KVKK / İlke Kararı / Veri Güvenliği
Kişisel Verileri Koruma Kurumu, 1 Temmuz 2026’da yayımladığı duyuruyla kaza mağdurlarının kişisel verilerinin işlenmesine ilişkin yeni bir sınır çizdi. 20.05.2026 tarihli ve 2026/1095 sayılı İlke Kararı, hasar danışmanlığı ve sigorta süreçlerinde veri güvenliği zafiyetini doğrudan hedef alıyor.
Kaza sonrası süreçte telefonun çalması artık yalnızca satış baskısı meselesi değil. Bir kişinin trafik kazası, iş kazası veya benzeri bir olaydan sonra rızası dışında aranması, hasar takibi teklif edilmesi ya da tazminat sürecine yönlendirilmesi çoğu zaman kişisel verinin nereden geldiği sorusunu doğurur.
Kurul bu soruyu netleştirdi. Kaza mağduruna ait ad, soyad, telefon, plaka, hasar dosyası, sağlık bilgisi veya olay bilgisi serbestçe dolaşabilecek ticari veri değildir. Bu veri, ancak kaza sonrası işlemin yürütülmesi için ve işleme amacıyla sınırlı biçimde kullanılabilir.
Kurulun işaret ettiği ana risk
KVKK duyurusunda, “hasar danışmanlığı”, “sigorta takip merkezi” veya benzeri adlarla faaliyet gösteren kişi ve kuruluşların kaza mağdurlarıyla istekleri dışında iletişime geçtiğine dair çok sayıda ihbar ve şikâyet bulunduğu belirtiliyor. Bu cümle sahadaki sorunu özetliyor: veri bir yerden sızıyor, sonra ticari temasa dönüşüyor.
Bu tablo yalnızca pazarlama hukuku başlığına sıkıştırılamaz. Erişim yetkisi, veri aktarımı, tedarikçi yönetimi, loglama ve iç denetim aynı dosyanın içinde durur. Veri sorumlusu, kaza dosyasına kimin eriştiğini ve bu erişimin hangi görevle sınırlı olduğunu göstermek zorundadır.
Gösteremiyorsa risk zaten başlamıştır.
Sigorta, eksperlik ve hasar danışmanlığı tarafı ne okumalı?
Sigorta eksperleri yasal görevleri kapsamında kişisel veri işleyebilir. Bu yetki sınırsız değildir. Hasar tespiti, raporlama ve tazminat süreçleri için erişilen veri, üçüncü kişilere aktarıldığında veya görev dışı amaçla kullanıldığında 6698 sayılı Kanun bakımından sorun doğurur.
Hasar danışmanlığı adıyla yürütülen faaliyetlerde en zayıf nokta genellikle veri kaynağıdır. Kaza mağdurunun iletişim bilgisi hangi sistemden alındı? Kim paylaştı? Paylaşım kaydı var mı? Açık rıza veya başka bir işleme şartı bulunuyor mu? Bu soruların cevabı yoksa “müşteri kazanımı” diye görülen işlem veri ihlaline dönüşür.
Kurulun kararı, sektör için basit bir uyarı değil. Yetki sınırlarını aşan kişi ve kurumlar bakımından idari yaptırımın yanında cezai sorumluluk ihtimalini de gündemde tutuyor. Türk Ceza Kanunu’nun kişisel verilerin hukuka aykırı verilmesi veya ele geçirilmesine ilişkin hükümleri burada pratik bir risk haline gelir.
Veri sorumlusu hangi teknik tedbirleri almalı?
Bu kararın güvenlik tarafındaki karşılığı nettir. Kaza mağduruna ait veri, dosya içinde kalmadığında iz bırakmalıdır. İz yoksa kurum olay sonrası gerçeği bulamaz.
- Rol bazlı erişim: Kaza dosyalarına erişim görev tanımıyla sınırlandırılmalı, her kullanıcı aynı alanları görememelidir.
- Asgari yetki: Telefon, sağlık verisi, hasar tutarı, plaka ve dosya belgeleri aynı erişim seviyesinde tutulmamalıdır.
- Log ve takip: Dosya görüntüleme, dışa aktarma, indirme, entegrasyon aktarımı ve toplu sorgular kayıt altına alınmalıdır.
- Tedarikçi kontrolü: Çağrı merkezi, eksperlik şirketi, servis ağı ve dış hizmet sağlayıcıları için sözleşme, yetki ve denetim kayıtları güncel tutulmalıdır.
- Anomali izleme: Olağan dışı dosya erişimi, mesai dışı sorgu ve yüksek hacimli veri indirme işlemleri alarm üretmelidir.
KVKK m.12, veri sorumlusuna kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemeye yönelik teknik ve idari tedbirleri alma yükümlülüğü getirir. Kurulun duyurusunda yetki sınırlaması, rol tabanlı erişim kontrolleri ve log/takip mekanizmalarının açıkça sayılması bu yüzden önemli.
Bu karar hangi kurumları etkiler?
İlk bakışta karar sigorta sektörünü hedefliyor gibi görünür. Kapsam daha geniştir. Kaza sonrası veri akışına dokunan her yapı bu kararın muhatabı olabilir.
Sigorta şirketleri, eksperlik firmaları, araç kiralama şirketleri, filo yönetimi yapan kurumlar, servis ağları, sağlık kuruluşları, çağrı merkezleri, hukuk büroları ve dış kaynak hizmet sağlayıcıları aynı zincire bağlanabilir. Zincirdeki bir zayıf halka, veri sorumlusunu denetim masasında açıklama yapmak zorunda bırakır.
İç sistemlerde “kim gördü” sorusunun cevabı yoksa, dışarıdaki aramanın kaynağı da çoğu zaman bulunamaz.
Nesil Teknoloji bu başlığı nasıl ele alır?
Bu tür kararlarda yalnızca hukuki metni güncellemek yetmez. Sürecin teknik izi çıkarılmalıdır. Veri envanteri operasyon akışına bağlanmalı, sistem yetkileri gerçek görevlerle eşleştirilmeli, logların çalışıp çalışmadığı test edilmelidir.
Nesil Teknoloji olarak KVKK uyum, veri güvenliği, erişim kontrolü ve denetim hazırlığı çalışmalarında aynı noktaya bakıyoruz: kurum kişisel veriyi işlediğini biliyor mu, erişimi ölçebiliyor mu, ihlal olduğunda kanıt üretebiliyor mu?
Üçüncü soruda boşluk varsa kağıt üzerindeki politika tek başına koruma sağlamaz.
Kurum içi kontrol listesi
- Kaza, hasar, tazminat ve müşteri iletişimi süreçleri ayrı veri akışı olarak çıkarıldı mı?
- Her rol için erişilebilecek alanlar tek tek tanımlandı mı?
- Dış hizmet sağlayıcıların hangi veriye, hangi sistem üzerinden eriştiği kayıtlı mı?
- Toplu veri dışa aktarma ve rapor indirme işlemleri loglanıyor mu?
- Yetki değişiklikleri personel ve tedarikçi değişimiyle aynı gün güncelleniyor mu?
- İlgili kişi başvurusu geldiğinde işlem geçmişi dosya bazında çıkarılabiliyor mu?
Bu sorular denetim öncesi sorulmalı. Şikâyetten sonra cevap aramak kurumun hareket alanını daraltır.
Sık sorulan sorular
KVKK’nın 2026/1095 sayılı İlke Kararı ne hakkında?
Kaza mağdurlarının kişisel verilerinin hukuka aykırı şekilde elde edilmesi, paylaşılması ve hasar danışmanlığı gibi süreçlerde izinsiz kullanılmasına ilişkin sınırları belirler.
Sigorta eksperleri kişisel veri işleyebilir mi?
Evet. Yasal görevleri kapsamında ve görevle sınırlı şekilde işleyebilirler. Yetkisiz üçüncü kişilerle paylaşım Kanun’a aykırılık doğurur.
Kaza mağdurunu izinsiz aramak KVKK riski oluşturur mu?
Verinin hukuka uygun kaynağı, işleme şartı ve temas amacı yoksa ciddi risk oluşturur. Kurul bu başlıkta şikâyet yolunu ve yaptırım ihtimalini açık biçimde hatırlatıyor.
Kurumlar bu karar sonrası ne yapmalı?
Erişim yetkilerini daraltmalı, rol bazlı kontrol kurmalı, log kayıtlarını izlemeli, üçüncü taraf veri aktarımlarını sözleşme ve kayıt düzeyinde doğrulamalıdır.
KVKK veri güvenliği kontrolü yaptırın.
Kaza, hasar, çağrı merkezi, sigorta ve dış hizmet sağlayıcı süreçlerinde kişisel veri erişimini ölçmek için teknik denetim çalışması planlayabiliriz.

