Kişisel Verileri Koruma Kurulu, kaza mağdurlarının kişisel verilerinin hukuka aykırı şekilde işlenmesine karşı yeni bir ilke kararı aldı. 20 Mayıs 2026 tarihli ve 2026/1095 sayılı karar, 1 Temmuz 2026 tarihli Resmî Gazete’de yayımlandı.
Kararla birlikte trafik kazası, iş kazası ve benzeri olayların ardından mağdurların kimlik, iletişim ve kaza bilgilerine izinsiz ulaşarak “tazminat alırız” vaadiyle iletişime geçen hasar danışmanlık şirketleri ve yetkisiz kişilere yönelik yaptırım yolu açıldı.
KVKK’nın incelemelerinde, kaza tutanakları ve mağdurlara ait kişisel verilerin farklı kanallar üzerinden elde edilebildiği, bu bilgilerin bazı kişi ve kuruluşlar tarafından hukuka aykırı şekilde kullanıldığı tespit edildi. Kurul, bu tür faaliyetlerin yaygınlaşması üzerine ilke kararı aldı.
Yeni karara göre veri sorumluları, kişisel verilere erişimde “asgari yetki” prensibine uygun hareket edecek. Yetki sınırlaması, rol tabanlı erişim kontrolü, kayıt ve takip mekanizmaları gibi teknik ve idari tedbirler alınacak.
Hasar danışmanlık şirketleri veya yetkisiz kişiler tarafından kişisel verilerin hukuka aykırı işlenmesi halinde KVKK kapsamında idari yaptırım uygulanabilecek. Gerekli durumlarda Cumhuriyet başsavcılıklarına suç duyurusunda bulunulabilecek.
Kararda sigorta eksperleri için de dikkat çeken bir uyarı yer aldı. Sigorta eksperleri, yalnızca yasal görevleri kapsamında kişisel veri işleyebilecek. Ancak mağdurlara ait kişisel verilerin yetkisiz üçüncü kişilerle paylaşılması halinde Türk Ceza Kanunu’nun 136. maddesi kapsamında “kişisel verileri hukuka aykırı olarak verme veya ele geçirme” suçu gündeme gelebilecek.
KVKK, mağdurların verilerinin izinsiz kullanılması halinde ilgili kişilerin önce veri sorumlusuna başvurabileceğini, sonuç alınamaması durumunda Kuruma şikâyet yoluna gidebileceğini bildirdi.