Kişisel Veri İhlalinde Tazminat Davası Nasıl Açılır?

Kişisel Veri İhlali Nedir?

Kişisel veri ihlali, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında korunan kişisel verilerin hukuka aykırı şekilde işlenmesi, erişilmesi, ifşa edilmesi veya imha edilmesidir. İhlal, veri sorumlusu tarafından yapıldığı gibi üçüncü kişiler tarafından da gerçekleştirilebilir.

Veri ihlali örnekleri şunlardır:

• Siber saldırılar: Bilgisayar sistemlerine yetkisiz erişim ve veri çalınması
• Yetkisiz paylaşım: Çalışan veya üçüncü kişilerin verileri izinsiz aktarması
• Güvenlik açıkları: Sistem hatalarından kaynaklanan veri sızıntıları
• Fiziksel kayıp: Veri içeren cihazların kaybolması veya çalınması

KVKK m. 12'ye göre, veri ihlali durumunda zarar gören kişi hem maddi hem de manevi tazminat talep edebilir. Bu hak, ihlalin büyüklüğüne veya sonuçlarına bakılmaksızın doğar.

Veri İhlalinde Tazminat Hakkı

Kişisel veri ihlali nedeniyle doğan tazminat hakkı iki türlü değerlendirilir:

Maddi Tazminat

Maddi tazminat, veri ihlali nedeniyle somut ekonomik kayıpları kapsar. Bu kapsamda tazmin edilebilir zararlar:

• Kredi kartı veya banka hesabından çekilen paralar
• Sahte hesap açılması nedeniyle oluşan borçlar
• İtibar kaybı nedeniyle iş kaybı
• Hukuki süreç masrafları (avukatlık ücreti, mahkeme harçları)
• Güvenlik önlemleri alma maliyetleri

Manevi Tazminat

Manevi tazminat, kişilik haklarının ihlali nedeniyle yaşanan ruhsal sıkıntı, üzüntü ve toplumsal saygınlık kaybı için talep edilir. Yargıtay uygulamalarına göre, veri ihlali tazminatı manevi boyutta da değerlendirilmektedir.

Manevi tazminat belirlenirken şu faktörler dikkate alınır:

• İhlal edilen verinin niteliği (özel nitelikli veri ağırlaştırıcı)
• İhlalin kapsamı ve süresi
• Veri sorumlusunun kusur derecesi
• İhlalden etkilenen kişi sayısı
• Zarar görenin toplumsal konumu

Kişisel Veri İhlalinde Hangi Mahkemeye Başvurulur?

Kişisel veri ihlali nedeniyle tazminat davası açılacak mahkeme, ihlalin niteliğine ve davacının tercihine göre belirlenir.

Tüketici Mahkemesi

Veri ihlali bir tüketici işlemi kapsamında gerçekleştiyse (e-ticaret sitesi, banka, telekomünikasyon şirketi gibi), Tüketici Hakem Heyeti veya Tüketici Mahkemesi yetkilidir. Bu durumda 6502 sayılı TKHK hükümleri de uygulanır.

Tüketici mahkemesinin avantajları:

• Harç ve masraf muafiyeti (belirli tutara kadar)
• Hızlı sonuçlanma
• Tüketici lehine yorum ilkesi
• İspat yükünün hafifletilmesi

Asliye Hukuk Mahkemesi

Tüketici ilişkisi bulunmayan durumlarda (işveren-çalışan, kamu kurumu, üçüncü kişi saldırıları) Asliye Hukuk Mahkemesi yetkilidir. Bu mahkemede genel hukuk kuralları uygulanır.

Yetki ve Görev Kuralları

HMK m. 6 uyarınca mahkeme görev ve yetkisini re'sen inceler. Maddi tazminat hesaplama sonucuna göre yetki belirlenir:

• Sulh Hukuk Mahkemesi: 40.000 TL'ye kadar
• Asliye Hukuk Mahkemesi: 40.000 TL üzeri

Yer bakımından yetki için HMK m. 9 gereği şu seçenekler mevcuttur:

• Davalının yerleşim yeri mahkemesi
• Zararın gerçekleştiği yer mahkemesi
• Sözleşmeli ilişkilerde sözleşme ifa yeri mahkemesi

Tazminat Miktarı Nasıl Hesaplanır?

Kişisel veri ihlalinde tazminat miktarının belirlenmesi somut olay değerlendirmesi gerektirir. Türk hukukunda henüz yerleşik içtihat bulunmadığından, kişilik hakları ihlali ve haksız fiil hükümlerine dayalı hesaplama yapılır.

Maddi Tazminat Hesaplama Yöntemi

Maddi zarar, somut kayıpların belgelendirilmesi ile hesaplanır:

Zarar Türü	Hesaplama Yöntemi	Gerekli Belgeler
Mali kayıp	Çekilen/kaybedilen tutar	Banka ekstreleri, dekontlar
İş kaybı	Kaybedilen gelir × süre	İş sözleşmesi, maaş bordrosu
Hukuki masraflar	Avukatlık + mahkeme masrafları	Avukat sözleşmesi, makbuzlar
Güvenlik önlemleri	Alınan önlemlerin maliyeti	Faturalar, sözleşmeler

Manevi Tazminat Belirleme Kriterleri

Manevi tazminat objektif ve sübjektif kriterler dikkate alınarak belirlenir:

Objektif Kriterler:

• İhlal edilen veri türü (kimlik, sağlık, mali bilgi)
• Veri sayısı ve kapsamı
• İhlalin süresi ve yaygınlığı
• Veri sorumlusunun büyüklüğü
• Alınan güvenlik önlemlerinin yeterliliği

Sübjektif Kriterler:

• Zarar görenin yaşı ve toplumsal konumu
• Yaşanan psikolojik etki
• İtibar ve saygınlık kaybı
• Özel yaşamın gizliliği ihlali derecesi

Yargıtay İçtihatları ve Emsal Tutarlar

Yargıtay veri ihlali davalarında şu esasları benimsemektedir:

• Özel nitelikli veri ihlali ağırlaştırıcı sebep
• Toplu veri ihlallerinde bireysel zarar ayrı değerlendirilir
• Veri sorumlusunun kusur derecesi belirleyici faktör
• İhlalin giderilmesi için alınan önlemler hafifletici sebep

İçtihat uygulamalarına göre manevi tazminat tutarları genel olarak şu aralıklarda belirlenmektedir:

• Basit veri ihlali: 1.000-5.000 TL
• Özel nitelikli veri ihlali: 5.000-15.000 TL
• Ağır sonuçlu ihlaller: 15.000 TL ve üzeri

Hangi Deliller Toplanmalı?

Veri ihlali davalarında ispat yükü davacıya aittir. Bu nedenle ihlalin varlığı ve zararın oluşumu mutlaka belgelendirilmelidir.

İhlalin İspatı İçin Gerekli Deliller

Elektronik Deliller:

• İhlal bildirimi e-postaları veya SMS'leri
• Veri sorumlusunun web sitesi açıklamaları
• Sosyal medya paylaşımları
• Ekran görüntüleri (screenshot)
• Sistem logları (mümkünse)
• KVKK Kurulu'na yapılan şikayet başvuruları

Yazılı Belgeler:

• Veri işleme sözleşmeleri
• Aydınlatma metinleri
• Açık rıza beyanları
• Şirket kayıtları ve üyelik belgeleri
• Kargo ve teslimat belgeleri

Zararın İspatı İçin Gerekli Belgeler

Maddi Zarar Belgeleri:

• Banka hesap ekstreleri
• Kredi kartı kesintileri
• Sahte hesaplardan yapılan işlemler
• İş kaybına ilişkin belgeler
• Güvenlik önlemi masraf faturaları
• Avukatlık ve mahkeme masrafları

Manevi Zarar Belgeleri:

• Psikolojik tedavi raporları
• İş performansında düşüş belgeleri
• Sosyal çevredeki olumsuz tepki örnekleri
• İtibar kaybını gösteren somut durumlar
• Tanık beyanları

Delil Toplama Stratejisi

Etkili bir delil toplama süreci için şu adımlar izlenmelidir:

1. Acil Durum Belgelendirmesi: İhlali fark eder etmez tüm elektronik delilleri kaydedin
2. Noter Tespit: Elektronik deliller için noter huzurunda tespit tutanağı alın
3. Yazışma Kayıtları: Veri sorumlusu ile yapılan tüm yazışmaları saklayın
4. Zarar Takibi: İhlal sonrası tüm mali hareketleri kayıt altına alın
5. Uzman Raporu: Gerekirse bilişim uzmanından teknik rapor alın

HMK m. 218 uyarınca elektronik delillerin ispat gücü, güvenilirlik ve bütünlük kriterlerine göre değerlendirilir. Bu nedenle delillerin orijinalliğini koruyan yöntemler tercih edilmelidir.

Tazminat Davası Açma Süreci

Kişisel veri ihlali tazminat davasının başarılı şekilde yürütülmesi için sistematik bir yaklaşım gereklidir.

Dava Öncesi Süreç

1. İhbar ve Şikayet: KVKK Kurulu'na şikayette bulunun (zorunlu değil ama önerilen)
2. Veri Sorumlusuna Başvuru: KVKK m. 13 kapsamında bireysel başvuru yapın
3. Cevap Bekleme: 30 gün içinde cevap alınmazsa dava yolu açılır
4. Delil Güçlendirme: Elde edilemeyen delilleri HMK m. 221 ile mahkemeden talep edin

Dava Dilekçesi Hazırlığı

Dava dilekçesinde mutlaka yer alması gereken unsurlar:

• İhlal Tanımı: Hangi verinin, ne şekilde ihlal edildiği
• Hukuki Dayanak: KVKK m. 12, TBK m. 49, TMK m. 24 atıfları
• Zarar Beyanı: Maddi ve manevi zarar ayrı ayrı belirtilmeli
• Nedensellik Bağı: İhlal ile zarar arasındaki bağlantı kurulmalı
• Tazminat Miktarı: Somut gerekçelerle talep tutarı belirtilmeli

Dava Sürecinde Dikkat Edilecek Hususlar

Duruşma aşamasında şu stratejiler benimsenmelidir:

• İspat Kolaylığı: KVKK'nın özel hükümleri nedeniyle ispat yükünün hafifletilmesi talep edilmeli
• Bilirkişi Talebi: Teknik konularda bilişim uzmanı görevlendirilmesi istenmeli
• Keşif İnceleme: Veri sorumlusunun sistemlerinin incelenmesi talep edilmeli
• Dış Ülke Delilleri: Uluslararası platform ihlallerinde hukuki yardım talep edilmeli

Dava Açma Süresi ve Zamanaşımı

Kişisel veri ihlali tazminat davalarında zamanaşımı süreleri farklı hukuki dayanaklara göre değişebilmektedir.

KVKK Kapsamında Zamanaşımı

KVKK m. 13'te bireysel başvuru hakkı düzenlenmişse de özel zamanaşımı süresi belirlenmemiştir. Bu durumda genel hükümler uygulanır:

• Haksız fiil zamanaşımı: TBK m. 72 - İhlalin ve failin öğrenilmesinden itibaren 2 yıl
• Mutlak zamanaşımı: İhlalin gerçekleşmesinden itibaren 10 yıl

Tüketici Hukukundaki Özel Süreler

Veri ihlali tüketici işlemi kapsamındaysa TKHK hükümleri uygulanır:

• Genel zamanaşımı: 2 yıl (TKHK m. 83)
• Hakem heyeti başvurusu: 1 yıl
• Ayıplı hizmet: 2 yıl

Zamanaşımının Başlangıcı

Yargıtay içtihatlarına göre zamanaşımı süresinin başlangıç anı:

1. İhlalin öğrenildiği tarih: Veri sorumlusunun bildirimi veya medyada çıkan haberler
2. Zararın fark edildiği tarih: Mali kayıp veya kimlik hırsızlığının tespit edilmesi
3. Fail'in öğrenildiği tarih: Sorumlu kuruluşun belirlenmesi

Bu üç unsurun da öğrenildiği en geç tarihten itibaren zamanaşımı işlemeye başlar.

Zamanaşımı Kesilmesi ve Durması

TBK m. 73-74 gereği zamanaşımı şu hallerde kesilir:

• Dava açılması
• İcra takibi başlatılması
• Borçlunun borcunu ikrar etmesi
• Alacaklının haklarını saklı tutması

Zamanaşımı şu hallerde durur:

• Alacaklı ve borçlu arasında hısımlık ilişkisi
• Temsil ilişkisi
• Mücbir sebep halleri

Yasal Dayanaklar

Bu makalede atıfta bulunulan mevzuat:

• 6698 sayılı Kişisel Verilerin Korunması Kanunu (m. 12) - Tazminat hakkı düzenlemesi
• 6098 sayılı Türk Borçlar Kanunu (m. 49) - Haksız fiilden doğan sorumluluk
• 4721 sayılı Türk Medeni Kanunu (m. 24) - Kişilik haklarının korunması
• 6502 sayılı Tüketicinin Korunması Hakkında Kanun (m. 83) - Zamanaşımı süresi