R.Gazete No: 33297
R.G. Tarihi: 01.07.2026
KURUL KARARI
Kişisel Verileri Koruma Kurumandan:
Kaza
Mağdurlarının Kişisel Verilerinin İşlenmesine İlişkin İlke Kararı
Karar No: 2026/1095
Karar Tarihi: 20/05/2026
Hasar danışmanlık şirketi ya da
benzer isimlerle faaliyet gösteren kuruluşların temsilcileri, avukatlar yahut
kendilerini avukat olarak tanıtan ancak baro levhası sorgulaması yapıldığında
avukat olmadığı tespit edilen kişiler tarafından iş kazaları, trafik kazaları
veya benzeri olumsuz olayların mağdurlarıyla istekleri dışında iletişime
geçildiği yönünde muhtelif sayıda şikâyet ve ihbar Kişisel Verileri Koruma
Kurumuna (Kurum) intikal etmiştir. Bu kapsamda, iletişime
geçilen kişilere vekalet vermeleri halinde tazminat alacağı vaat edilerek
gerekli başvuruların yapılabileceğinin belirtildiği; mağdurlar tarafından
kendilerine ve kazaya ilişkin bilgilerin nasıl elde edildiği hususunda
yöneltilen sorulara ise tatmin edici bir cevap verilemediği ifade edilmektedir.
Mağdurlarla yapılan görüşmeler sonrasında kimi durumlarda ısrarlı arama ve hak
kaybı yaşanabileceğine ilişkin korkutmalar neticesinde vekâletname alındığı
kimi durumlarda ise herhangi bir bilginin ya da talimatın verilmemesine karşın
mağdurlar adına iş ve İşlemler gerçekleştirildiği görülmektedir. Kişisel
Verileri Koruma Kurulu (Kurul) tarafından yapılan incelemeler
neticesinde mağdurlara ilişkin kimlik, iletişim bilgileri ile diğer kişisel
verilerin yer aldığı kaza tutanakları gibi dokümanlara yukarıda belirtilen
kişiler tarafından kaza sonrası süreçte farklı kanallar üzerinden erişilebildiği
anlaşılmıştır. Söz konusu hukuka aykırı kişisel veri erişim ve müteakip işleme
faaliyetlerinin yaygınlığı sebebiyle Kurul tarafından İlke Kararı alınması
gereği hasıl olmuştur.
Bilindiği üzere, 1136 sayılı
Avukatlık Kanunu'nun 2'nci maddesinde avukatlığın amacı düzenlenmiş; 35'inci
maddesinde yalnız avukatlar tarafından yapılabilecek İşler belirtilmiş; 48'inci
maddesinde aracılık yasağı ve buna ilişkin cezai yaptırımlar öngörülmüş;
55'inci maddesinde reklam yasağına yer verilmiş; 63'üncü maddesinde ise
yetkisiz avukatlık faaliyeti ve buna bağlanan yaptırımlar düzenlenmiştir.
Ayrıca Türkiye Barolar Birliği Avukatlık Kanunu Yönetmeliği'nin 14'üncü
maddesinde yalnız avukatların yapabileceği işler hüküm altına alınmış, Türkiye
Barolar Birliği Meslek Kuralları'nın 8'inci maddesinde ise avukatların, kendine
iş elde etme niteliğindeki her davranıştan çekineceği düzenlenmiştir.
Öte yandan, 5684 sayılı Sigortacılık Kanunu'nun (5684 sayılı
Kanun) Ek Madde 6 hükmü ile sigortacılık yapan kurum veya
kuruluşlardan ya da hesaptan talep edilecek tazminat alacağının kimlerden talep
edilebileceği düzenlenmiş, tazminat alacağının sadece hak sahibine ya da
avukatına ödenebileceği ve bu alacağın kimseye devredilemeyeceği hüküm altına
alınmış ve 5684 sayılı Sigortacılık Kanunu Ek 6'ncı Maddesinin Uygulanmasına
İlişkin Genelgenin 7'nci maddesinde ise aksine her türlü sözleşme veya işlemin,
5684 sayılı Kanun'a aykırı ve 6098 sayılı Türk Borçlar Kanunu uyarınca kesin
olarak hükümsüz olduğu düzenleme altına alınmıştır.
Bu çerçevede, 5684 sayılı Kanun'dan kaynaklanan tazminat
alacaklarının ancak 5684 sayılı Kanun'un Ek Madde 6 düzenlemesinde hüküm altına
alman kişilerce takip edilebileceği açık olup, bu alacakların başka kişi, kurum
ya da kuruluşlara devrinin de mümkün olmadığı, bu bakımdan Kurumumuza intikal
eden ihbarlar kapsamında hasar danışmanlık şirketi ya da benzer isimlerle
faaliyet gösteren oluşumların, yukarıda yer verilen düzenlemeler uyarınca,
ancak doğrudan ya da dolaylı olarak avukatlar eliyle faaliyet gösterebileceği,
aksi bir durumun yukarıda belirtilen ilgili mevzuat düzenlemelerini ihlal
edebileceği ve ayrıca 5237 sayılı Türk Ceza Kanunu'nun (TCK) 136'ncı
maddesinde düzenlenmiş olan "Verileri hukuka aykırı olarak verme veya ele
geçirme" suçunun 137'nci maddesinde düzenlenen nitelikli haline vücut
verebileceği göz önüne alındığında, 1136 ve 5684 sayılı Kanun hükümlerine
aykırı şekilde kişisel verilerin işlenmesinin söz konusu olduğu faaliyetler
bakımından konunun suç teşkil edebileceği dikkate alınarak Cumhuriyet
Savcılıklarına suç duyurusunda bulunulabileceği, idari yönden ise konunun
ilgili Bakanlıklara ve baro başkanlıklarına intikal ettirilebileceği
değerlendirilmektedir.
Ek olarak, sigortacılık sektörü içerisinde farklı
kanallarda işlenmekte olan kişisel verilere hukuka aykırı şekilde erişim
sağlayan ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı
Kanun) hükümleri uyarınca işleme faaliyetinde bulunan hasar
danışmanlık şirketleri ile kendilerine verilen yetki sınırları dışına çıkan
eksperlerin/ekspertiz şirketlerinin/avukatlarının/avukatlık ortaklıklarının
herhangi bir işleme şartına dayanmadan kişisel veri işleme faaliyetinde
bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi durumunda, ilgili
kişilerce Kanun'un 13'üncü maddesi ve devamında düzenlenen usul takip edilerek
Kurul'a şikayette bulunulabilecektir.
Diğer taraftan, sigorta eksperlerinin kişisel veri işleme
faaliyetleri; 5684 sayılı Sigortacılık Kanunu ve ikincil mevzuat çerçevesinde,
hasar tespiti, raporlama ve tazminat süreçlerinin yürütülmesi gibi yasal
görevlerin ifasıyla sınırlı ve bu faaliyetlerle doğrudan bağlantılıdır. Sigorta
eksperleri, görevlerini yerine getirirken 6698 sayılı Kişisel Verilerin
Korunması Kanunu'nda belirtilen "kanunlarda açıkça öngörülme"', "veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
ya da "bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması "
işleme şartlarına dayanarak kişisel veri işleyebilmektedir.
Bu kapsamda sigorta eksperlerinin, kendilerine
tevdi edilen kişisel verileri yalnızca görevleri dahilinde kullanmaları,
yetkisiz üçüncü kişilerle paylaşmamaları, veri güvenliğine ilişkin
yükümlülükleri almaları ve mesleki sır saklama yükümlülüğüne riayet etmeleri
zorunludur.
Yasal çerçeve ve mevzuat sınırlarının dışına çıkılarak
gerçekleştirilen; hukuka aykırı kişisel veri işleme faaliyetleri 6698 sayılı
Kişisel Verilerin Korunması Kanunu kapsamındaki idari sorumlulukların yanı
sıra, 5237 sayılı Türk Ceza Kanunu'nun ilgili maddeleri uyarınca cezai
sorumluluk doğurabilecektir.
İş kazaları, trafik kazaları veya benzeri olumsuz olaylar
sonrasındaki süreçlerde Kanun'un 4'üncü, 5'inci ve 6'ncı maddeleri kapsamında
kaza sonrası adli ve/veya idari soruşturmaların yapılması, mağdurların tedavi
edilmesi ve kazaya konu araçların onarımı gibi süreçlerin yürütülebilmesi adına
mağdurlara ilişkin kişisel veriler işlenebilecektir. Ancak görevleri ve
faaliyet alanları gereği mağdurlara ilişkin kişisel verileri işleyen veri
sorumlularının yukarıda belirtilen hukuki çerçeveye riayet etmesi gerekmekte
olup bu kişisel veriler ancak kaza sonrası süreçlerin yönetimi amacıyla
işlemeye konu edilebilecektir.
Bununla birlikte, Kanun'un "Veri güvenliğine ilişkin
yükümlülükler" başlıklı 12'nci maddesinin birinci fıkrasında;
"(1) Veri sorumlusu;
a) Kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel
verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel
verilerin muhafazasını sağlamak,
amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü teknik ve idari tedbirleri almak zorundadır. "
düzenlemesine yer verilmiştir. Mezkûr hüküm uyarınca veri
sorumluları, organizasyon yapılarını, faaliyet alanlarını, elde ettikleri
kişisel verilerin niteliğini ve bu verilerin işlenmesi bağlamında temel hak ve
özgürlüklere yönelik olarak ortaya çıkabilecek riskleri göz önünde bulundurarak
kişisel verilerin güvenliğini sağlamak adına gerekli önlemleri almakla
yükümlüdür. Ayrıca belirtmek gerekir ki Kanun'un 12'nci maddesinin dördüncü
fıkrasında veri sorumlusu bünyesinde kişisel veri işleme faaliyetlerini yürüten
kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak
başkasına açıklayamayacağı, işleme amacı dışında kullanamayacağı ve bu
yükümlülüğün görevden ayrılmalarından sonra da devam edeceği hükme
bağlanmıştır. Bununla birlikte, sağlık hizmetlerinin sunumu, sigortacılık ve
avukatlık başta olmak üzere farklı iş alanlarında çalışan kişiler, mevzuatta
ayrıca ve özel olarak düzenlenmiş mesleki sır saklama yükümlülüklerine de tabi
tutulmuştur. Aynı doğrultuda veri sorumlularının, faaliyetleri kapsamında elde
edilen kişisel verilerin kendi organizasyonları içerisinde yer alan kişiler
tarafından amacı dışında kullanılmaması ve hukuka aykırı bir biçimde başka
kişi, kurum ve kuruluşlara aktarılmaması için gerekli tedbirleri alması önem
arz etmektedir.
Tüm bu değerlendirmeler ışığında;
-
Sigortacılık
sektörü içerisinde farklı kanallarda işlenmekte olan kişisel verilere hukuka
aykırı şekilde erişim sağlayan ve 6698 sayılı Kanun hükümleri uyarınca işleme
faaliyetinde bulunan hasar danışmanlık şirketleri ile kendilerine verilen yetki
sınırları dışına çıkan eksperlerin/ekspertiz şirketlerinin/avukatların/avukatlık
ortaklıklarının herhangi bir işleme şartına dayanmadan kişisel veri işleme
faaliyetinde bulunması ve veri sorumlusu sıfatının ortaya konulabilmesi
durumunda ilgili kişilerce Kanun'un 13'üncü maddesi ve devamında düzenlenen
usul takip edilerek Kurula şikayette bulunulabileceği,
-
Sigorta
eksperlerinin sigortacılık mevzuatının kendilerine yüklediği yasal görev
doğrultusunda kişisel veri işleme faaliyetinde bulunabileceği, bununla birlikte
görevleri gereği işledikleri kişisel verileri yetkisiz üçüncü kişilere
aktarmaları hâlinde Kanun'a aykırılığın söz konusu olacağı, sigorta
eksperlerinin Kanun'da öngörülen işleme şartlarına dayanmaksızın
gerçekleştireceği kişisel veri işleme faaliyetlerinin 5237 sayılı Kanun'un
136'ncı maddesinde öngörülen kişisel verileri hukuka aykırı olarak verme suçuna
vücut verebileceği,
-
Faaliyetleri
çerçevesinde kaza mağdurlarına ilişkin kişisel verileri uhdesinde
bulunduran/işleyen veri sorumluları tarafından çalışanlarına yönelik kişisel
verilerin korunması konusunda eğitim ve bilinçlendirme faaliyetlerinin
gerçekleştirilmesi ile kişisel verilere erişime ilişkin asgari yetki prensibi
çerçevesinde yetki sınırlaması, rol tabanlı erişim kontrolleri ve takip
mekanizmalarının kurulması başta olmak üzere Kanun'un 12'nci maddesi uyarınca
kişisel verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve
idari tedbirlerin alınması gerektiği,
-
Bahse
konu önlemleri almayarak, Kanun hükümlerine aykırı şekilde bu uygulamaya devam
eden ve bu İlke Kararında belirtilen hususlara uygun hareket etmediği tespit
edilen veri sorumluları hakkında Kanun'un 18'inci maddesi hükümleri
çerçevesinde işlem tesis edileceği
hususunda kamuoyunun bilgilendirilmesine ve Kanun'un 15'inci
maddesinin altıncı fıkrası hükmü uyarınca alman bu İlke Karamın Resmi Gazete'de
ve Kurumun internet sitesinde yayımlanmasına oy birliği ile karar verilmiştir.
----------o----------