Aldem Law Logo

BİLİŞİM HUKUKU

KVKK İhlali ve Tazminat Davası 2026: Veri Sızıntısı ve Şikayet Süreci

KVKK İhlali ve Tazminat Davası: Süreç, Şikayet ve Emsal Kararlar 2026

Yazar: Aldem LawOkuma: 19 dakika

Dijital çağda kişisel verilerin korunması, temel bir insan hakkı haline gelmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), verilerin izinsiz işlenmesini, paylaşılmasını ve saklanmasını yasaklayarak, ihlal durumunda hem idari para cezaları hem de hapis cezaları öngörmüştür. Ancak bireyler için en önemli hak arama yolu, kişilik hakları saldırıya uğradığı için açabilecekleri Manevi Tazminat Davasıdır.

Bu makalede; bankaların, hastanelerin, kargo şirketlerinin veya eski işverenlerin kişisel verilerinizi (telefon numarası, adres, sağlık raporu vb.) izinsiz paylaşması durumunda izlenecek hukuki yolu, Kişisel Verileri Koruma Kurulu'na (KVKK Kurulu) şikayet sürecini ve 2026 yılı emsal tazminat miktarlarını detaylıca inceleyeceğiz.

1. Hangi Bilgiler Kişisel Veridir?

Kanuna göre kişisel veri, "kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi"dir. Sadece isim soyisim değil, dolaylı yoldan kişiyi işaret eden her şey veridir:

  • Kimlik Bilgileri: TC Kimlik No, pasaport no, anne kızlık soyadı.
  • İletişim Bilgileri: Telefon numarası, e-posta adresi, ev adresi, IP adresi.
  • Özel Nitelikli Veriler: Sağlık raporları, biyometrik veriler (parmak izi), din, mezhep bilgisi, siyasi görüş, ceza mahkumiyeti bilgileri.
Önemli: Telefon numaranızın izinsiz olarak bir reklam şirketine verilmesi veya hastanedeki tahlil sonuçlarınızın 3. kişilerle paylaşılması açık bir KVKK ihlalidir.

2. Sık Karşılaşılan KVKK İhlal Örnekleri

Kurul kararlarına ve mahkeme içtihatlarına yansıyan en yaygın ihlaller şunlardır:

A. İzinsiz Reklam Mesajları (SMS/E-posta)

Bir mağazadan alışveriş yaparken verdiğiniz telefon numarasının, o mağazanın iş ortakları veya kardeş şirketleriyle paylaşılması ve size sürekli spam mesaj gelmesi. "Açık rıza" almadan yapılan bu paylaşımlar hukuka aykırıdır.

B. İşverenlerin Çalışan Verilerini Paylaşması

İşten ayrılan personelin özlük dosyasındaki bilgilerin referans arayan diğer şirketlerle izinsiz paylaşılması veya iş yerindeki kamra kayıtlarının sosyal medyada yayınlanması.

C. Banka ve Hastane İhlalleri

Bankanın borçlu hakkında ailesine bilgi vermesi ("Oğlunuzun borcu var" demesi) veya hastanenin hasta bilgilerini sigorta şirketiyle gereğinden fazla detaylı paylaşması.

3. İhlal Durumunda İzlenecek Yollar (Adım Adım)

KVKK ihlali tespit ettiğinizde doğrudan dava açamazsınız veya Kurul'a gidemezsiniz. Kanun kademeli bir başvuru mekanizması öngörmüştür.

Başvuru Süreci

  • Adım 1: Veri Sorumlusuna Başvuru (Zorunlu)
    Öncelikle ihlali yapan şirkete veya kuruma (Veri Sorumlusu) noter, KEP veya iadeli taahhütlü mektupla yazılı başvuruda bulunarak "verimin silinmesini", "kimle paylaşıldığının açıklanmasını" ve "zararımın giderilmesini" talep etmelisiniz. Kurumun size cevap vermek için 30 günü vardır.
  • Adım 2: KVKK Kurulu'na Şikayet
    Veri sorumlusu 30 gün içinde cevap vermezse veya verdiği cevap yetersizse, cevabı öğrendiğiniz tarihten itibaren 30 gün (ve her halükarda başvuru tarihinden itibaren 60 gün) içinde KVKK Kurulu'na şikayette bulunabilirsiniz. Kurul, ihlal tespit ederse şirkete idari para cezası keser.
  • Adım 3: Tazminat Davası (Mahkeme)
    Kişilik haklarınız zedelendiği için Asliye Hukuk Mahkemesi'nde manevi tazminat davası açabilirsiniz. Kurul kararı, bu davada güçlü bir delildir.

4. Veri İhlali Bildirimi: Şirketlerin Kabusu

Bir şirket (banka, hastane, e-ticaret sitesi) siber saldırıya uğrar veya çalışan hatasıyla verileri çaldırırsa, durumu öğrendiği andan itibaren 72 saat içinde KVKK Kurulu'na ve etkilenen kişilere bildirmek zorundadır. Eğer bu bildirimi yapmazsa, sadece sızıntıdan dolayı değil, "bildirim yükümlülüğünü ihlalden" dolayı da milyonlarca lira ceza alır.

Size "Verileriniz Çalındı" Maili Geldi mi? Eğer bir firmadan "Sistemimize siber saldırı oldu, bilgileriniz sızdı" şeklinde bir e-posta aldıysanız, bu sizin için tazminat davasının en güçlü delilidir. Bu bildirimi saklayın ve derhal hukuki süreci başlatın.

5. "Açık Rıza" Nedir? İmza Atmak Yeterli mi?

Şirketlerin en büyük savunması "Müşteri bize rıza verdi, imza attı" şeklindedir. Ancak Yargıtay ve Kurul kararlarına göre her imza geçerli değildir. Açık rızanın 3 şartı vardır:

  1. Belirli Bir Konuya İlişkin Olmalı: "Tüm bilgilerimi dilediğiniz gibi kullanabilirsiniz" şeklindeki genel rızalar geçersizdir. "Kampanya SMS'i atmak için telefonumu kullanabilirsiniz" gibi spesifik olmalıdır.
  2. Bilgilendirmeye Dayanmalı: Kişi neye evet dediğini anlamalıdır. Aydınlatma metni okutulmadan alınan rıza geçersizdir.
  3. Özgür İradeyle Açıklanmalı: "Bu kutucuğu işaretlemezsen ürünü satmam" veya "Üye olamazsın" demek, rızayı sakatlar. Hizmet şartına bağlanan rıza geçersizdir.

6. Şirketlerin Alması Gereken Tedbirler (VERBİS)

Veri sorumlularının (şirketlerin) "Ben bilmiyordum" deme lüksü yoktur. KVKK uyum süreci kapsamında şu tedbirleri almak zorundadırlar, aksi takdirde sızıntı olmasa bile denetimde ceza alırlar:

A. İdari Tedbirler

  • Envanter Hazırlama: Hangi veriyi neden topladığını gösteren veri envanteri.
  • Politikalar: Veri Saklama ve İmha Politikası, Özel Nitelikli Veri Güvenliği Politikası.
  • Eğitim: Çalışanlara düzenli aralıklarla KVKK farkındalık eğitimi verilmesi (Sızıntıların %60'ı çalışan ihmalinden kaynaklanır).
  • Taahhütname: Çalışanlarla ve tedarikçilerle gizlilik sözleşmesi (NDA) imzalanması.

B. Teknik Tedbirler

  • Siber Güvenlik: Güncel antivirüs, Firewall (Güvenlik Duvarı) ve DLP (Veri Sızıntısı Önleme) yazılımları kullanılması.
  • Yetki Matrisi: Her çalışanın her veriye erişememesi (Örneğin muhasebecinin hasta raporlarını görmemesi).
  • Şifreleme: Hassas verilerin kriptografik yöntemlerle şifrelenerek saklanması.
  • Log Kayıtları: Sisteme kimin ne zaman girdiğinin (erişim logları) değiştirilemez şekilde (5651 sayılı yasa) tutulması.

7. Verilerin Yurt Dışına Aktarılması (Cloud ve Sunucular)

Çoğu şirketin kullandığı e-posta sunucuları (Gmail, Outlook) veya bulut depolama hizmetleri (AWS, iCloud) yurt dışı merkezlidir. KVKK 9. maddesi gereği, kişisel verilerin yurt dışına aktarılması için ya "Açık Rıza" gerekir ya da o ülkede "Yeterli Koruma" bulunmalıdır. Ancak Kurul henüz "Güvenli Ülke Listesi" yayınlamadığı için, şirketler yurt dışı sunucu kullanırken (örneğin WhatsApp üzerinden iş yazışması yaparken) büyük risk altındadır. Bu durum, teknik bir ihlal sayılır ve cezalandırılır.

8. Özel Nitelikli Verilerin İşlenmesi: Daha Sıkı Kurallar

Sağlık verileri, cinsel hayat, ceza mahkumiyeti, biyometrik veriler (parmak izi, yüz tanıma), din ve mezhep bilgileri "Özel Nitelikli Veri"dir. Bu verilerin işlenmesi için genel şartlar yeterli değildir; "Sır Saklama Yükümlülüğü" altındaki kişilerce (doktor, avukat) işlenmesi veya kişinin çok net ve sınırları çizilmiş açık rızası gerekir. Bu verilerin sızması halinde tazminat miktarları 2-3 kat artar.

9. Açık Rıza Aranmayan Haller (İstisnalar)

Bazı durumlarda şirketler sizden izin almadan da verilerinizi işleyebilir. Bu durumlar KVKK 5/2 maddesinde sayılmıştır:

  • Kanunlarda Öngörülmesi: İşverenin çalışanın maaşını bankaya yatırmak için TC'sini bankaya vermesi (İş Kanunu gereği).
  • Sözleşmenin İfası: Kargo şirketinin paketi teslim etmek için adresinizi kuryeye vermesi (Sözleşme gereği).
  • Hukuki Yükümlülük: Otelin konaklayan kişinin kimlik bilgisini Emniyet'e bildirmesi (KBS Kanunu gereği).
  • Meşru Menfaat: Şirketin çalışanların verimliliğini artırmak için performans değerlendirmesi yapması (Kişinin temel haklarına zarar vermemek kaydıyla).

8. Manevi Tazminat Davası ve Miktarları

KVKK ihlallerinde genellikle maddi zarar (para kaybı) ispatlanamaz ancak manevi zarar (duyulan üzüntü, endişe, özel hayatın gizliliğinin ihlali) açıktır. Borçlar Kanunu 58. madde kapsamında açılan bu davalarda hakim, olayın ağırlığına göre tazminat belirler.

2026 Yargıtay Emsalleri:

  • İzinsiz SMS/Arama: 5.000 TL - 15.000 TL arası.
  • Sağlık Verilerinin İfşası: 50.000 TL - 150.000 TL arası.
  • Kamera Görüntülerinin Yayılması: 30.000 TL - 100.000 TL arası.

5. Ceza Boyutu: TCK 136 (Verileri Hukuka Aykırı Verme)

KVKK ihlali sadece tazminat gerektirmez, aynı zamanda Türk Ceza Kanunu'na göre suçtur. TCK 136. maddeye göre;
Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, 2 yıldan 4 yıla kadar hapis cezası ile cezalandırılır.

Bu suç şikayete tabi değildir, savcılık resen soruşturur. Özellikle kamu görevlisinin (memur, polis, sağlıkçı) görevini kötüye kullanarak veri paylaşması (TCK 137) cezanın artırım sebebidir.

8. Emsal KVKK Kurulu Kararları (2026-2026)

Karar 1: "Apartman WhatsApp Grubu"

Apartman yöneticisinin, aidat borcunu ödemeyen komşunun ismini ve borç miktarını apartman WhatsApp grubunda veya bina girişindeki panoda paylaşması "kişisel verilerin ifşası" sayılmıştır. Yöneticiye idari para cezası kesilmiştir.

Karar 2: "Kargo Poşeti Üzerindeki TC Kimlik No"

Bir e-ticaret firmasının gönderdiği kargo etiketinde alıcının TC Kimlik Numarasının açıkça görünmesi ihlal kabul edilmiştir. TC No'nun maskelenmesi (12*******34 şeklinde) zorunludur.

9. Zamanaşımı Süreleri

Manevi tazminat davası açmak için, ihlali ve faili öğrendiğiniz tarihten itibaren 2 yıl ve her halükarda eylemin üzerinden 10 yıl geçmeden dava açmalısınız. TCK 136 kapsamındaki ceza davası için ise dava zamanaşımı süresi 8 yıldır.

10. KVKK Şikayet Dilekçesinde Bulunması Gerekenler

Kurul'a yapılacak şikayetlerin geçerli olması için şu hususların mutlaka yer alması gerekir:

  • Şikayetçinin adı, soyadı, TC kimlik numarası, adresi ve imzası.
  • Şikayet edilen veri sorumlusunun (şirketin) ünvanı ve adresi.
  • İhlal iddiasının somut detayları (Tarih, saat, olayın oluş şekli).
  • Daha önce veri sorumlusuna başvuru yapıldığına dair belge ve (varsa) alınan red cevabı.
  • İhlali ispatlayan belgeler (Ekran görüntüleri, sözleşmeler, fotoğraflar).
Not: Kurul'a başvuru ücretsizdir ancak usulden reddedilmemesi için bir avukat desteğiyle hazırlanması tavsiye edilir.

Karar 3: "Spor Salonu Parmak İzi Girişi"

Spor salonlarının üyelerden girişte parmak izi veya yüz taraması istemesi, "ölçülülük ilkesine" aykırı bulunmuştur. Biyometrik veri (özel nitelikli veri) yerine kartlı geçiş gibi alternatifler varken parmak izi zorunluluğu getirilmesi ihlaldir.

7. Neden Bir Avukata İhtiyacınız Var?

KVKK süreçleri teknik ve usuli detaylar barındırır. Veri sorumlusuna yapılacak başvurunun içeriği, Kurul şikayetindeki süreler ve Asliye Hukuk Mahkemesi'ndeki tazminat talebinin gerekçelendirilmesi uzmanlık gerektirir. Hatalı bir başvuru, hak kaybına ve davanın reddine yol açabilir.

8. Sıkça Sorulan Sorular

İzinsiz arayan numarayı nereye şikayet ederim?

Önce İleti Yönetim Sistemi (İYS) üzerinden kontrol edin. Eğer izin vermediğiniz halde aranıyorsanız, Ticaret Bakanlığı'nın "Ticari Elektronik İleti Şikayet Sistemi" üzerinden ve KVKK Kurulu'na şikayet edebilirsiniz.

Avukatım bilgilerimi karşı tarafa verdi, suç mu?

Avukatlar, savunma hakkı kapsamında müvekkilinin bilgilerini kullanabilir ancak "sır saklama yükümlülüğü" vardır. Eğer davayla ilgisiz yerlerde paylaşırsa hem baroya şikayet edilir hem de TCK 136'dan yargılanır.

Eşimin telefonunu karıştırmak KVKK ihlali mi?

Evet. Yargıtay'a göre eşler arasında bile olsa özel hayatın gizliliği esastır. Eşin telefonuna casus yazılım yüklemek veya şifresini kırıp mesajlarını okumak TCK 134 (Özel Hayatın Gizliliğini İhlal) ve TCK 243 (Bilişim Sistemine Girme) suçlarını oluşturur. Ancak boşanma davasında "sadakatsizliği ispat" amacıyla ani gelişen bir durumda (bildirim geldiğinde) bakılması hukuka uygun delil sayılabilir.

Yasal Uyarı

Bu makale bilgilendirme amaçlıdır. KVKK süreçleri her somut olaya göre farklılık gösterir. Hak kaybı yaşamamak için uzman bir avukattan hukuki danışmanlık almanız önerilir.