KVKK 2020/755 Karar Özeti Aidat Borcu Bilgisi Ev Sahibine İletilebilir mi?
Apartman / site yönetimlerinde en sık tartışılan konulardan biri; kiracının aidat borcu bilgisi gibi finansal nitelikli bilgilerin ev sahibi (kat maliki) ile paylaşılıp paylaşılamayacağıdır. Kişisel Verileri Koruma Kurulu, 29/09/2020 tarihli ve 2020/755 sayılı kararında; olayın özellikleri, 6698 sayılı Kanun m.5 ve 634 sayılı Kat Mülkiyeti Kanunu m.22 birlikte değerlendirilmek suretiyle önemli bir çerçeve ortaya koymuştur.
Bu rehber; kararın arka planını, hukuki dayanakları, veri işleme şartlarını ve site yönetimleri ile profesyonel yönetim firmalarının Türkiye genelinde uygulamada dikkat etmesi gereken asgari uyum adımlarını anlaşılır ve uygulanabilir biçimde özetler.
Karar: 29/09/2020 – 2020/755.
Konu: Kiracının aidat borcu bilgisinin site yönetimi tarafından ev sahibine iletilmesi.
Hukuki çerçeve: KVKK m.5/2(e) “hakkın tesisi, kullanılması veya korunması” ve KMK m.22 (müteselsil sorumluluk).
Sonuç: Somut olayda Kanun kapsamında işlem tesis edilmemiştir.
Uygulama mesajı: Paylaşım yapılacaksa amaçla sınırlı, asgari veri ve kayıt altına alınmış süreç şarttır.
Site yönetimleri açısından “her ev sahibine her bilgi” yaklaşımı değil; kanuni sorumluluk ve meşru menfaat dengesi içinde ölçülü ve izlenebilir bir süreç esastır.
1. Olay ve Kararın Kapsamı
Kurula intikal eden şikâyette; ilgili kişi, ev sahibinden SMS aldığını ve bu SMS’te aidatın bazı aylarda eksik veya hiç ödenmediğine ilişkin bilginin yer aldığını belirtmiştir. İlgili kişi; söz konusu bilginin site yönetimi tarafından ev sahibine iletilmesi konusunda bilgisi ve rızası olmadığını, bu nedenle kişisel verilerinin hukuka aykırı işlendiğini iddia etmiştir.
İlgili kişi; veri sorumlusu olduğunu değerlendirdiği site yönetimine başvurarak, KVKK m.11 kapsamındaki haklarını kullanmış; kendisine aydınlatma yapılıp yapılmadığı ve hangi verilerin işlendiğine/aktarıldığına dair bilgi talep etmiştir. Site yönetimi, yanıtında; aidat ödeme bilgilerinin ev sahibinin talebi doğrultusunda paylaşıldığını belirtmiş; ancak şikâyet dilekçesinde, aydınlatma/ açık rıza / hukuka uygunluk sebebinin sunulamadığı ileri sürülmüştür.
Kurulun İncelediği Temel Soru
Somut olayda Kurulun odaklandığı nokta; kiracının aidat borcu bilgisi gibi bir verinin, ev sahibi ile paylaşımının KVKK kapsamında hangi işleme şartına dayanabileceği ve bu paylaşımın ölçülü olup olmadığıdır.
2. Hukuki Dayanak: KVKK m.5 ve KMK m.22
Kurul, değerlendirmesinde iki ana normu birlikte ele almıştır: 6698 sayılı KVKK m.5 (kişisel verilerin işlenme şartları) ve 634 sayılı Kat Mülkiyeti Kanunu m.22 (ortak giderlerden sorumluluk).
KVKK m.5: Açık Rıza Kural, İstisnalar Şart
KVKK m.5/1 uyarınca kişisel veriler kural olarak açık rıza olmaksızın işlenemez. Ancak m.5/2’de sayılan şartlardan biri mevcutsa açık rıza aranmaksızın işleme mümkün olabilir. Bu kararda kritik olan işleme şartı: m.5/2(e) “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması”dır.
KMK m.22: Müteselsil Sorumluluk ve Bilgilendirme İhtiyacı
KMK m.22 kapsamında; kat malikinin ortak gider ve avans borcundan sorumluluğu yanında, bağımsız bölümden kira/sükna vb. sebeple sürekli yararlananların da belirli sınırlar içinde sorumluluğu söz konusudur. Kurul; bu müteselsil sorumluluk yapısı nedeniyle, ev sahibinin kiracısının ortak giderleri ödeyip ödemediğinden haberdar olmasında gerek ev sahibinin gerek site yönetiminin menfaati bulunduğunu değerlendirmiştir.
| Dayanak | Ne Söyler? | Bu Karardaki Etkisi |
|---|---|---|
| KVKK m.5/1 | Açık rıza olmadan işleme kural olarak yasaktır. | Paylaşım için istisna şartının varlığı aranır. |
| KVKK m.5/2(e) | Hakkın tesisi/kullanılması/korunması için zorunluysa rıza aranmayabilir. | Ev sahibinin müteselsil sorumluluğu nedeniyle bilgilendirme meşrulaşabilir. |
| KMK m.22 | Ortak giderler bakımından kat maliki ve yararlananlar açısından sorumluluk düzeni. | Ev sahibinin borç durumunu bilme menfaatine dayanak oluşturur. |
3. Kişisel Veri, Paylaşım ve Risk Noktaları
Aidat borcu bilgisi, belirli veya belirlenebilir bir kişiyi işaret ettiği ölçüde kişisel veri niteliği taşır. Bu veri; ödeme düzeni, borçluluk, gecikme gibi unsurlar içerdiğinden uygulamada “finansal bilgi” olarak hassasiyet yaratır ve üçüncü kişi paylaşımında itibar/mahremiyet riskleri doğurabilir.
Paylaşım Yapılırken Kritik Ölçülülük Testi
Kurulun yaklaşımı, pratikte aşağıdaki sorularla “ölçülülük” sınırını çizer:
- Amaç: Paylaşım, gerçekten hakkın tesisi/kullanımı/korunması için gerekli mi?
- Asgari veri: Ev sahibine iletilen bilgi “gerekli olanla sınırlı” mı?
- Hedef kitle: Bilgi yalnızca kat maliki ile mi paylaşıldı, yoksa daha geniş çevreye mi yayıldı?
- Kanal güvenliği: SMS/e-posta/WhatsApp gibi kanallarda yanlış kişiye iletim riski yönetildi mi?
- Kayıt: Paylaşımın gerekçesi ve içeriği ispatlanabilir şekilde kayıt altına alındı mı?
En Sık Yapılan Uygulama Hataları
- Toplu duyuru: Panoya “borçlular listesi” asmak veya toplu mesajla borçluları ifşa etmek.
- Gereğinden fazla bilgi: Borç tutarı, ödeme geçmişi, ihtar/avukat süreci gibi detayları gereksiz paylaşmak.
- Yanlış alıcı: Ev sahibi yerine komşuya/akrabaya/başka kiracıya iletim yapmak.
- Kayıt yokluğu: Paylaşımın “hangi gerekçeyle” ve “kim tarafından” yapıldığını izleyememek.
4. Uyum Mimarisi: Süreç, Yetki ve Kayıt Yönetimi
Site yönetimleri (ve profesyonel yönetim firmaları) açısından sürdürülebilir KVKK uyumu; tekil metinlerden ziyade uçtan uca süreç tasarımı gerektirir. Bu karardaki temel veri akışı “aidat borcu bilgisi → ev sahibine bilgilendirme” olduğundan, aşağıdaki bileşenler kritik önem taşır:
Rol Tanımı ve Yetkilendirme
- Veri sorumlusu / veri işleyen ayrımı: Profesyonel yönetim şirketi ile yönetim kurulu ilişkisi sözleşmeyle netleşmelidir.
- Yetkili kişi matrisi: Aidat/borç verilerine kim erişir, kim paylaşım yapabilir? Yetki yazılı olmalıdır.
- Tek kanaldan bilgilendirme: Ev sahibine bilgilendirme, belirlenmiş ve denetlenebilir kanal üzerinden yürütülmelidir.
Kayıt ve İspat Yeteneği
- Talep kaydı: Ev sahibinin bilgi talebinin tarihi, içeriği, kapsamı kayıt altına alınmalıdır.
- Paylaşım kaydı: Hangi verinin, hangi hukuki gerekçeyle, hangi kanalla paylaşıldığı loglanmalıdır.
- KVKK m.11 başvuruları: İlgili kişi başvuruları için standart cevap şablonları ve SLA takibi uygulanmalıdır.
Asgari Veri ve Maskeleme
Ev sahibine iletilen içerik; ödenmeyen dönem bilgisi ve gerekiyorsa toplam borç gibi “gerekli” unsurlarla sınırlandırılmalı; kiracının diğer kişisel bilgileri (TCKN, detaylı iletişim, banka hesap hareketi vb.) paylaşılmamalıdır. Uygunsa “borç bulunmaktadır” şeklinde daha minimal ifade tercih edilmelidir.
5. Site Yönetimleri İçin Uygulama Rehberi
Aşağıdaki adımlar, 2020/755 sayılı kararın ruhuyla uyumlu şekilde; paylaşımları amaçla sınırlı, asgari veri ve izlenebilir süreç temelinde yönetmenize yardımcı olur.
1) Bilgilendirme Sınırlarını Politika ile Netleştirin
“Ev sahibine hangi hallerde hangi veriler verilir?” sorusu; yazılı bir site yönetimi veri işleme prosedürü ile belirlenmelidir. Bu prosedürde KVKK m.5/2(e) ve KMK m.22 ilişkilendirmesi açıkça yer almalıdır.
2) Ev Sahibi Talep Doğrulaması Yapın
Bilginin yanlış kişiye gitmesini önlemek için; kat malikinin kimliğini ve bağımsız bölüm sahipliğini teyit eden pratik kontroller (yönetim sistemi kaydı, tapu/vekalet kontrolü, kayıtlı iletişim kanalı doğrulaması) uygulanmalıdır.
3) Asgari Veriyi Paylaşın, Detaydan Kaçının
Paylaşım içeriği; “hangi aylar için borç var” ve gerekiyorsa “toplam tutar” ile sınırlı tutulmalıdır. Kiracının ödeme davranışı, ek yorumlar, mesajlaşma içerikleri gibi gereksiz detaylar paylaşılmamalıdır.
4) Güvenli İletişim Kanalı Kullanın
SMS gibi kanallar pratik olsa da yanlış alıcı riski taşır. Kurumsal yaklaşım; kayıtlı e-posta, yönetim paneli üzerinden bildirim, doğrulanmış iletişim kanalı gibi seçenekleri öne çıkarır. Zorunlu hallerde SMS kullanılacaksa; kısa, asgari ve teyitli içerik tercih edilmelidir.
5) Kayıt Altına Alın ve Denetleyin
Her paylaşım için; talep, gerekçe (m.5/2(e)), içerik ve kanal bilgisi kayıtlanmalı; dönemsel iç denetimle uygunsuz paylaşımlar tespit edilmelidir.
6) İlgili Kişi Başvurularına Uyumlu Yanıt Verin
İlgili kişi başvurusunda, “hangi veri, hangi hukuki sebeple, kiminle paylaşıldı” sorularına açık ve ölçülü yanıt verilmelidir. Yanıt; kurum içi prosedürle uyumlu ve tutarlı olmalıdır.
6. Sık Sorulan Sorular (SSS)
Site yönetimi kiracının aidat borcunu ev sahibine her zaman iletebilir mi?
Hayır. Karar, somut olay özelinde; KMK m.22’deki sorumluluk ilişkisi nedeniyle ev sahibinin bilgilendirilmesini KVKK m.5/2(e) kapsamında değerlendirmiştir. Uygulamada paylaşım amaçla sınırlı ve asgari veri olmalıdır.
Açık rıza alınmadan paylaşım yapılması KVKK’ya aykırı değil mi?
Kural olarak kişisel veriler açık rıza olmaksızın işlenemez; ancak KVKK m.5/2’deki şartlardan biri varsa açık rıza aranmadan işleme mümkündür. Bu kararda ağırlık verilen şart, hakkın tesisi/kullanılması/korunması için zorunluluk halidir.
Ev sahibine ne kadar detay verilebilir?
En güvenli yaklaşım; “borç vardır/yoktur”, borcun hangi dönemlere ilişkin olduğu ve gerekiyorsa toplam tutar ile sınırlı kalmaktır. Gereksiz ayrıntılar (ödeme geçmişi, özel açıklamalar, üçüncü kişilerle yazışmalar) paylaşılmamalıdır.
Panoya borçlu listesi asmak uygun mu?
Uygulamada bu yöntem ciddi gizlilik riskleri yaratır. Kişisel verilerin geniş kitleye ifşası niteliği doğurabileceği için ölçülülük ilkesine aykırılık riski yüksektir. Bilgilendirme mümkün olduğunca hedefli ve kontrollü yapılmalıdır.
Kiracı “bilgim olmadan paylaşıldı” diyerek başvuru yaparsa ne yapılmalı?
KVKK m.13 ve ilgili tebliğ çerçevesinde başvuru süresinde yanıtlanmalı; paylaşımın kapsamı, hukuki gerekçesi ve alıcı grubu açık, tutarlı ve kayıtlarla desteklenebilir şekilde açıklanmalıdır. Gerekirse süreç iyileştirme aksiyonları planlanmalıdır.
Profesyonel yönetim firmaları için ekstra öneri var mı?
Evet. Yönetim firması ile apartman/site yönetimi arasındaki ilişki; rol (veri sorumlusu/veri işleyen), yetki sınırları, kayıt tutma, gizlilik ve veri güvenliği hükümlerini içeren sözleşmelerle netleştirilmelidir. Süreç denetimi düzenli yapılmalıdır.
