info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

KVKK İhlallerinde Tazminat Sorumluluğu: Hukuki Çerçeve ve Yargı Uygulaması

23 Tem 2025
0

1. Giriş

Kişisel verilerin korunması hakkı, hem özel hayatın gizliliği (Anayasa m.20) hem de temel insan hakları kapsamında değerlendirilmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi, saklanması ve üçüncü kişilere aktarılmasında veri sorumlularına ciddi yükümlülükler getirmiştir.

Bu yükümlülüklere aykırı hareket edilmesi durumunda yalnızca idari para cezaları değil, aynı zamanda maddi ve manevi tazminat sorumluluğu da gündeme gelmektedir. KVKK ihlallerinde tazminat sorumluluğu, hem 6698 sayılı Kanun hem de Türk Borçlar Kanunu (TBK) ve Türk Medeni Kanunu (TMK) hükümleri çerçevesinde değerlendirilir.

2. KVKK İhlali Nedir?

KVKK uyarınca bir “ihlâl”, kişisel verilerin işlenmesi, aktarılması, saklanması veya güvenliği sırasında:

  • Kanuna aykırı işleme,

  • Yetkisiz erişim,

  • Veri sızıntısı veya kaybı,

  • Açık rıza olmaksızın üçüncü kişilere aktarım,
    gibi fiillerle ortaya çıkar.

Örnek: Bir bankanın müşterisinin iletişim bilgilerini izinsiz şekilde üçüncü bir şirkete pazarlama amacıyla vermesi KVKK ihlalidir.

3. KVKK’daki Tazminat Hükmü

KVKK m.11/1-ğ uyarınca, veri sahibi (ilgili kişi), verilerinin kanuna aykırı işlenmesi nedeniyle zarara uğradığında zararın giderilmesini talep edebilir.

KVKK m.14 ise bu hakkın genel hükümlere göre tazminat davası açma hakkını saklı tuttuğunu belirtmektedir.
Dolayısıyla, tazminat talepleri genellikle TBK m.49 (haksız fiil sorumluluğu) veya m.58 (manevi tazminat) hükümlerine dayandırılır.

4. Tazminat Taleplerinin Kapsamı

4.1. Maddi Tazminat

KVKK ihlali sonucunda ilgilinin malvarlığında doğrudan zarar meydana gelmesi hâlinde talep edilir.
Örnek: Bir veri ihlali nedeniyle kimlik bilgileri çalınan kişinin banka hesabından para çekilmesi.

4.2. Manevi Tazminat

KVKK ihlali her zaman maddi zarara yol açmasa da, kişilik haklarının ihlali söz konusu olduğunda manevi tazminat talep edilebilir (TMK m.24 ve TBK m.58).
Örnek: Sağlık bilgileri izinsiz şekilde ifşa edilen bir kişinin manevi huzursuzluk yaşaması.

5. Veri Sorumlusunun Hukuki Sorumluluğu

Veri sorumlusu, KVKK m.12 uyarınca gerekli teknik ve idari tedbirleri almakla yükümlüdür.
Eğer veri sorumlusu:

  • Güvenlik önlemlerini almazsa,

  • Veri ihlallerini zamanında Kişisel Verileri Koruma Kurulu’na (KVKK Kurulu) bildirmezse,
    hem idari para cezası hem de tazminat sorumluluğu doğar.

6. Yargıtay ve Mahkeme Kararları

  • Yargıtay 4. HD, 2019/2996 E., 2020/3465 K.: İlgilinin özel nitelikli sağlık verisinin izinsiz şekilde üçüncü kişilere aktarılması kişilik hakkı ihlali sayılmış, manevi tazminata hükmedilmiştir.

  • İstanbul BAM 12. HD, 2021/1463 E., 2021/2254 K.: E-posta adresinin reklam amaçlı izinsiz kullanımı, veri ihlali olarak değerlendirilmiş ve 20.000 TL manevi tazminata karar verilmiştir.

  • KVKK Kurulu Kararları (2022-2024): Özellikle bankalar, e-ticaret siteleri ve sağlık sektörü veri ihlalleri nedeniyle milyonlarca TL idari para cezasına çarptırılmıştır.

7. Uluslararası Karşılaştırma (GDPR ve AİHM Perspektifi)

  • GDPR Madde 82: Veri ihlali nedeniyle hem maddi hem manevi zarar gören kişilerin tazminat hakkı vardır.

  • Avrupa Adalet Divanı (CJEU) Kararları: GDPR kapsamında veri sorumluları, ihlal nedeniyle ortaya çıkan “her türlü zarardan” sorumludur.

  • AİHM: Kişisel verilerin izinsiz toplanmasını ve paylaşılmasını özel hayatın gizliliği (AİHS m.8) kapsamında ihlal olarak değerlendirmektedir.

8. Delil Toplama ve İspat Yükü

KVKK ihlali davalarında:

  • İspat yükü veri sahibine aittir.

  • Ancak veri sorumlusu gerekli güvenlik tedbirlerini aldığını ispatlarsa sorumluluktan kurtulabilir.

  • Delil olarak Kurul kararları, e-posta kayıtları, log verileri, ekran görüntüleri kullanılabilir.

9. Uygulamada Sorunlar

  1. Manevi tazminatın miktarının belirlenmesi konusunda yargı kararları hâlen yeknesak değildir.

  2. Kurul kararlarının bağlayıcılığı: İdari para cezası kesilse bile, mahkemeler ayrıca tazminat için bağımsız değerlendirme yapmaktadır.

  3. Veri sorumlularının savunmaları: Genellikle ihlalin kaynağının “dış saldırılar” olduğu savunulmakta, ancak bu savunma tedbir alınmadıysa geçerli sayılmamaktadır.

10. Sonuç ve Öneriler

  • KVKK ihlallerinde tazminat davaları artış göstermekte, özellikle sağlık, finans ve e-ticaret sektörleri yoğun risk altındadır.

  • Veri sorumlularının KVKK uyum programı oluşturmaları, siber güvenlik yatırımlarını artırmaları ve veri işleme süreçlerini kayıt altına almaları gerekir.

  • Yargıtay’ın ilerleyen dönemde daha fazla içtihat oluşturmasıyla, manevi tazminat kriterlerinin netleşmesi beklenmektedir.

About Post Author

Leave a Reply

Call Now Button