HAKKIMIZDA
HİZMETLER
BLOG
MAKALELER
İLETİŞİM

EK HUKUK & DANIŞMANLIK

TÜM MAKALELER
Bilişim Suçları 29.01.2026

KVKK İhlali Nedeniyle Tazminat Davası

KVKK İhlali Nedeniyle Tazminat Davası: Hukuki Niteliği ve Uygulama

Kişisel verilerin korunması, modern hukuk düzenlerinin temel taşlarından birini oluşturmaktadır. Anayasa'nın 20. maddesiyle güvence altına alınan özel hayatın gizliliği hakkının bir uzantısı olarak düzenlenen kişisel verilerin korunması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile özel bir koruma rejimine kavuşturulmuştur. Bu hukuki çerçeve içerisinde, kişisel verilerin hukuka aykırı bir şekilde işlenmesi veya güvenliğinin ihlal edilmesi durumunda, veri sahiplerinin uğradıkları zararların giderilmesi amacıyla kvkk tazminat davası açılması hukuki bir imkân olarak öne çıkmaktadır.

KVKK İhlalinin Hukuki Niteliği ve Unsurları

KVKK'da kişisel verilerin korunmasına ilişkin temel ilkeler ve veri sorumlularının yükümlülükleri detaylı bir şekilde düzenlenmiştir. Kanunun 4. maddesinde belirtilen genel ilkelere (hukuka ve dürüstlük kurallarına uygunluk, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme) aykırı her türlü veri işleme faaliyeti hukuka aykırılık teşkil eder.

KVKK ihlali nedeniyle tazminat davasının temelinde, genel haksız fiil hükümleri (6098 sayılı Türk Borçlar Kanunu (TBK) m. 49 ve devamı) ve kişilik hakkı ihlaline ilişkin düzenlemeler (4721 sayılı Türk Medeni Kanunu (TMK) m. 24, TBK m. 58) bulunmaktadır. Bu bağlamda, bir kvkk tazminat davasının başarılı olabilmesi için aşağıdaki unsurların bir arada bulunması gerekmektedir:

  • Hukuka Aykırı Fiil: Veri sorumlusunun veya veri işleyenin KVKK hükümlerine aykırı olarak kişisel veri işlemesi, aktarması, depolaması veya güvenliğini sağlamadaki ihmali. Özellikle KVKK m. 12'de düzenlenen veri güvenliğine ilişkin yükümlülüklerin ihlali bu kapsamda değerlendirilir.
  • Zarar: İhlal sonucunda veri sahibinin uğradığı maddi veya manevi zarar.
  • Kusur: Veri sorumlusunun veya veri işleyenin fiili işlemede kusurlu (kast veya ihmal) olması. KVKK m. 12/4 uyarınca veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğü bulunmaktadır. Bu tedbirlerin alınmaması genellikle kusur kabul edilir.
  • İlliyet Bağı: Hukuka aykırı fiil ile meydana gelen zarar arasında uygun bir nedensellik ilişkisinin bulunması.

Maddi ve Manevi Tazminat Talepleri

KVKK ihlali sonucunda ortaya çıkan zararlar genellikle iki ana başlık altında toplanır:

  • Maddi Tazminat: Veri ihlali nedeniyle kişinin doğrudan uğradığı somut ve ölçülebilir maliyetler ile gelir kayıpları. Örneğin, kimlik hırsızlığı sonucu oluşan finansal kayıplar, veri kurtarma maliyetleri veya ihlal nedeniyle ticari itibarın zarar görmesi sonucu oluşan kazanç kayıpları bu kapsamda değerlendirilebilir.
  • Manevi Tazminat: Kişisel verilerin hukuka aykırı işlenmesi veya güvenliğinin ihlali sonucunda veri sahibinin yaşadığı üzüntü, elem, ruhsal sıkıntı ve kişilik haklarının ihlali nedeniyle duyulan manevi acı. Özellikle kişisel verilerin, bireyin mahremiyet alanı ve kişiliğinin vazgeçilmez bir parçası olması nedeniyle, hukuka aykırı ihlaller doğrudan kişilik haklarına saldırı olarak kabul edilmektedir (TMK m. 24, TBK m. 58).

Yargıtay Uygulaması ve İçtihatlar

Yargıtay, kişisel verilerin korunması hakkını, bireyin temel haklarından ve kişilik haklarından biri olarak kabul etmektedir. Hukuka aykırı bir şekilde elde edilen, işlenen veya yayımlanan kişisel verilerin, ilgili kişinin şahsiyet haklarını ihlal ettiğini ve bu durumun manevi tazminat talebine dayanak oluşturduğunu birçok kararında vurgulamıştır.

Yargıtay Hukuk Genel Kurulu'nun yerleşik içtihatlarında da açıkça belirtildiği üzere, Anayasal güvence altındaki kişilik haklarına yapılan her türlü saldırı hukuka aykırıdır ve bu durumdan zarar gören kişi, 4721 sayılı Türk Medeni Kanunu'nun 24. maddesi ile 6098 sayılı Türk Borçlar Kanunu'nun 58. ve 59. maddeleri uyarınca maddi ve manevi tazminat talebinde bulunabilir. Kişisel verilerin hukuka aykırı olarak işlenmesi veya güvenliğinin sağlanamaması da, bireyin temel haklarından olan kişisel verilerin korunması hakkını ihlal etmek suretiyle kişilik haklarına saldırı teşkil eder ve manevi tazminat gerektirir.

Yargıtay 4. Hukuk Dairesi'nin yakın tarihli kararlarında da, veri sorumlularının KVKK kapsamında üzerlerine düşen teknik ve idari tedbirleri almaması sonucu meydana gelen veri ihlallerinde, veri sahibinin manevi zararlarının tazmini gerektiği yönünde kararlar verildiği görülmektedir. Tazminat miktarının belirlenmesinde, ihlalin niteliği, süresi, verinin hassasiyeti, veri sorumlusunun kusur derecesi ve tarafların sosyal ve ekonomik durumu gibi faktörler dikkate alınmaktadır.

Akademik Değerlendirme ve Doktrindeki Görüşler

Doktrinde, KVKK ihlali nedeniyle tazminat davasının hukuki niteliği ve özellikle manevi tazminatın koşulları konusunda çeşitli görüşler bulunmaktadır. Öğretideki baskın görüş, kişisel verilerin korunması hakkının bizatihi bir kişilik hakkı olduğu ve bu hakkın ihlalinin ayrıca bir kişilik hakkı ihlali aramak zorunda kalmaksızın doğrudan manevi tazminatı gerektireceği yönündedir.

Tartışmalı noktalardan biri, veri sorumlusunun sorumluluğunun kusursuz sorumluluk ilkesine dayanıp dayanmayacağıdır. Özellikle KVKK m. 12/4'te düzenlenen tedbir alma yükümlülüğünün ihlali durumunda, veri sorumlusunun kusursuz sorumlu tutulması gerektiği yönünde güçlü argümanlar bulunmaktadır. Zira veri güvenliğinin sağlanması, veri sorumlusu için bir sonuç yükümlülüğü niteliğindedir. Ancak mevcut yasal düzenlemeler ve yerleşik içtihatlar ışığında, sorumluluğun genellikle kusura dayalı olduğu kabul edilmektedir. Buna karşın, veri sorumlusunun ispat yükümlülüğü (kusursuzluğunu ispat etme) bu tür davalarda önem arz etmektedir.

Bir diğer önemli tartışma konusu ise, KVKK m. 18'de öngörülen idari para cezalarının, tazminat davasına etkisidir. İdari para cezaları, kamu hukuku niteliğinde olup, tazminat talebinden bağımsızdır. Yani, bir veri sorumlusuna idari para cezası uygulanmış olması, veri sahibinin tazminat talebinde bulunma hakkını ortadan kaldırmaz.

Sonuç

Kişisel verilerin korunması hakkının ihlali, günümüz dijital çağında bireyler için önemli mağduriyetlere yol açabilmektedir. Bu mağduriyetlerin giderilmesi noktasında kvkk tazminat davası, veri sahiplerinin hem maddi hem de manevi zararlarını talep edebilecekleri etkin bir hukuki yol sunmaktadır. Davanın başarısı, ihlalin somut delillerle ispatı, zararın net bir şekilde ortaya konulması ve ihlal ile zarar arasındaki illiyet bağının kuvvetle tesis edilmesine bağlıdır. Veri sorumlularının ise, KVKK kapsamında kendilerine yüklenen yükümlülükleri eksiksiz yerine getirmesi, olası hukuki ve cezai sorumluluklar ile tazminat talepleriyle karşılaşmamaları adına büyük önem taşımaktadır.

Sıkça Sorulan Sorular

KVKK İhlali Nedeniyle Tazminat Davasında Davalı Kim Olur?

KVKK ihlali nedeniyle açılacak tazminat davalarında davalı, kişisel verilerin işlenmesinden sorumlu olan gerçek veya tüzel kişi niteliğindeki veri sorumlusudur. Veri işleyen, veri sorumlusunun talimatları doğrultusunda hareket ettiğinden, esas sorumluluk veri sorumlusuna aittir. Ancak veri işleyenin de kendi kusurundan kaynaklanan durumlarda ayrı bir sorumluluğu gündeme gelebilir.

Manevi Tazminatın Belirlenmesinde Hangi Kriterler Dikkate Alınır?

Manevi tazminatın belirlenmesinde, hakimin takdir yetkisi bulunmaktadır. Yargıtay içtihatları ve doktrindeki görüşler doğrultusunda, ihlalin niteliği ve ağırlığı, ihlalin süresi, ihlal edilen verinin niteliği (özel nitelikli kişisel veri olup olmadığı), veri sahibinin uğradığı manevi zararın derecesi, tarafların sosyal ve ekonomik durumu, kusurun derecesi ve tazminatın caydırıcılık fonksiyonu gibi birçok kriter bir arada değerlendirilerek hakkaniyete uygun bir miktar belirlenmektedir.

KVKK İhlali Tazminat Davalarında Zamanaşımı Süresi Ne Kadardır?

KVKK'da bu tür davalar için özel bir zamanaşımı süresi düzenlenmemiştir. Bu nedenle, 6098 sayılı Türk Borçlar Kanunu'nun haksız fiile ilişkin genel zamanaşımı hükümleri (m. 72) uygulanmaktadır. Buna göre, zarar görenin zararı ve tazminat yükümlüsünü öğrendiği tarihten başlayarak iki yıl ve her hâlde fiilin işlendiği tarihten başlayarak on yıl geçmekle zamanaşımına uğrar. Eğer fiil, aynı zamanda bir suç teşkil ediyorsa ve ceza kanunlarında daha uzun bir zamanaşımı süresi öngörülüyorsa, o uzun süre uygulanır.

Yasal UyarıBu makale, yalnızca genel bilgilendirme amacıyla hazırlanmıştır ve hukuki danışmanlık hizmeti yerine geçmez. Kanunların zamanla değişebileceği ve her somut olayın kendine özgü detaylar barındırdığı unutulmamalıdır. Hak kaybı yaşamamak için hukuki sürecinizi uzman bir avukat eşliğinde yürütmenizi önemle tavsiye ederiz.
YAZAR
Av. Emina KARABUDAK
KVKK İhlali Nedeniyle Tazminat Davası | EK Hukuk | Av. Emina KARABUDAK | EK Hukuk