Trafik kazası geçiren ya da işyerinde kaza atlatan pek çok kişi, aynı deneyimi paylaşıyor: hastane koridorunda, tedavisi henüz sürerken telefonu çalıyor. Arayan taraf kendini "tazminat danışmanı" ya da bazen doğrudan avukat olarak tanıtıyor, dosyayı üstlenmeyi teklif ediyor. Sorulması gereken ilk soru genellikle sorulmuyor: bu kişi, mağdurun adına, telefon numarasına, hatta kaza raporuna nasıl ulaştı? Kimse sormuyor, çünkü kimse cevap veremiyor.
Kişisel Verileri Koruma Kurulu, uzun süredir biriken bu şikâyetlere karşılık 1 Temmuz 2026 tarihli ve 33297 sayılı Resmî Gazete'de 2026/1095 sayılı bir İlke Kararı yayımladı. 20 Mayıs 2026'da oy birliğiyle alınan karar, tek bir olayı değil, sistemleşmiş bir veri sızıntısı örüntüsünü konu alıyor; bu yönüyle sigorta, sağlık ve insan kaynakları fonksiyonlarını ilgilendiren, üzerinde durulması gereken bir uyum gündemi oluşturuyor.
Kurul neyi tespit etti?
Kurula ulaşan ihbarların ortak noktası şuydu: kaza mağdurları, kimseye vekâlet vermedikleri hâlde adlarına işlem yapıldığını, ısrarlı aramalarla ve bazen hak kaybı korkusuyla vekâletname almaya zorlandıklarını bildiriyordu. Kurul'un yaptığı incelemede, kaza tutanağı gibi kimlik ve iletişim bilgisi barındıran belgelere kaza sonrasında farklı kanallardan erişildiği; bu bilgilerin hastane, kolluk kuvveti ya da sigorta süreçlerinin bir noktasında sızdırılmış olabileceği ortaya çıktı. Yani sızıntı tesadüf değil, sistematikti. Kararın dikkat çekici tarafı da tam burada: sorunu yalnızca "kötü niyetli üçüncü kişiler" meselesi olarak değil, veriyi elinde bulunduran kurumların güvenlik zafiyeti olarak da ele alması.
Sadece KVKK değil — üç ayrı mevzuat aynı anda devrede
Kararın hukuki dayanağı, veri koruma mevzuatının ötesine geçiyor. Kurul, 1136 sayılı Avukatlık Kanunu'na atıfla, hukuki danışmanlık ve vekâlet ilişkisinin yalnızca baro kaydı bulunan avukatlar eliyle kurulabileceğini; hasar danışmanlığı adı altında faaliyet gösteren yapıların bu sınırı aşamayacağını yineledi. 5684 sayılı Sigortacılık Kanunu'nun Ek 6. maddesi de ayrı bir güvence getiriyor: tazminat alacağı yalnızca hak sahibine veya onun avukatına ödenebiliyor, üçüncü kişilere devredilemiyor. Bu iki düzenleme KVKK ile birleştiğinde ortaya, verinin nasıl elde edildiğinden bağımsız olarak, sürecin her aşamasını denetleyen katmanlı bir sorumluluk çerçevesi çıkıyor. Kurul, hukuka aykırı veri elde etme ve paylaşma fiillerinin Türk Ceza Kanunu'nun 136. maddesinde düzenlenen "verileri hukuka aykırı olarak verme veya ele geçirme" suçunu oluşturabileceğini de hatırlattı — yani idari para cezasının yanına, gerekli görülen durumlarda savcılığa yapılacak suç duyurusu da ekleniyor.
Kararın bir başka ayağı sigorta eksperlerine yönelik. Kurul, eksperlerin veri işleme yetkisini hasar tespiti, raporlama ve tazminat sürecinin gerekliliğiyle sınırlı tutuyor; bu sınırın dışına çıkan, yani eksper üzerinden üçüncü kişilere veri akan her durumun hem idari hem cezai sorumluluk doğurabileceğinin altını çiziyor. Hedef belli: ekspertiz raporlarının gayriresmî kanallardan "danışmanlara" iletilmesi. Sahada sık rastlanan, ama artık savunulamayacak bir pratik.
Peki veri sorumlusu için değişen ne?
Kararın metni doğrudan bir yaptırım listesi vermiyor; bunun yerine, veri sorumlularının zaten KVKK'nın 12. maddesinden kaynaklanan genel yükümlülüğünü, bu spesifik risk senaryosuna uyarlamalarını bekliyor. Pratikte bu, sigorta şirketleri, hastaneler, kolluk birimleri ve iş kazası bildirimi yapan işverenler için üç noktada somutlaşıyor: çalışanların kaza dosyalarının hassasiyeti konusunda düzenli olarak bilgilendirilmesi, kaza raporlarına ve mağdur iletişim bilgilerine erişimin görev tanımıyla sınırlandırılması, ve bu erişimlerin izlenebilir hâle getirilmesi. Kurul, bu tedbirlerin yokluğunda tespit edilecek ihlaller için Kanun'un 18. maddesi uyarınca idari işlem başlatabileceğini, ayrıca durumu ilgili bakanlıklara ve baro başkanlıklarına bildirebileceğini belirtti.
GRC açısından asıl mesele: üçüncü taraf erişimi
Bu kararı yalnızca bir sektörel uyarı olarak okumak, GRC ekipleri açısından fırsatı kaçırmak olur. Asıl mesele başka: kurum dışına çıkan verinin izi ne kadar sürüyor? İş kazası sonrası düzenlenen tutanaklar SGK'ya, kolluğa, sigortacıya ve çoğu zaman aracı kurumlara gidiyor; bu zincirin her halkasında veri paylaşımının sözleşmesel bir zemine ve teknik bir kontrole oturup oturmadığı sorgulanmaya değer. Kurum içi pratiklerde de benzer bir kör nokta var: kaza sonrası oluşan belgeler, ivedilik gerekçesiyle kurumsal olmayan WhatsApp gruplarında veya kişisel e-posta hesapları üzerinden dolaşıyor. Uygulamada sık rastlanan, herkesin bildiği ama üzerine gidilmeyen bir durum. Kurul'un kararı, bu tür gayriresmî akışların artık savunulabilir bir gerekçesi kalmadığını gösteriyor.
Kararın yürürlüğe giriş şekli de dikkat çekici: yayım tarihinde derhâl uygulanmaya başlıyor, herhangi bir geçiş süresi tanımıyor. Bekleme yok. Bu da İK, İSG ve sigorta ilişkilerini yürüten fonksiyonlar için üçüncü taraf veri paylaşım haritasının gözden geçirilmesini, ötelenebilecek değil kısa vadede ele alınması gereken bir madde hâline getiriyor.
Kaynak: Kişisel Verileri Koruma Kurulu'nun 20.05.2026 tarihli ve 2026/1095 sayılı İlke Kararı, 1 Temmuz 2026 tarihli ve 33297 sayılı Resmî Gazete.
Kararın tam metnine ulaşmak için: www.resmigazete.gov.tr/01.07.2026 adresinden 1 Temmuz 2026 tarihli ve 33297 sayılı sayıya, ya da doğrudan www.kvkk.gov.tr üzerinden "Kaza Mağdurlarının Kişisel Verilerinin İşlenmesi Hakkında ... 2026/1095 Sayılı İlke Kararına İlişkin Kamuoyu Duyurusu" başlıklı duyuruya bakabilirsiniz.

