel veri işleyebileceği; ancak işledikleri verileri yetkisiz üçüncü kişilere aktarmaları hâlinde Kanun’a aykırılığın söz konusu olacağı ve işleme şartına dayanmaksızın gerçekleştirilen faaliyetlerin TCK’nın 136’ncı maddesindeki suça vücut verebileceği
  • Kaza mağdurlarına ilişkin kişisel verileri işleyen veri sorumluları tarafından, çalışanlarına yönelik eğitim ve bilinçlendirme faaliyetlerinin yürütülmesi ile asgari yetki prensibi çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve takip mekanizmalarının kurulması başta olmak üzere Kanun’un 12’nci maddesi uyarınca gerekli her türlü teknik ve idari tedbirin alınması gerektiği
  • Bahse konu önlemleri almayarak aykırı uygulamaya devam eden ve İlke Kararı’na uygun hareket etmediği tespit edilen veri sorumluları hakkında Kanun’un 18’inci maddesi hükümleri çerçevesinde işlem tesis edileceği

İlke Kararı, Kanun’un 15’inci maddesinin altıncı fıkrası uyarınca alınmış olup, Resmî Gazete’de ve Kurumun internet sitesinde yayımlanmasına karar verilmiştir.

İletişim:

Av. Tuğçe Gültekin

Şirket Ortağı

tugce.gultekin@tr.ey.com
(212) 315 30 00