Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 31 Mart 2026 tarihli ve 2026/348 sayılı İlke Kararı (“İlke Kararı”), 31 Mart 2026 tarihli ve 33210 sayılı Resmî Gazete’de yayımlandı.
İlke Kararı’nda, apartman ve site sakinlerine ait borç bilgilerinin ortak alanlarda ilan edilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetleri, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında Kurul tarafından değerlendirilmiştir.
İlke Kararı’nda; apartman ve site yönetimlerince, sakinlere ait ad, soyadı, daire numarası, borcun miktarı, ödeme gecikme süresi, ödeme gecikme dönem sayısı ve daire sahiplik/kiracılık bilgisi gibi kişisel veri niteliğini haiz bilgilerin yer aldığı listelerin asansörler, bina girişleri ve bina koridorları gibi ortak alanlara asılması suretiyle kişisel veri işleme faaliyetlerinin gerçekleştirildiği belirtilmiştir.
1. Borç Bilgilerinin Paylaşımının Hukuki Temeli
Kurul, 634 sayılı Kat Mülkiyeti Kanunu’nun ilgili hükümlerine atıfta bulunulmak suretiyle; (i) ortak giderlere katılma yükümlülüğü, (ii) yöneticinin vekil gibi sorumluluğu, (iii) hesap verme yükümlülüğü ve (iv) kat maliklerinin yönetimi denetleme hak ve yetkisi gibi düzenlemeler çerçevesinde bir değerlendirme yapılmıştır.
Bu değerlendirme neticesinde, apartman sakinlerine ait borç bilgilerinin diğer kat malikleriyle paylaşılmasının gerekli olduğu ve bu paylaşımın KVKK madde 5/2(a) kapsamında düzenlenen “kanunlarda açıkça öngörülmesi” ile madde 5/2(e) uyarınca “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartları kapsamında gerçekleştirildiği tespit edilmiştir.
2. İşleme Yönteminin Hukuka Uygunluğu
Bununla birlikte Kurul, söz konusu bilgilerin paylaşımının hukuki bir sebebe dayanmasının tek başına hukuka uygunluk teşkil etmeyeceğini değerlendirmiştir.
Toplu yapıların asansör, bina girişi ve koridor gibi ortak alanları; misafirler, kargo görevlileri ve diğer üçüncü kişiler dahil olmak üzere belirsiz bir kişi kitlesine açıktır. Bu kapsamda, kişisel veri içeren listelerin bu alanlara asılması, verilerin muhatabı belirli olmayan kişilere ifşa edilmesi sonucunu doğurmaktadır. Bu çerçevede Kurul, söz konusu veri işleme faaliyetinin KVKK madde 12’de düzenlenen veri güvenliğine ilişkin yükümlülüklere aykırılık teşkil ettiğini değerlendirmektedir.
Her ne kadar söz konusu işleme faaliyetinin özü itibarıyla KVKK madde 5 kapsamında öngörülen işleme şartlarından birine dayandırılması mümkün olsa da, faaliyetin gerçekleştirilme biçimi dikkate alındığında bu şartların fiilen karşılanmadığı sonucuna ulaşılmaktadır. Diğer bir ifadeyle, kişisel verilerin işlenmesi bakımından geçerli bir hukuki sebebin bulunması tek başına yeterli olmayıp, işleme faaliyetinin aynı zamanda KVKK madde 12 kapsamında öngörülen veri güvenliğine ilişkin yükümlülüklere uygun şekilde yürütülmesi gerekmektedir.
3. Sonuç ve Uygulamaya İlişkin Tedbirler
İlke Kararı, borç bilgilerine ilişkin bilgilendirmelerin KVKK madde 12’de öngörülen veri güvenliğine ilişkin yükümlülüklerle uyumlu şekilde yerine getirilebilmesi için; üçüncü kişilerin erişimine kapalı e-posta sistemleri, sınırlı katılımlı mesajlaşma grupları veya bu amaca özgülenmiş dijital platformlar gibi, erişimin yalnızca ilgili kişilerle sınırlandırıldığı iletişim yöntemlerinin tercih edilmesi gereğini ortaya koymuştur.
Sonuç olarak Kurul;
ifşa niteliği taşıyan mevcut uygulamalara ivedilikle son verilmesi,
ilgili duyuru, liste ve dokümanların ortak alanlardan derhal kaldırılması ve
borç bilgilerine ilişkin bilgilendirmelerin yalnızca ilgili kişilerin erişebileceği KVKK’ya uygun alternatif yöntemlerle gerçekleştirilmesi gerektiği yönünde karar tesis etmiştir.
Bu yükümlülüklere aykırı hareket edilmesi halinde veri sorumluları hakkında KVKK madde 18 uyarınca idari yaptırım uygulanabileceği belirtilmiştir.
İlke Karar’ın tamamına ulaşmak için buraya tıklayınız.
