Kişisel Verileri Koruma Kurulu’ndan Kaza Mağdurlarına İlişkin Önemli İlke Kararı

Kişisel Verileri Koruma Kurulu (KVKK), 20.05.2026 tarihli ve 2026/1095 sayılı İlke Kararı ile iş kazası, trafik kazası ve benzeri olayların ardından mağdurlara ait kişisel verilerin hukuka aykırı şekilde ele geçirilmesi ve rıza dışı iletişime geçilmesi hakkında kritik bir karara imza attı.

Mağdurların Verileri Nasıl Suistimal Ediliyor?

Kurulun tespitlerine göre; bazı hasar danışmanlık şirketleri, avukatlar veya kendisini avukat olarak tanıtan kişiler tarafından mağdurların iletişim bilgilerine hukuka aykırı yollarla ulaşılıyor. Bu kapsamda karşılaşılan en yaygın ihlaller şunlar:

  • Tazminat takibi teklif edilmesi ve zorla vekâletname alınmaya çalışılması,
  • Mağdurların ısrarlı telefon aramalarıyla rahatsız edilmesi,
  • “Hak kaybı yaşayacaksınız” şeklinde yönlendirici ve asılsız ifadeler kullanılması,
  • Mağdurun açık talimatı ve onayı olmaksızın çeşitli hukuki işlemlerin yürütülmesi.

Kurulun Uyarısı: Bu ve benzeri tüm uygulamalar, kişisel verilerin hukuka aykırı olarak işlenmesi anlamına gelmektedir ve yasal yaptırımlara tabidir.

Meşru Veri İşleme Sınırları Nelerdir?

Kararda, kaza sonrasında yürütülen adli ve idari soruşturmalar, sağlık hizmetlerinin sunulması, sigorta süreçleri ve araç onarım işlemleri gibi meşru faaliyetler kapsamında kişisel verilerin işlenmesinin mümkün olduğu belirtildi.

Ancak bu veriler; yalnızca ilgili sürecin yürütülmesi amacıyla ve 6698 sayılı KVKK’da öngörülen veri işleme şartlarına uygun şekilde kullanılabilir. Amacın dışına çıkan her türlü veri paylaşımı ihlal kabul edilecektir.

Veri Sorumlularının Alması Gereken Tedbirler

Kurul; sigorta eksperleri, ekspertiz şirketleri, avukatlar, sağlık kuruluşları ve diğer veri sorumlularının teknik ve idari tedbirlerini derhal gözden geçirmesi gerektiğini vurgulayarak şu yükümlülükleri hatırlattı:

  • Düzenli Eğitim: Çalışanlara kişisel verilerin korunmasına ilişkin düzenli eğitimler verilmeli.
  • Yetki Sınırlandırması: Kişisel verilere erişim, yalnızca ilgili personelin görevi ve yetkisiyle sınırlandırılmalı.
  • Rol Bazlı Yetkilendirme: Sistemlerde rol bazlı yetkilendirme modelleri uygulanmalı.
  • Log Kayıtları ve Denetim: Tüm veri erişimleri kayıt altına alınmalı (loglanmalı) ve düzenli olarak denetlenmeli.

Sonuç

Bu ilke kararı, özellikle kaza mağdurlarının kişisel verilerinin ticari amaçlarla suistimal edilmesini önlemek adına önemli bir rehber niteliğindedir. Tüm veri sorumlularının, uyum süreçlerini bu karar doğrultusunda hızla güçlendirmesi gerekmektedir.

 

İlginizi Çekebilir

Genel Hizmetlerimiz Formu