Zara Veri İhlali Davaları Avukatları
Zara, Sivas bölgesinde kişisel veri ihlali, KVKK ihlali ve tazminat uyuşmazlıkları alanında hizmet veren 2 avukat. Şikâyet yolu, görevli mahkeme ve süreç bilgileriyle inceleyin.
Bağımsız, tarafsız ve ücretsiz dizin — aracılık yapmıyoruz. Tüm listelemeler her sayfa yenilemesinde rastgele sıralanır; hiçbir avukat öne çıkarılmaz. Listeleme için hiçbir avukattan ücret/komisyon alınmaz ve platform üzerinden danışmanlık ya da aracılık yapılmaz. HukukiUzman yalnızca kamuya açık baro bilgilerini sunan bir rehber/dizindir.
1725 baro sicil numarasıyla Sivas Barosu'na kayıtlı bir avukat olarak Sivas ilinde faaliyet göstermektedir.
Sivas ilinde avukatlık hizmetleri sunmaktadır. Sivas Barosu'na 943 sicil numarasıyla kayıtlıdır.
Zara, Sivas Veri İhlali Davaları Avukatları — Kapsamlı Rehber
Bu rehber, Zara (Sivas) bölgesinde veri ihlali ve kişisel verilerin korunması uyuşmazlıklarını; ihlalin hukuki niteliği, Kişisel Verileri Koruma Kurulu'na şikâyet yolu, veri sorumlusuna başvuru, görevli ve yetkili mahkeme, maddi ve manevi tazminat, cezai boyut ve zamanaşımı yönleriyle ayrıntılı biçimde ele alır. Amaç, kişisel verilerinizin hukuka aykırı biçimde işlenmesi, sızdırılması veya paylaşılması hâlinde izlenecek yolu baştan doğru kurgulamanıza yardımcı olmak ve uyuşmazlığınıza uygun avukatı sayfadaki listeden bilinçli şekilde seçmenizi sağlamaktır. Kişisel verilerin korunması, yalnızca büyük şirketleri değil; internette alışveriş yapan, sosyal medya kullanan, bir kuruma üye olan her bireyi doğrudan ilgilendiren bir alandır.
- Üç ayrı yol: Kurula şikâyet (idari), tazminat davası (hukuk) ve suç duyurusu (ceza) birbirinden bağımsızdır; birlikte yürütülebilir.
- Ön koşul: Kurula şikâyetten önce kural olarak veri sorumlusuna yazılı başvuru yapılması beklenir.
- Görevli mahkeme: Tazminatta ilişkinin niteliğine göre Tüketici, Asliye Ticaret veya Asliye Hukuk; idari para cezasına karşı İdare Mahkemesi.
- Hassas veri: Sağlık, biyometrik gibi özel nitelikli veri ihlalinde yaptırım ve tazminat ağırlaşır.
- Yer: Zara uyuşmazlıkları Sivas Adliyesi yargı çevresinde görülür.
Veri İhlali Nedir? Hukuki Niteliği ve Kapsamı
Veri ihlali, en geniş anlamıyla kişisel verilerin hukuka aykırı biçimde açıklanması, üçüncü kişilere aktarılması, ele geçirilmesi, değiştirilmesi veya yok edilmesi ile bu verilerin güvenliğini sağlama yükümlülüğünün ihlal edilmesidir. Türk hukukunda kişisel verilerin korunması 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenmiştir; bu Kanun, verinin hangi şartlarda işlenebileceğini, ilgili kişinin haklarını ve veri sorumlusunun yükümlülüklerini belirler. Verinin hukuka aykırı işlenmesi hâlinde ise Türk Borçlar Kanunu haksız fiil ve Türk Medeni Kanunu kişilik haklarının korunması hükümleri tazminat zemininde devreye girer.
Kişisel veri, kimliği belirli veya belirlenebilir bir gerçek kişiye ilişkin her türlü bilgidir. Ad, soyad, kimlik numarası, telefon, adres, konum, sağlık bilgileri, banka hesap verileri ve hatta çevrimiçi tanımlayıcılar bu kapsamdadır. Verinin kim tarafından, hangi amaçla ve hangi hukuki sebeple işlendiği, ihlalin varlığını ve ağırlığını doğrudan etkiler. Bir işleme faaliyetinin hukuka uygun olması için kural olarak ilgilinin açık rızasına veya kanunda sayılan işleme şartlarından birine dayanması gerekir; bu şartlardan hiçbiri yoksa işleme hukuka aykırıdır. Bu nedenle bir ihlal iddiasında ilk sorulacak soru, verinin hangi hukuki sebeple işlendiğidir.
Kişisel verilerle ilgili uyuşmazlıklarda en kritik adım, olayı doğru hukuki zemine oturtmaktır: bu bir idari denetim konusu mu (Kurula şikâyet), özel hukuk tazminatı mı, yoksa cezai sorumluluk mu doğuruyor? Çoğu olay bu üç boyutun birden gündeme geldiği karma nitelik taşır. Kişisel verilerin korunması hakkı, Anayasa'da güvence altına alınmış temel bir hak olarak da değerlendirilir; bu da alanın yalnızca teknik bir uyum meselesi değil, temel hak ve özgürlükler boyutu bulunan bir alan olduğunu gösterir. Aşağıda en sık karşılaşılan ihlal biçimleri özetlenmiştir:
Veri İhlali Türleri ve Temel Kavramlar
Kişisel verilerin korunması hukukunda uyuşmazlığın doğru kurulabilmesi için birkaç temel kavramın netleşmesi gerekir. Veri sorumlusu, kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Veri işleyen ise veri sorumlusunun verdiği yetkiye dayanarak onun adına veri işleyen taraftır. İlgili kişi, verisi işlenen gerçek kişidir. Bir ihlalde sorumluluğun kime yükleneceği, tarafların bu sıfatlarına göre belirlenir; çoğu zaman esas sorumluluk veri sorumlusundadır, ancak veri işleyenin de kendi kusurundan doğan bir sorumluluğu bulunabilir.
Uygulamada karşılaşılan başlıca ihlal biçimleri şunlardır:
- Yetkisiz erişim ve veri sızıntısı: Kötü niyetli üçüncü kişilerin sisteme sızarak veri tabanını ele geçirmesi; çoğu zaman yetersiz güvenlik tedbirinin işareti sayılır.
- İzinsiz aktarım: Verilerin, açık rıza veya kanuni şart olmaksızın başka bir şirkete, iş ortağına ya da yurt dışına aktarılması.
- Amaç dışı işleme: Verinin toplandığı amacın dışında, örneğin toplanma amacıyla bağdaşmayan pazarlama veya profilleme faaliyetlerinde kullanılması.
- Aydınlatma ve rıza eksikliği: İlgili kişinin usulüne uygun bilgilendirilmemesi veya geçerli bir açık rıza alınmadan verinin işlenmesi.
- İmha yükümlülüğünün ihlali: İşlenme amacı ortadan kalkan verilerin silinmemesi, yok edilmemesi veya anonimleştirilmemesi.
- İzinsiz ticari ileti: Onay alınmadan gönderilen SMS, e-posta, arama gibi elektronik ticari iletiler; bu alan ayrıca elektronik ticaret mevzuatıyla da ilgilidir.
Bu kavramların netleşmesi, uyuşmazlıkta kime, hangi mercie ve hangi taleple gidileceğini belirler. Örneğin verisi izinsiz paylaşılan bir kişi, hem paylaşımı yapan veri sorumlusuna hem de somut olayda kusuru bulunan veri işleyene karşı taleplerini yöneltebilir. Sorumluluğun paylaştırılması, tarafların olaydaki rolüne ve kusur derecesine göre değerlendirilir.
Kişisel veri işlemenin temelinde yer alan genel ilkeler de bir ihlalin varlığını değerlendirmede yol göstericidir. Verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi, doğru ve gerektiğinde güncel tutulması, belirli ve meşru amaçlarla işlenmesi, amaçla bağlantılı ve ölçülü olması, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi bu ilkeler arasındadır. Bu ilkelerden herhangi birine aykırılık, tek başına hukuka aykırı bir işleme olarak nitelendirilebilir. Örneğin toplanma amacı sona eren bir verinin gereğinden uzun süre saklanması, saklama süresi ilkesinin ihlali sayılır ve ihlal bildirimi ile tazminat sonucunu doğurabilir.
Sık Görülen Veri İhlali Örnekleri
Günlük hayatta en çok karşılaşılan somut veri ihlali senaryoları ve öne çıkan hukuki noktalar aşağıda özetlenmiştir. Bu örnekler, soyut bir kavram olan veri ihlalinin gündelik yaşamda nasıl karşımıza çıktığını göstermesi bakımından önemlidir:
- E-ticaret ve üyelik sitelerinden veri çalınması: Müşteri ad, telefon, adres ve ödeme bilgilerinin sızması; hem tazminat hem idari yaptırım gündeme gelir.
- Banka ve finans verilerinin ifşası: Hesap ve kart bilgilerinin ele geçirilmesi; dolandırıcılık zararıyla birlikte maddi tazminat talebi doğar.
- Onaysız reklam mesajları: Hiç ilişki kurulmamış bir kişiye izin alınmadan gönderilen ticari ileti ve arama.
- Özel yazışma ve fotoğrafların yayılması: Kişilik haklarını ağır biçimde ihlal eden ifşa; manevi tazminatın ağırlaştığı hâllerdendir.
- Sağlık verilerinin sızması: Özel nitelikli veri olduğundan yaptırımı ve tazminatı ağırlaştıran ihlal türü.
- İşyeri ve eski çalışan verilerinin amaç dışı kullanımı: İş ilişkisi sona erdikten sonra verinin saklanması veya kullanılması.
- Kamera ve konum takibi: Aydınlatma ve hukuki sebep olmaksızın yapılan izleme faaliyetleri.
Bu senaryoların ortak yönü, çoğunun başlangıçta fark edilmesinin güç olmasıdır. Verilerin ne zaman ve nasıl ele geçirildiği çoğu kez ancak bir dolandırıcılık girişimi, beklenmedik bir bildirim ya da bir kurumun gecikmeli ihlal duyurusuyla ortaya çıkar. Bu nedenle şüpheli en küçük belirtide bile hesap hareketlerini yakından izlemek ve delilleri korumak, sonradan doğabilecek hak kayıplarının önüne geçer. Erken fark edilen bir ihlalde alınacak hızlı önlemler, zararın büyümesini büyük ölçüde engelleyebilir.
Aynı olay çoğu zaman birden fazla hukuki sonucu birlikte doğurur: örneğin bir veri sızıntısı hem Kurula şikâyet, hem tazminat davası, hem de suç duyurusu konusu olabilir. Bu nedenle olayın baştan bütüncül değerlendirilmesi önemlidir.
Görevli ve Yetkili Merci: Şikâyeti ve Davayı Nereye Yöneltmelisiniz?
Veri ihlalinde birden çok başvuru yolu bulunduğundan, her talebin doğru mercie yöneltilmesi gerekir. Doğru forumun baştan seçilmesi görevsizlik ve süre kaybını önler:
| Talebin Türü | Yetkili / Görevli Merci | Sonuç | Ön Koşul / Not |
|---|---|---|---|
| İhlalin tespiti, idari yaptırım | Kişisel Verileri Koruma Kurulu | İhlal tespiti, idari para cezası | Önce veri sorumlusuna başvuru gerekir |
| Maddi/manevi tazminat (tüketici işlemi) | Tüketici Mahkemesi | Tazminata hükmedilmesi | Değeri sınırın altındaysa Tüketici Hakem Heyeti |
| Maddi/manevi tazminat (ticari ilişki) | Asliye Ticaret Mahkemesi | Tazminata hükmedilmesi | Ticari nitelik varsa |
| Maddi/manevi tazminat (genel) | Asliye Hukuk Mahkemesi | Tazminata hükmedilmesi | Diğer hâllerde |
| İdari para cezasına itiraz | İdare Mahkemesi | Cezanın iptali | Veri sorumlusu tarafından açılır |
| Cezai boyut (suç duyurusu) | Cumhuriyet Başsavcılığı | Soruşturma, ceza davası | Kovuşturma ceza mahkemesinde |
Zara bölgesindeki uyuşmazlıklar, yer bakımından yetki kurallarına göre Sivas Adliyesi yargı çevresindeki ilgili mahkemede ele alınır. Tazminat davalarında davacı, kural olarak kendi yerleşim yeri mahkemesinde de dava açabildiğinden yetki bakımından uygun forumun belirlenmesi önemlidir. Kurula şikâyet ise fiziksel bir yargı çevresine bağlı olmaksızın merkezi olarak değerlendirilir; bu nedenle nerede yaşarsanız yaşayın Kurul'a başvurabilirsiniz.
İspat ve Deliller: Veri İhlalini Nasıl Kanıtlarsınız?
Veri ihlali davalarında en kritik aşama, ihlalin ve zararın somut delillerle ortaya konmasıdır. Kural olarak ihlali ve uğranılan zararı ispat yükü davacı ilgili kişidedir; ancak veri sorumlusunun, işlemeyi hukuka uygun kılan bir sebebin varlığını ve gerekli güvenlik tedbirlerini aldığını ortaya koyması beklenir. Bu nedenle delillerin erken ve düzgün toplanması, davanın kaderini belirler. Dijital ortamda gerçekleşen ihlallerde delillerin bütünlüğü kolayca bozulabildiğinden, bu aşama özel bir titizlik gerektirir.
Başlıca delil türleri şunlardır:
- Ekran görüntüleri ve dijital kayıtlar: İzinsiz erişim, tanıtım mesajları, hesap hareketleri ve bildirimlerin tarih damgalı görüntüleri.
- Yazışmalar: Veri sorumlusuna yapılan başvuru ve alınan yanıtlar; e-posta ve resmi bildirimler.
- Kurul kararları: Aynı olaya ilişkin Kurul tarafından verilmiş ihlal tespiti, tazminat davasında güçlü bir delil oluşturabilir.
- Banka ve işlem kayıtları: Maddi zararın (örneğin dolandırıcılık kaynaklı kaybın) belgelenmesi.
- Bilirkişi ve teknik inceleme: Sistemdeki güvenlik açığının ve verinin nasıl ele geçirildiğinin teknik olarak ortaya konması.
- Tanık beyanları: İhlalin ve sonuçlarının somutlaştırılmasına yardımcı beyanlar.
Dijital deliller hızla değiştirilebildiği için ihlal fark edilir edilmez ekran görüntüsü almak, ilgili e-posta ve mesajları silmemek ve mümkünse tarih içeren belgelerle desteklemek önemlidir. Geç toplanan veya bütünlüğü bozulan deliller ispat gücünü yitirebilir.
İspat Yükü ve Aydınlatma Yükümlülüğünün İspatı
Veri ihlali uyuşmazlıklarında ispat yükünün dağılımı, sonucu doğrudan etkileyen teknik bir konudur. Genel kural, iddiasını ileri süren tarafın onu ispatla yükümlü olmasıdır; dolayısıyla ilgili kişi, verilerinin işlendiğini, bu işlemenin kendisine zarar verdiğini ve zararın miktarını ortaya koymaya çalışır. Ancak kişisel verilerin korunması hukukunda bazı dengeleyici kurallar bulunur: işlemenin hukuka uygun bir sebebe dayandığını, gerekli aydınlatmanın yapıldığını ve açık rızanın usulüne uygun alındığını ispat yükü, bu bilgi ve belgelere hâkim olan veri sorumlusundadır.
Bu denge, uygulamada büyük önem taşır. Zira aydınlatma metninin okunaklı, anlaşılır ve müdahaleye özgü biçimde sunulduğu; açık rızanın özgür iradeyle, belirli bir konuya ilişkin ve bilgilendirmeye dayalı olarak alındığı, belge düzeninde ve kayıtlarında somut olarak gösterilemiyorsa, veri sorumlusu ispat yükünü yerine getirememiş sayılabilir. Matbu bir onay kutucuğunun işaretlenmiş olması, tek başına geçerli açık rızanın varlığı için çoğu zaman yeterli görülmez. Bu nedenle veri sorumlusu işletmeler açısından kayıt ve dokümantasyon düzeni, sadece bir uyum formalitesi değil, bir ihlal iddiasında en güçlü savunma aracıdır.
Açık rızanın geçerliliği için üç unsur birlikte aranır: rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanmış olması. Bir hizmetin sunulmasını, aslında o hizmet için gerekli olmayan bir veri işlemeye rıza gösterme şartına bağlamak, rızanın özgürlüğünü ortadan kaldırabilir ve bu tür rızayı geçersiz kılabilir. Örneğin bir uygulamanın çalışması için zorunlu olmayan pazarlama verilerinin işlenmesine rıza vermeyen kullanıcının hizmetten yararlanmasının engellenmesi, açık rızayı sakatlayan bir uygulama olarak değerlendirilebilir. Aydınlatma yükümlülüğü ise açık rızadan bağımsız olarak, verinin hangi hukuki sebeple işlendiğine bakılmaksızın her hâlde yerine getirilmesi gereken bir yükümlülüktür; bu iki kavramın karıştırılması, uygulamada sık rastlanan bir hatadır.
Başvuru ve Şikâyet Yolları — Adım Adım
Kişisel verilerinizin ihlal edildiğini düşünüyorsanız, izlenecek başvuru yolları kademeli bir yapıya sahiptir. Bu kademeler doğru sırayla takip edildiğinde hem hak kaybı önlenir hem de sonraki aşamalar için sağlam bir zemin oluşur.
İlk aşamada, verinizi işleyen kuruma yazılı olarak başvurup verilerinizin akıbetini, işleme sebebini ve alınan önlemleri sorabilir; silinmesini veya düzeltilmesini talep edebilirsiniz. Kurum, talebi kanunda öngörülen azami süre içinde sonuçlandırmakla yükümlüdür.
Başvuru reddedilir, yetersiz kalır veya süresinde yanıtlanmazsa Kişisel Verileri Koruma Kurulu'na şikâyet edilir. Kurul ihlali tespit ederse giderilmesine ve idari para cezasına hükmedebilir.
Uğranılan maddi ve manevi zararın giderilmesi için hukuk mahkemesinde tazminat davası açılır. Bu yol Kurula şikâyetten bağımsızdır ve onunla birlikte yürütülebilir.
İhlal bir suç oluşturuyorsa Cumhuriyet Başsavcılığına suç duyurusunda bulunulabilir. Ceza yargılaması diğer yollardan bağımsız ilerler.
Zara'da Veri İhlali Davası Süreci — Aşama Aşama
Tazminat sürecinin tipik akışı aşağıdaki gibidir. Süreler olayın niteliğine ve mahkemenin iş yüküne göre değişebilir; aşağıdaki süreler yaklaşık yönlendirme amaçlıdır ve somut olayda farklılık gösterebilir.
İhlale ilişkin tüm ekran görüntüsü, yazışma ve belgeler bir araya getirilir; olay hukuken nitelendirilir. Bu aşama birkaç gün ile birkaç hafta sürebilir.
Kuruma yazılı başvuru yapılır ve kanunda öngörülen azami yanıt süresi beklenir.
Yanıt olumsuz veya yetersizse süresi içinde Kurula şikâyet edilir; Kurul inceleme yaparak karar verir.
Maddi ve manevi tazminat talepleri gerekçelendirilerek dava dilekçesi hazırlanır ve harçlar yatırılır.
Deliller incelenir, gerektiğinde bilirkişi raporu alınır; tarafların iddia ve savunmaları değerlendirilir. Bu aşama davanın en uzun bölümüdür.
Mahkeme kararını verir; taraflar istinaf ve gerektiğinde temyiz yoluna başvurabilir.
Talep Edilebilecek Tazminat Kalemleri
Veri ihlali nedeniyle uğranılan zararın giderilmesi için başlıca iki tazminat kalemi gündeme gelir; bunlar aynı davada birlikte istenebilir:
- Maddi tazminat: Parasal olarak hesaplanabilen somut kayıpları karşılar. Dolandırıcılık nedeniyle çekilen para, itibar kaybına bağlı ticari zarar, ihlali gidermek için yapılan masraflar, hesap güvenliğinin yeniden sağlanmasına ilişkin giderler bu kapsamdadır. Bu kalemin ispatı gerekir.
- Manevi tazminat: Kişilik haklarının ihlali nedeniyle duyulan üzüntü, endişe ve rahatsızlığın kısmen giderilmesine yöneliktir. Somut maddi kayıp ispat edilmese dahi, verilerin hukuka aykırı ifşası kişilik haklarına saldırı oluşturuyorsa hükmedilebilir; miktarı hâkim hakkaniyete göre takdir eder.
Bazı hâllerde, ihlalin durdurulması, verilerin düzeltilmesi veya silinmesi gibi tazminat dışı talepler de dava veya başvuru yoluyla ileri sürülebilir. Ayrıca kişilik haklarına saldırının önlenmesi ve devam eden ihlalin durdurulması için ayrı talepler de gündeme gelebilir. Talepler somut olayın özelliklerine göre şekillendirilir; hangi kalemlerin ne şekilde isteneceğinin baştan doğru belirlenmesi, dava sonucunu doğrudan etkiler.
Tazminat Miktarını Etkileyen Etkenler
Manevi tazminat miktarı önceden sabit bir tarifeyle belirlenmez; hâkim, olayın tüm koşullarını değerlendirerek hakkaniyete uygun bir miktar takdir eder. Bu takdirde etkili başlıca etkenler şunlardır:
İhlale konu verinin sıradan mı yoksa sağlık, cinsel hayat gibi özel nitelikli (hassas) veri mi olduğu belirleyicidir; hassas veri ihlalinde tazminat ağırlaşır.
Verinin ne kadar geniş bir kitleye ulaştığı, kaç kişiyi etkilediği ve ne kadar süre erişilebilir kaldığı değerlendirilir.
Veri sorumlusunun gerekli güvenlik tedbirlerini alıp almadığı, ihmalin ya da kastın derecesi tazminatı etkiler.
İlgili kişinin uğradığı manevi ve maddi sonucun ciddiyeti, itibar ve özel hayat üzerindeki etkiler dikkate alınır.
Bu etkenlerin yanında tarafların ekonomik ve sosyal durumu, ihlalin süregelip gelmediği ve veri sorumlusunun ihlal sonrası gösterdiği tutum da değerlendirmeye dâhil edilir. Amaç, ilgili kişiyi zenginleştirmek değil; uğradığı manevi zararı hakkaniyet ölçüsünde gidermektir.
Maddi tazminatta ise zararın somut biçimde belgelenmesi belirleyicidir. İhlal nedeniyle yapılan masraflar, uğranılan gelir kaybı, güvenliğin yeniden sağlanması için katlanılan giderler ve varsa dolandırıcılık kaynaklı kayıplar dekont, fatura ve banka kayıtlarıyla ortaya konmalıdır. Zarar ile ihlal arasındaki nedensellik bağının kurulması, maddi tazminat talebinin kabulü için gereklidir; bu bağ kurulamadığında, zarar gerçek olsa dahi tazminata hükmedilmesi güçleşir. Bu nedenle maddi zarara ilişkin belgelerin baştan titizlikle toplanması önemlidir.
Zamanaşımı ve Süreler
Veri ihlali uyuşmazlıklarında süreler yol seçimine göre değişir ve çoğu hak düşürücü nitelik taşıdığından geçirilmesi hak kaybına yol açar. Aşağıdaki tabloda başlıca süreler özetlenmiştir; kesin süreler için güncel mevzuat ve somut olay esas alınmalıdır.
| Yol | Sürenin Başlangıcı | Nitelik |
|---|---|---|
| Veri sorumlusuna başvuru sonrası Kurula şikâyet | Başvurunun reddi veya yanıtsız kalması | Kanunda öngörülen süre |
| Kurula şikâyet üst süresi | İhlalin öğrenilmesi | Kanunda öngörülen üst süre |
| Haksız fiil tazminatı (kısa süre) | Zararın ve failin öğrenilmesi | Zamanaşımı |
| Haksız fiil tazminatı (uzun süre) | Fiilin gerçekleşmesi | Üst sınır zamanaşımı |
| Ceza zamanaşımı (fiil suç ise) | Suçun işlenmesi | Daha uzunsa tazminatta da uygulanabilir |
Fiil aynı zamanda suç oluşturuyor ve ceza kanununda daha uzun bir zamanaşımı öngörülüyorsa, tazminat davasında da bu daha uzun ceza zamanaşımı süresi dikkate alınır. Bu nedenle sürelerin erkenden hesaplanması ve başvuruların vakit kaybetmeden yapılması büyük önem taşır. Özellikle Kurula şikâyet süreleri kısa olduğundan, ihlali öğrendikten sonra hızla hareket etmek gerekir.
Özel Durumlar: Hassas Veriler, Çocuklar ve Yurt Dışı Aktarım
Bazı ihlal türleri, taşıdıkları risk nedeniyle özel bir hukuki değerlendirme gerektirir:
- Özel nitelikli (hassas) veriler: Sağlık, cinsel hayat, din, etnik köken, biyometrik ve genetik veriler daha sıkı işleme şartlarına tabidir; ihlalinde yaptırım ve tazminat ağırlaşır.
- Çocuklara ilişkin veriler: Çocukların verileri özel bir hassasiyetle korunur; velayet ve rıza konularında ek dikkat gerektirir.
- Yurt dışına aktarım: Verilerin yurt dışına aktarılması, kanunda öngörülen özel şartlara bağlıdır; bu şartlar sağlanmadan yapılan aktarım başlı başına bir ihlal oluşturabilir.
- İşçi-işveren ilişkisi: İşyerinde çalışan verileri, kamera ve konum takibi, işe alım süreçleri ölçülülük ve aydınlatma yükümlülüğü çerçevesinde değerlendirilir.
Kişisel veri işleme faaliyetleri belirli, açık ve meşru amaçlarla sınırlı olmalı, amaçla bağlantılı ve ölçülü olmalıdır. Bu ilkeye aykırı, gereğinden fazla veya amaç dışı işleme, tek başına hukuka aykırılık oluşturabilir.
Gerekli Belgeler
Başvuru ve dava sürecinde hazır bulundurulması yararlı belgeler, hem sürecin hızlanmasını hem de ispatın güçlenmesini sağlar:
- Kimliğinizi tevsik eden belgeler ve iletişim bilgileriniz.
- İhlale ilişkin ekran görüntüleri, tarih içeren mesaj ve e-postalar.
- Veri sorumlusuna yapılan başvuru ve alınan yanıtların bir örneği.
- Varsa Kurul kararı veya yazışmaları.
- Maddi zararı belgeleyen banka/işlem kayıtları, dekontlar ve masraf belgeleri.
- İlgili kurumla ilişkinizi gösteren sözleşme, üyelik veya fatura kayıtları.
- Tanık bilgileri ve olayı somutlaştıran diğer destekleyici belgeler.
Veri İhlali Avukatı Seçerken Sorulması Gerekenler
Doğru avukatı seçmek, sürecin sağlıklı yürümesi için belirleyicidir. Görüşme sırasında aşağıdaki soruları sormak, avukatın bu alandaki deneyimini ve yaklaşımını anlamanıza yardımcı olur:
- Kişisel verilerin korunması ve veri ihlali uyuşmazlıklarında daha önce hangi tür işleri yürüttünüz?
- Olayımda önce Kurula şikâyet mi, tazminat davası mı, yoksa ikisini birlikte mi önerirsiniz ve neden?
- Delillerimi güçlendirmek için şimdi hangi adımları atmalıyım?
- Sürecin tahmini süresi ve olası aşamaları nelerdir?
- Ücretlendirme nasıl yapılır; harç ve masraflar ayrıca mı istenir?
- Sürecin gelişimi hakkında bana nasıl ve hangi sıklıkta bilgi verirsiniz?
Avukatla yapılacak ilk görüşmede, olayı olabildiğince kronolojik ve belgeli biçimde anlatmak süreci hızlandırır. Ne zaman, hangi kanaldan ve hangi verilerin ihlal edildiğini; varsa uğranılan somut zararı ve bugüne kadar atılmış adımları özetleyen kısa bir kronoloji, avukatın durumu hızla değerlendirmesini kolaylaştırır. Ayrıca, hangi kurumla nasıl bir ilişkiniz olduğunu (üyelik, alışveriş, iş ilişkisi vb.) gösteren belgeleri hazır bulundurmak, doğru forumun ve stratejinin belirlenmesine yardımcı olur.
Bu sayfadaki liste, Zara bölgesinde kişisel verilerin korunması ve veri ihlali alanında hizmet veren avukatları içerir. Görüşme öncesi belgelerinizi hazırlayıp sorularınızı netleştirmeniz, ilk görüşmenin verimli geçmesini sağlar.
İlgili Mevzuat
Veri ihlali uyuşmazlıklarında başvurulan başlıca yasal düzenlemeler:
- 6698 sayılı Kişisel Verilerin Korunması KanunuVerinin işlenme şartları, ilgili kişinin hakları, veri sorumlusunun yükümlülükleri, idari yaptırımlar
- Türk Ceza Kanunu (kişisel verilere ilişkin suçlar)Verilerin hukuka aykırı kaydedilmesi, verilmesi, ele geçirilmesi ve yok edilmemesi
- Türk Borçlar KanunuHaksız fiil sorumluluğu, maddi ve manevi tazminat esasları
- Türk Medeni KanunuKişilik haklarının korunması ve saldırının önlenmesi
- 6502 sayılı Tüketicinin Korunması Hakkında KanunTüketici işlemlerinde ayıplı hizmet ve görevli mahkeme
- İlgili Kurul kararları ve yönetmeliklerİhlal bildirimi, veri güvenliği tedbirleri, aydınlatma yükümlülüğü uygulaması
Yargı ve İçtihat İlkeleri
Kişisel verilerin korunması alanında yargı uygulamasında öne çıkan bazı temel ilkeler:
Kişisel verinin işlenmesinin, açık rıza ya da kanunda sayılan işleme şartlarından birine dayanması gerektiği; bu sebeplerden hiçbiri bulunmadan yapılan işlemenin hukuka aykırı olduğu yaklaşımı.
Kişisel verilerin hukuka aykırı ifşasının kişilik haklarına saldırı oluşturabileceği ve somut maddi zarar ispatı aranmaksızın manevi tazminatın gündeme gelebileceği değerlendirmesi.
Veri işlemenin belirli, meşru amaçlarla sınırlı ve ölçülü olması gerektiği; amaç dışı veya aşırı işlemenin hukuka aykırılık oluşturduğu ilkesi.
Veri Güvenliği ve Önleyici Tedbirler
İhlal gerçekleşmeden alınacak önlemler, hem ilgili kişiler hem de veri sorumlusu işletmeler için büyük önem taşır. İlgili kişiler açısından; güçlü ve farklı parolalar kullanmak, iki adımlı doğrulamayı etkinleştirmek, tanımadığınız bağlantı ve eklere karşı dikkatli olmak, paylaşılan kişisel bilgileri asgaride tutmak temel korunma yöntemleridir. Bir ihlal şüphesinde ise parolaların hızla değiştirilmesi ve hesap hareketlerinin izlenmesi zararın büyümesini engelleyebilir.
Veri sorumlusu işletmeler açısından ise hukuki yükümlülük daha kapsamlıdır. İşlenen verilerin güvenliğini sağlayacak teknik ve idari tedbirlerin alınması, erişim yetkilerinin sınırlandırılması, veri işleme envanterinin tutulması, aydınlatma metinlerinin usulüne uygun hazırlanması ve gerektiğinde Veri Sorumluları Siciline kayıt zorunludur. Bu tedbirlerin alınmamış olması, bir ihlal gerçekleştiğinde kusurun ağırlığını artırır ve idari para cezası ile tazminat sorumluluğunu doğrudan etkiler.
Yeterli güvenlik tedbiri almamış bir işletme, ihlal gerçekleştiğinde hem idari para cezası hem de birden çok ilgili kişinin tazminat talebiyle karşılaşabilir. Uyum sürecinin önceden kurulması, olası mali ve itibari kaybı büyük ölçüde azaltır.
İşletmeler İçin Yükümlülükler ve İhlal Bildirimi
Veri sorumlusu sıfatı taşıyan işletmeler, bir veri ihlali öğrendiklerinde bunu en kısa sürede ve mevzuatın belirlediği çerçevede Kişisel Verileri Koruma Kurulu'na bildirmekle yükümlüdür. Ayrıca ihlalden etkilenen ilgili kişilerin de bilgilendirilmesi beklenir. Bu bildirim yükümlülüğünün geç veya hiç yerine getirilmemesi, başlı başına ayrı bir yaptırım sebebidir.
Bunun yanında işletmelerin; işledikleri veriler bakımından bir işleme envanteri oluşturması, saklama ve imha politikalarını belirlemesi, çalışanlarını veri güvenliği konusunda bilgilendirmesi ve iş ortaklarıyla veri işleme sözleşmeleri yapması beklenir. Bir ihlal anında hızlı ve doğru bir hukuki müdahale (bildirim, delil koruma, iç inceleme ve iletişim yönetimi), hem yaptırım riskini hem de tazminat yükünü sınırlamaya yardımcı olur. Kriz anında atılacak adımların önceden planlanmış olması, panik kaynaklı hatalı kararların önüne geçer.
Uyumun sürdürülebilir olması için işletmelerin düzenli aralıklarla veri işleme faaliyetlerini gözden geçirmesi, yeni başlayan işleme faaliyetleri için aydınlatma ve rıza süreçlerini baştan kurgulaması ve tedarikçi ile iş ortaklarıyla yapılan sözleşmelerde veri koruma hükümlerine yer vermesi beklenir. Özellikle çok sayıda kişisel veri işleyen, hassas veri işleyen ya da otomatik sistemlerle profilleme yapan işletmelerde risk daha yüksek olduğundan, bu işletmelerde iç denetim ve farkındalık eğitimlerinin süreklilik taşıması önem kazanır. İhlal sonrası atılan adımların belgelenmesi, hem Kurul incelemesinde hem de olası tazminat davasında işletmenin gerekli özeni gösterdiğini ortaya koyması bakımından değerlidir.
Sık Yapılan Hatalar ve Kaçınılması Gerekenler
Veri ihlali uyuşmazlıklarında hak kaybına yol açan yaygın hatalar şunlardır:
- Delilleri geç toplamak veya silmek: İhlale ilişkin mesaj, e-posta ve ekran görüntülerinin kaybedilmesi ispatı zayıflatır.
- Veri sorumlusuna başvurmadan doğrudan hareket etmek: Kurula şikâyette çoğu hâlde ön başvuru şartı aranır; bu adım atlanınca şikâyet usulden reddedilebilir.
- Süreleri kaçırmak: Şikâyet ve tazminat süreleri hak düşürücü olduğundan gecikme telafisi güç sonuçlar doğurur.
- Yanlış mahkeme veya mercie başvurmak: Görevsizlik/yetkisizlik kararı zaman kaybına yol açar.
- Talepleri eksik kurmak: Maddi ve manevi tazminatın ya da durdurma/silme taleplerinin baştan doğru belirlenmemesi hak kaybına neden olabilir.
Kurul Şikâyeti ve Dava Yolunun Birlikte Yürütülmesi
Kişisel Verileri Koruma Kurulu'na yapılan şikâyet ile hukuk mahkemesindeki tazminat davası birbirinin alternatifi değildir; ikisi de aynı olay için birlikte yürütülebilir. Kurul'un vereceği ihlal tespiti, tazminat davasında güçlü bir delil işlevi görebilir; çünkü aynı olaya ilişkin idari makamın hukuka aykırılık saptaması, mahkemenin değerlendirmesine ışık tutar. Bununla birlikte tazminat davası, Kurul kararı beklenmeden de açılabilir.
Bu iki yolun eşgüdümlü yürütülmesi, hem ihlalin resmî olarak tespit edilmesini hem de uğranılan zararın giderilmesini sağlar. Cezai boyut varsa, suç duyurusu da bu iki yoldan bağımsız olarak eş zamanlı sürdürülebilir. Sürecin bütüncül planlanması, hangi yolun ne zaman ve nasıl kullanılacağının baştan kararlaştırılmasını gerektirir; bu da alanında deneyimli bir avukatla çalışmanın önemini artırır. Yolların birbirini nasıl beslediğini bilmek, hem zaman hem de hak kaybının önüne geçilmesini sağlar.
KVKK ile Türk Ceza Kanunu Boyutunun İlişkisi
Bir veri ihlali, çoğu zaman aynı anda hem idari hem de cezai sonuçlar doğurur. İdari boyutta Kişisel Verileri Koruma Kurulu devreye girerken, cezai boyutta Türk Ceza Kanunu'nun kişisel verilere ilişkin suçları uygulanır. Bu iki alan birbirini tamamlar ancak amaçları farklıdır: idari yaptırım, veri sorumlusunun yükümlülüklere uymasını sağlamaya ve ihlali gidermeye yönelikken; cezai yaptırım, fiili işleyen gerçek kişilerin kişisel cezai sorumluluğunu hedefler.
Kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, yayılması veya ele geçirilmesi ile bu verilerin kanunun öngördüğü sürede yok edilmemesi ayrı suç tipleri olarak düzenlenmiştir. Bu suçların soruşturması Cumhuriyet Başsavcılığınca yürütülür ve kovuşturma ceza mahkemesinde görülür. Özel nitelikli (hassas) verilerin söz konusu olduğu hâllerde cezai sorumluluk ağırlaşabilir. Mağdur, ceza yargılamasına katılan sıfatıyla dâhil olabilir; ayrıca ceza davasında verilen mahkûmiyet kararı, hukuk mahkemesindeki tazminat davasında güçlü bir delil oluşturabilir. Bu nedenle olayı yalnızca idari veya yalnızca hukuki boyutuyla değil, üç boyutuyla birlikte değerlendirmek gerekir.
Aynı veri ihlali için Kurula şikâyet, hukuk mahkemesinde tazminat davası ve savcılığa suç duyurusu aynı anda yürütülebilir. Her yolun kendi süresi ve usulü bulunduğundan, bunların eşgüdümlü planlanması hak kaybını önler.
Bireyler İçin Pratik Yol Haritası
Kişisel verilerinin ihlal edildiğini düşünen bir bireyin, paniğe kapılmadan izlemesi gereken pratik bir sıralama vardır. İlk olarak, olayın ne zaman ve nasıl fark edildiğini not almak; hesap hareketleri, gelen mesajlar ve bildirimlere ilişkin tüm dijital izleri koruma altına almak gerekir. Bu aşamada hiçbir mesaj veya e-posta silinmemeli, aksine tarih bilgisiyle birlikte saklanmalıdır.
İkinci olarak, güvenlik önlemleri hızla güçlendirilmeli; ilgili hesapların parolaları değiştirilmeli ve mümkünse iki adımlı doğrulama etkinleştirilmelidir. Üçüncü olarak, verisi işlenen kuruma yazılı başvuru yaparak durumun açıklığa kavuşturulması istenmelidir. Bu başvurudan tatmin edici bir yanıt alınamazsa, dördüncü aşamada Kurula şikâyet ve gerekirse tazminat davası gündeme gelir. Bu adımların sırasıyla ve süreleri gözetilerek atılması, hakkın korunmasında belirleyici olur. Sürecin herhangi bir aşamasında hukuki desteğe ihtiyaç duyulursa, bu sayfadaki listeden Zara bölgesinde bu alanda hizmet veren avukatlara ulaşılabilir.
Sık Sorulan Sorular
Zara'da veri ihlali nedeniyle tazminat davası hangi mahkemede açılır?
Görevli mahkeme, uyuşmazlığın kaynağına ve tarafların sıfatına göre değişir. Kişisel verilerin hukuka aykırı işlenmesinden doğan maddi ve manevi tazminat talepleri kural olarak genel hükümlere tabidir; taraflar arasında bir tüketici işlemi (örneğin bir e-ticaret sitesine veya bankaya üyelik) varsa Tüketici Mahkemesi, ticari nitelikteki bir ilişki varsa Asliye Ticaret Mahkemesi, aksi hâlde Asliye Hukuk Mahkemesi görevli olur. Kişisel verilerin korunmasıyla ilgili idari yaptırımlara (Kurul tarafından verilen idari para cezalarına) karşı ise idare mahkemesinde iptal davası açılır. Zara'daki uyuşmazlıklar yer bakımından yetki kurallarına göre Sivas Adliyesi yargı çevresindeki ilgili mahkemede görülür. Doğru forumun baştan seçilmesi görevsizlik kararıyla zaman ve süre kaybını önler.
Kişisel Verileri Koruma Kurulu'na şikâyet ile mahkemeye tazminat davası açmak arasındaki fark nedir?
Bunlar birbirinden bağımsız iki ayrı yoldur ve aynı olay için ikisine birden başvurulabilir. Kişisel Verileri Koruma Kurulu'na yapılan şikâyet idari bir denetim mekanizmasıdır; Kurul, veri sorumlusunun hukuka aykırı davrandığını tespit ederse ihlalin giderilmesine ve gerektiğinde idari para cezasına hükmedebilir, ancak kişiye doğrudan tazminat ödenmesine karar veremez. Uğranılan maddi ve manevi zararın giderilmesi için ayrıca hukuk mahkemesinde tazminat davası açılması gerekir. Kurula şikâyetten önce kural olarak veri sorumlusuna başvurulması beklenir; başvuru reddedilir veya süresinde yanıtlanmazsa Kurul'a şikâyet yolu açılır. İki yol birbirini beslediğinden çoğu olayda birlikte yürütülmesi tercih edilir.
Veri ihlali olduğunu nasıl anlarım ve önce ne yapmalıyım?
Veri ihlali; kişisel verilerin hukuka aykırı olarak açıklanması, erişilmesi, değiştirilmesi, aktarılması ya da yok edilmesidir. Beklenmedik doğrulama kodları, hesabınıza tanımadığınız girişler, adınıza açılan işlemler, tanıtım aramaları veya bir kurumdan gelen ihlal bildirimi tipik işaretlerdir. İlk adım, elinizdeki bilgiyi delil hâline getirmektir: ekran görüntüleri, e-postalar, mesajlar ve bildirimleri tarih damgasıyla saklayın. Ardından ilgili veri sorumlusuna yazılı başvuru yaparak durumun açıklanmasını, verilerinizin akıbetini ve alınan önlemleri sorabilirsiniz. Başvurunuz yanıtsız kalır veya yetersiz kalırsa Kurul'a şikâyet ve gerekirse tazminat davası gündeme gelir. Bu adımları sırasıyla izlemek hem hakkınızı korur hem de ispatı güçlendirir.
Veri sorumlusuna başvuru zorunlu mu, nasıl yapılır?
Kanun, ilgili kişiye kendisiyle ilgili verilere ilişkin taleplerini önce veri sorumlusuna iletme hakkı ve çoğu hâlde Kurul'a şikâyet öncesinde bu başvuru şartını öngörür. Başvuru yazılı olarak veya Kurul'un belirlediği yöntemlerle yapılır; kimliğinizi tevsik edici bilgilerle birlikte talebinizi açıkça belirtmeniz gerekir. Veri sorumlusu, talebi niteliğine göre en kısa sürede ve kural olarak kanunda öngörülen azami süre içinde ücretsiz olarak sonuçlandırmakla yükümlüdür; işlemin ayrıca bir maliyeti varsa Kurul'ca belirlenen tarifedeki ücret istenebilir. Başvurunun reddi, yetersiz yanıtı veya süresinde yanıtlanmaması hâlinde Kurul'a şikâyet süresi işlemeye başlar.
Manevi tazminat için mutlaka maddi zararımı ispatlamam gerekir mi?
Hayır. Maddi tazminat, parasal olarak hesaplanabilen somut kayıpları (örneğin dolandırıcılıkla çekilen para, itibar kaybına bağlı ticari zarar, zararı gidermek için yapılan masraflar) karşılar ve bunların ispatı gerekir. Manevi tazminat ise kişilik haklarının ihlali nedeniyle duyulan üzüntü, endişe ve rahatsızlığın kısmen giderilmesine yöneliktir; somut bir maddi kayıp ispat edilmese dahi, verilerin hukuka aykırı ifşası kişilik haklarına saldırı oluşturuyorsa manevi tazminata hükmedilebilir. Hâkim, ihlalin ağırlığını, verinin niteliğini (özel nitelikli veri olup olmadığını) ve tarafların durumunu gözeterek hakkaniyete göre bir miktar takdir eder.
Özel nitelikli (hassas) kişisel verilerin ihlali neden daha ağır sonuç doğurur?
Sağlık, cinsel hayat, din, etnik köken, siyasi görüş, felsefi inanç, dernek/vakıf/sendika üyeliği, ceza mahkûmiyeti ile biyometrik ve genetik veriler özel nitelikli (hassas) kişisel veri sayılır. Bu veriler, ilgili kişi hakkında ayrımcılığa ve ağır mağduriyete yol açma riski taşıdığından kanunda daha sıkı işleme şartlarına bağlanmıştır ve kural olarak ilgilinin açık rızası ya da kanunda sayılan sınırlı istisnalar olmadan işlenemez. Bu tür verilerin ihlali hâlinde hem idari yaptırımın hem de takdir edilecek manevi tazminatın ağırlığı artar; ayrıca bu verileri işleyen sorumluların daha yüksek güvenlik önlemleri alması beklenir.
Veri ihlali aynı zamanda suç oluşturur mu, savcılığa da başvurabilir miyim?
Evet, birçok veri ihlali aynı zamanda Türk Ceza Kanunu'nda düzenlenen kişisel verilere ilişkin suçları oluşturabilir. Kişisel verilerin hukuka aykırı olarak kaydedilmesi, bir başkasına verilmesi, yayılması veya ele geçirilmesi ile bunların kanunun belirlediği sürede yok edilmemesi ayrı suç tipleri olarak öngörülmüştür. Bu durumda Cumhuriyet Başsavcılığına suç duyurusunda bulunabilirsiniz; soruşturmayı savcılık yürütür, kovuşturma ceza mahkemesinde görülür. Ceza yolu ile tazminat davası ve Kurul'a şikâyet birbirinden bağımsızdır; biri diğerini engellemez, üçü birlikte yürütülebilir.
Şirketim veri ihlaline uğradı; hukuki yükümlülüklerim neler?
Veri sorumlusu sıfatını taşıyan işletmeler, bir ihlal öğrendiklerinde bunu en kısa sürede ve Kurul'un belirlediği çerçevede Kişisel Verileri Koruma Kurulu'na bildirmekle yükümlüdür; ayrıca ihlalden etkilenen ilgili kişilerin de bilgilendirilmesi gerekir. Bunun yanında; işlenen verilerin güvenliğini sağlayacak teknik ve idari tedbirleri almak, veri işleme envanteri tutmak, gerektiğinde Veri Sorumluları Siciline (VERBİS) kayıt olmak ve aydınlatma yükümlülüğünü yerine getirmek temel sorumluluklar arasındadır. Bu yükümlülüklerin ihlali idari para cezasına, ilgili kişilerin tazminat talebine ve bazı hâllerde cezai sorumluluğa yol açabilir; bu nedenle ihlal anında hızlı ve doğru bir hukuki müdahale önemlidir.
Veri ihlali davasında zamanaşımı ve süreler ne kadardır?
Kurul'a şikâyette süre önemlidir: kural olarak veri sorumlusuna başvurunun reddedilmesi veya süresinde yanıtlanmaması üzerine kanunda öngörülen süre içinde Kurul'a başvurulması gerekir; her hâlde ihlalin öğrenilmesinden itibaren de bir üst süre işler. Tazminat davasında ise haksız fiile ilişkin zamanaşımı uygulanır; zararın ve failin öğrenilmesinden itibaren işleyen kısa süre ile fiilin gerçekleşmesinden itibaren işleyen uzun süre birlikte dikkate alınır. Fiil aynı zamanda suç oluşturuyor ve ceza kanununda daha uzun bir zamanaşımı öngörülüyorsa, tazminat davasında da bu daha uzun ceza zamanaşımı uygulanabilir. Süreler hak kaybına yol açabildiğinden erken hukuki değerlendirme kritik önemdedir.
Avukat tutmadan Kurul'a kendim şikâyette bulunabilir miyim?
Evet, Kurul'a şikâyet ve veri sorumlusuna başvuru için avukat zorunluluğu yoktur; süreçleri kişisel olarak da yürütebilirsiniz. Ancak ihlalin hukuki nitelendirmesi, hangi delillerin nasıl toplanacağı, doğru forumun (Kurul, hukuk mahkemesi, idare mahkemesi veya ceza yargısı) seçilmesi ve tazminat miktarının doğru gerekçelendirilmesi teknik konulardır. Özellikle maddi/manevi tazminat davası, idari para cezasına karşı iptal davası veya özel nitelikli veri içeren ağır ihlallerde, alanında deneyimli bir avukatla çalışmak hak kaybı riskini azaltır. Bu sayfadaki listeden Zara bölgesinde bu alanda hizmet veren avukatlara ulaşabilirsiniz.