KVKK Tazminat Davası: Kişisel Veri İhlalinde Birey Hakları ve Adli Bilişim Delili
KVKK md. 14 tazminat hakkı. İdari para cezası (Kurul) vs tazminat (mahkeme) farkı. Yetkili mahkeme (Asliye Hukuk + İş + Tüketici). Maddi vs manevi tazminat. GDPR Art. 82 karşılaştırması. HMK 190 ispat yükü 4 unsur. Delil tipleri (Kurul kararı, Yargıtay içtihat, adli rapor, e-posta header, HIBP, cihaz imajı). 3 senaryo (phishing, kimlik hırsızlığı, sağlık verisi). Eş güdümlü dava.
KVKK Tazminat Davası: Kişisel Veri İhlalinde Birey Hakları ve Adli Bilişim Delili
Bir e-ticaret sitesi sızdırıldı, telefon numaranız ve adresiniz karanlık forumlara düştü. Ardından adınızı bilen "kargo şirketi" sizi aradı, sahte bir link gönderdi, kart bilgileriniz çalındı. Bu zincirin başında bir veri sorumlusunun ihmali var. Peki Türkiye'de bu ihmalden zarar gören birey, sadece KVKK Kurulu'na şikayet edip idari para cezası beklemekle mi yetinecek, yoksa kendi cebine giren bir tazminat alabilecek mi? Cevap: alabilir, ama doğru hukuki rotayı ve teknik delili kurması şart. Bu rehberde KVKK tazminat davasının yasal dayanağını, yetkili mahkemeyi, ispat yükümlülüğünü ve adli bilişim raporunun bu süreçteki rolünü ele alıyoruz.
Yasal Dayanak: KVKK Madde 14 ve TBK 49
Kişisel Verilerin Korunması Kanunu'nun 14. maddesi tazminat hakkını açıkça düzenler. İlgili madde metni, kişinin Kanun hükümlerinin uygulanması ile ilgili taleplerini öncelikle veri sorumlusuna iletmesi gerektiğini söyledikten sonra şu ifadeyle devam eder: "Kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır." Yani KVKK md. 14, tazminat hakkını yeniden icat etmez, mevcut "genel hükümleri" devreye sokar. Kanunun resmi metni Mevzuat Bilgi Sistemi'nde 6698 sayılı Kanun PDF'i olarak yayımlıdır.
KVKK'nın işaret ettiği "genel hükümler" pratikte Türk Borçlar Kanunu'nun haksız fiil sorumluluğunu düzenleyen 49. maddesidir. TBK md. 49 birinci fıkra "Kusurlu ve hukuka aykırı bir fiille başkasına zarar veren, bu zararı gidermekle yükümlüdür" der. Tam metin TBK 6098 sayılı Kanun PDF'inde bulunur. KVKK ihlali, hukuka aykırı fiil unsurunu hazır halde sunar. Geriye kusur, zarar ve illiyet bağı kalır. TBK 49'un dijital delil uygulamasına dair detaylı analizi yakında yayımlanacak Türk Borçlar Kanunu 49 ve Dijital Delil yazımızda inceleyeceğiz.
İdari Para Cezası ile Tazminat Davasının Farkı
Mağdurların en sık karıştırdığı nokta budur. KVKK Kurulu'na yapılan şikayet sonucu Kurul'un kestiği idari para cezası, devletin hazinesine girer. Mağdurun cebine bir kuruş ulaşmaz. Tazminat ise tamamen ayrı bir yoldur, mahkemenin hükmettiği bedel doğrudan zarar görene ödenir.
Kurul kararlarının düzenli özetlerini tutuyoruz, sektörel hangi ihlal tipinde nasıl ceza geldiğini görmek için KVKK Kurulu Karar Özetlerinden Veri İhlali Trendleri yazımıza bakabilirsiniz. Pratikte bu iki yol birbirinin yerine geçmez, aksine birbirini tamamlar: Kurul kararı, tazminat davasında "hukuka aykırı fiil"in tespitini güçlendiren ön belge işlevi görür. Mahkeme bu kararı kendisi vermek zorunda olmasa da delil olarak değerlendirir.
Yetkili ve Görevli Mahkeme
KVKK tazminat davaları, kural olarak Asliye Hukuk Mahkemelerinde görülür. Hukuk Muhakemeleri Kanunu çerçevesinde görev konusu kamu düzenindendir, mahkeme resen bakar. Yetki açısından mağdur, davacı sıfatıyla kendi yerleşim yerindeki Asliye Hukuk Mahkemesinde dava açma imkanına da sahiptir, çünkü haksız fiil davalarında HMK seçimlik yetki tanır. HMK'nın tam metni için HMK 6100 sayılı Kanun PDF'i referans alınmalıdır.
Bazı özel durumlarda farklı mahkeme görevli olabilir. Veri sorumlusu işveren ise ve ihlal iş ilişkisinden kaynaklanıyorsa İş Mahkemesi yetkili olabilir. Veri sorumlusu tüketiciye yönelik mal veya hizmet sunan bir şirket ise ve mağdur tüketici sıfatındaysa Tüketici Mahkemesi gündeme gelebilir. Bu ayrımı net yapmak için davanın açılmadan önce alanında uzman bir avukatla görüşmek esastır.
Maddi ve Manevi Tazminat Ayrımı
Tazminat davasında iki kalem birlikte istenebilir. Maddi tazminat, kişinin doğrudan parasal kaybını karşılar: phishing ile çekilen banka parası, sahte kart işlemlerinin bedeli, kimlik hırsızlığı sonrası adınıza açılan hesabın kapatılması için ödenen avukatlık ve harç giderleri, e-postaların kurtarılması için ödenen veri kurtarma faturası gibi kalemler buraya girer. Faturalandırılması mümkün her kalem belgelenmelidir.
Manevi tazminat ise kişilik haklarının ihlali nedeniyle yaşanan üzüntü, korku, itibar kaybı gibi parasal olmayan zararı karşılar. Veri ihlali sonrası kişinin kimliğiyle dolandırıcılık yapılması, mahrem fotoğrafların sızdırılması, sağlık verilerinin ifşa olması gibi senaryolarda manevi tazminat ağırlık kazanır. Manevi tazminatın belirlenmesi hakimin takdir yetkisindedir, somut bir tarife yoktur.
GDPR Madde 82 ile Karşılaştırma
AB'nin Genel Veri Koruma Tüzüğü'nün 82. maddesi tazminat hakkını çok daha doğrudan formüle eder. gdpr.eu adresindeki resmi metne göre GDPR Art. 82(1), "Bu Tüzüğün ihlali sonucu maddi veya manevi zarara uğrayan herkes, veri sorumlusundan veya işleyenden tazminat alma hakkına sahiptir" der. Türk KVKK'sının atıf yoluyla TBK 49'a yönlendirdiği konuyu, GDPR tek maddede tek başına düzenler.
Bu farkın bir pratik sonucu var: AB üye devletlerinde her yıl binlerce bireysel veri tazminat davası açılır, hatta bazı ülkelerde davayı toplulaştıran özel platformlar oluşmuştur. Türkiye'de ise tazminat davası, KVKK Kurulu şikayetlerinin yanında oldukça az kalır. Bunun nedenleri arasında ispat yükünün davacıda olması, zararın somutlaştırılmasının zor olması, avukatlık ve bilirkişi maliyetinin tazminat tutarına oranla yüksek görünmesi sayılabilir. Bu denkleme adli bilişim raporunun kalitesi doğrudan etki eder.
İspat Yükümlülüğü ve HMK 190
HMK'nın 190. maddesi "İspat yükü, kanunda özel bir düzenleme bulunmadıkça, iddia edilen vakıaya bağlanan hukuki sonuçtan kendi lehine hak çıkaran tarafa aittir" hükmünü taşır. KVKK tazminat davasında bu hüküm şu demektir: tazminat isteyen mağdur, dört unsuru ispatlamak zorundadır.
Birincisi hukuka aykırı fiil: veri sorumlusunun KVKK yükümlülüğüne aykırı davrandığı. İkincisi kusur: ihmalin veya kastın varlığı, ki uygulamada veri güvenliği önlemlerinin yetersizliği genelde ihmal sayılır. Üçüncüsü zarar: maddi veya manevi zararın somut olarak ortaya konması. Dördüncüsü illiyet bağı: ihlal ile zararın doğrudan bağı, yani phishing'in arandığı numaranın gerçekten sızan veri tabanından gelmesi.
Bu dört unsurun hiçbiri "kendiliğinden" ispatlanmaz. Hepsi belge ve teknik delil ister. İşte adli bilişim raporu burada devreye girer.
Hangi Deliller Geçerli Sayılır
KVKK tazminat davasında mahkemeye sunulabilecek delilleri pratik olarak şu kategorilere ayırabiliriz.
KVKK Kurulu kararı. Kurul, ihlali olan veri sorumlusu hakkında karar verdiyse bu karar resmi bir tespittir. Kurul karar arama portalı üzerinden veya Kurul kararlarının özetleri üzerinden tedarik edilebilir. Kurul kararı hukuka aykırı fiil unsurunu önemli ölçüde sağlamlaştırır.
Yargıtay içtihatları. Benzer davaların temyiz aşamasında nasıl sonuçlandığını Yargıtay Karar Arama portalında görebilirsiniz. İçtihatlar bağlayıcı olmasa da hakimin değerlendirmesini etkiler.
Adli bilişim raporu. Mahkemenin atadığı bilirkişiden veya tarafların özel olarak hazırlattığı uzman raporundan gelir. Bu raporun yapısını Adli Bilişim Bilirkişi Raporu Yapısı, Format ve Bölümler yazımızda ayrıntılı inceledik. Rapor; e-posta header analizinin sahte gönderici bilgisini ortaya çıkarmasını, telefondaki phishing SMS'inin orijinal olduğunu, çağrı kayıtlarının ihlalden sonra yoğunlaştığını teknik dille doğrular.
E-posta header ve SMTP logları. Sahte e-postanın gönderim IP'si, SPF, DKIM, DMARC kayıt sonuçları, alındığı saat ve makine. Bu veriler doğru çıkarıldığında dolandırıcının altyapısını ortaya koyar.
SMS ve çağrı kayıtları. Operatörden istenen detaylı çağrı dökümleri, mağdura ulaşan dolandırıcı numaranın aramayı ne zaman başlattığını gösterir. Bu zaman çizgisi, sızıntı tarihiyle örtüştüğünde illiyet bağını güçlendirir.
Have I Been Pwned tespitleri. haveibeenpwned.com bireylerin e-postasının hangi sızıntıda yer aldığını gösteren ücretsiz bir hizmettir. Tek başına yeterli delil değildir, ama uzmanın raporuna eklenecek yardımcı kanıt olarak işe yarar.
Cihaz adli bilişim imajı. Mağdurun telefonunda casus yazılım, kötü amaçlı uygulama olup olmadığı incelenir. Bu sürecin ayrıntısını Telefonda Casus Yazılım Belirtileri ve Adli Bilişim Tespiti yazımızda anlattık. Cihazda kötücül yazılım çıkarsa, bunun veri sorumlusunun ihlaliyle bağı kurulduğunda kusur ve illiyet daha net belirir.
Tüm bu delillerin mahkemece kabul edilmesi için delil zincirinin bozulmamış olması gerekir. Bu zincir mantığını Adli Bilişim Süreci 2026: KVKK Delil Zinciri ve Mahkeme yazımızda detaylandırdık.
Tipik Tazminat Senaryoları
Pratikte mahkemenin önüne gelen davaların büyük kısmı şu örüntülere uyar.
Veri sızıntısı sonrası phishing. Bir e-ticaret platformu sızdırılır. Mağdurun isim, telefon ve sipariş bilgisi karanlık piyasaya düşer. Dolandırıcı, sipariş numarasını söyleyerek arar, "kargo iadesi için" sahte link gönderir, kartın CVV bilgisini çekecek bir sayfaya yönlendirir. Mağdurun parası gider. Tazminat davası maddi (çekilen para) ve manevi (yaşadığı stres, itibar etkisi) kalemler içerir.
Kimlik hırsızlığı. TC kimlik numarası, ad ve doğum tarihi sızar. Üçüncü kişi mağdurun adına telefon hattı, kredi başvurusu veya abonelik açar. Mağdur bunları kapatmak için zaman ve para harcar. Maddi tazminat avukatlık ve idari giderleri, manevi tazminat itibar kaybını kapsar.
Sağlık verisinin ifşası. Hassas veri kategorisindeki sağlık bilgisinin sızması, KVKK'nın özel olarak koruduğu alandır. Manevi tazminat burada ciddi miktarlara çıkabilir. KVKK Kurulu nezdindeki şikayetle paralel ilerletilmesi tavsiye edilir.
Toplu Dava (Kollektif Dava) Mümkün mü
Türkiye'nin medeni usul hukuku, ABD'deki gibi gerçek anlamda class action yapısına sahip değildir. HMK'da topluluk davaları sınırlıdır ve genel olarak dernek ve vakıflara tanınmıştır. Bireysel mağdurlar binlerce kişi de olsa, her biri ayrı dava açmak durumundadır. Buna karşın pratik bir çözüm vardır: aynı veri sızıntısından zarar gören kişiler, aynı avukatlık ortaklığı ile dava ekipleri kurabilir, davalar bağlantılı dosyalar olarak yürütülebilir. Bilirkişi raporu ortak hazırlanabilir, maliyet kişi başına düşer. Bu eş güdümlü davalar, GDPR ülkelerindeki organize tazminat platformlarına yaklaşan en pratik modeldir.
Mağdur İçin Pratik Adımlar
Veri ihlali yaşadığınızdan şüpheleniyorsanız sırasıyla şu adımları atın.
- Olay anını yazın. Tarih, saat, sahte mesajın metni, arandığınız numara. Süreç boyunca tüm güncellemeleri tek bir not defterine ekleyin.
- Cihazınızı kapatıp dondurmayın, ama yeni uygulama yüklemekten ve fabrika ayarlarına dönmekten kaçının. Bu, ileride adli bilişim incelemesinde delil yok olmasına neden olur.
- Veri sorumlusuna KVKK md. 13 kapsamında yazılı talep gönderin. Aldığınız yanıtı saklayın. Yanıt verilmezse veya yetersizse 30 günü beklemeden Kurul'a şikayet hakkı doğar.
- KVKK Kurulu'na şikayet edin. Süreci KVKK Veri İhlali Bildirimi 72 Saat Form yazımızda anlattığımız çerçeveye benzer mantıkla yürütün, sadece bu kez ihlal eden değil mağdursunuz.
- Adli bilişim laboratuvarına başvurun. Telefonun mantıksal imajını çıkarttırın, e-posta header analizini istetin, sahte arama numarasının operatör kayıtlarını talep edin.
- Avukatınızla birlikte tazminat davasını hazırlayın. Davada KVKK Kurulu kararı varsa eklenir, yoksa Kurul süreci paralel yürütülür.
Veri sorumlusu tarafındaysanız ihlal anında atmanız gereken adımları KVKK Uyum Danışmanlığı VERBİS Politikalar Denetim yazımızda planlama düzleminde, KVKK Veri İhlali Bildirimi 72 Saat Form yazımızda olay anı düzleminde ele aldık.
Sık Sorulan Sorular
1. KVKK tazminat davasında zamanaşımı süresi nedir? TBK haksız fiil zamanaşımı uygulanır. Zarar ve faili öğrenme tarihinden itibaren 2 yıl, her halükarda fiilin işlendiği tarihten itibaren 10 yıl. Veri sızıntısının çoğu olayda öğrenme tarihi, mağdura ulaşan phishing tarihidir.
2. KVKK Kurulu'na şikayet etmeden tazminat davası açabilir miyim? Açabilirsiniz, Kurul başvurusu davanın açılması için zorunlu değildir. Ancak Kurul kararı mahkemede güçlü bir delildir, paralel yürütmek lehinizedir.
3. Adli bilişim raporu olmadan tazminat alabilir miyim? Teorik olarak mümkün, pratikte çok zor. Mahkeme illiyet bağını ve zararı somutlaştıran teknik delil olmadan tazminata hükmetmek konusunda çekingen davranır.
4. Yurt dışında bulunan veri sorumlusuna dava açabilir miyim? KVKK Türkiye'deki ilgili kişileri korur. AB merkezli şirketler için GDPR ve KVKK paralel devreye girer. Pratikte yurt dışı tahsil zor, ama AB temsilcisi olan şirketler için Türkiye'de dava açılabilir.
5. Tazminat miktarı önceden hesaplanabilir mi? Mahkemenin takdirine bağlıdır, somut bir tarife yoktur. Maddi zarar belgelenirse karşılığı istenir, manevi zarar olayın ağırlığına göre belirlenir.
6. Veri sorumlusu çalışanı kişisel verimi sızdırdı, tazminat kime yöneltilir? Kural olarak veri sorumlusu kuruma yöneltilir. TBK md. 66 kapsamında istihdam edenin sorumluluğu vardır. Kurum ödediği tazminatı rücu yoluyla çalışana yansıtabilir.
7. Kimlik hırsızlığı sonrası açılan kredi borcundan kim sorumlu? Asıl sorumluluk dolandırıcıda ve kötü kontrolden ötürü krediyi açan finans kuruluşundadır. Veri sorumlusunun KVKK ihlali bu zincirde rol oynadıysa müteselsil sorumluluk gündeme gelebilir.
8. Çocuğumun verisi sızdırıldı, dava açabilir miyim? Velayet hakkı kapsamında çocuk adına dava açabilirsiniz. Çocuk verileri özel önemde sayılır, manevi tazminat değerlendirmesinde bu durum dikkate alınır.
Sonuç: Hukuk + Adli Bilişim Birlikte Çalıştığında
KVKK tazminat davası Türkiye'de hala yeterince kullanılmayan bir hak. Bunun teknik nedeni çoğunlukla delil yetersizliği, hukuki nedeni ise hangi mahkemeye, hangi taleple gidileceğinin net bilinmemesi. Doğru hazırlanan bir adli bilişim raporu, Kurul kararı ile birleştiğinde TBK 49'un ispat yüküne büyük ölçüde cevap verir. Bu rotayı doğru kurmak için hukuk ve teknik tarafın birlikte planlaması şart.
DSET Bilişim Hukuki Destek Hacettepe Teknokent Ankara merkezimizde KVKK tazminat davası süreçlerinde adli bilişim raporu hazırlama, e-posta header analizi, telefon imaj alma, delil zinciri kayıt altına alma ve mahkemede sözlü açıklama hizmetlerini sunuyoruz. Hukuk büronuzla doğrudan koordineli çalışırız. Ücretsiz ön görüşme için +90 536 662 38 09 numaralı hattımızdan ulaşabilirsiniz.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.