Bilindiği üzere, apartman/site yönetimi süreçlerinde çeşitli kişisel veri işleme faaliyetleri gerçekleştirilmektedir. Bu kapsamda bilhassa apartman sakinlerinin aidat/avans/demirbaş gideri ve benzeri borçlarına yönelik duyuru yapılması ve diğer apartman sakinlerinin bilgilendirilmesi amacıyla bu kişilere ait ad, soyad, daire numarası bilgisi, borcun miktarı, ödeme gecikme süresi, ödeme gecikme dönem sayısı, daire sahiplik/kiracılık bilgisi gibi kişisel veri niteliğini haiz bilgilerin yer aldığı listelerin/dokümanların asansörler, bina girişleri, bina koridorları gibi ortak yerlere asıldığı bilinmekte olup bu hususta kamuoyunun bilgilendirilmesi amacıyla Kişisel Verileri Koruma Kurulu (Kurul) tarafından ilke kararı alınması gereği hasıl olmuştur.
Bu çerçevede ilgili mevzuat hükümleri incelendiğinde;
Kanun’un “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Anılan madde hükmünden açıkça anlaşılacağı üzere; kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bu kapsamda belirtmek gerekir ki; kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi gereği; işlenen kişisel veriler belirlenen amaçların gerçekleştirilmesi için elverişli olmalı ve kişisel veri işleme amacının gerçekleştirilmesiyle ilgili olmayan kişisel veriler işlenmemelidir. Ölçülülük ilkesi ise; kişisel veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani kişisel veri işlemenin, amacı gerçekleştirecek ölçüde olması anlamına gelmektedir.
Kanun’un 5 inci maddesinde ise kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında anılan fıkrada belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenebileceği hüküm altına alınmıştır.
634 sayılı Kat Mülkiyeti Kanunu’nun (634 sayılı Kanun);
“Kat maliklerinin borçları” başlıklı 18 inci maddesi; “Kat malikleri gerek bağımsız bölümlerini gerek eklentileri ve ortak yerleri kullanırken doğruluk kaidelerine uymak, özellikle birbirini rahatsız etmemek, birbirinin haklarını çiğnememek ve yönetim planı hükümlerine uymakla, karşılıklı olarak yükümlüdürler. Bu kanunda kat maliklerinin borçlarına dair olan hükümler, bağımsız bölümlerdeki kiracılara ve oturma (sükna) hakkı sahiplerine veya bu bölümlerden herhangi bir suretle devamlı olarak faydalananlara da uygulanır; bu borçları yerine getirmeyenler kat malikleriyle birlikte, müteselsil olarak sorumlu olur.” hükmünü,
“Anagayrimenkulün genel giderlerine katılma” başlıklı 20 nci maddesi; “Kat maliklerinden her biri aralarında başka türlü anlaşma olmadıkça:
a) Kapıcı, kaloriferci, bahçıvan ve bekçi giderlerine ve bunlar için toplanacak avansa eşit olarak;
b) Anagayrimenkulün sigorta primlerine ve bütün ortak yerlerin bakım, koruma, güçlendirme ve onarım giderleri ile yönetici aylığı gibi diğer giderlere ve ortak tesislerin işletme giderlerine ve giderler için toplanacak avansa kendi arsa payı oranında;
katılmakla yükümlüdür.
c) Kat malikleri ortak yer veya tesisler üzerindeki kullanma hakkından vazgeçmek veya kendi bağımsız bölümünün durumu dolayısıyla bunlardan faydalanmaya lüzum ve ihtiyaç bulunmadığını ileri sürmek suretiyle bu gider ve avans payını ödemekten kaçınamaz.
Gider veya avans payını ödemeyen kat maliki hakkında, diğer kat maliklerinden her biri veya yönetici tarafından, yönetim planına, bu Kanuna ve genel hükümlere göre dava açılabilir, icra takibi yapılabilir. Gider ve avans payının tamamını ödemeyen kat maliki ödemede geciktiği günler için aylık yüzde beş hesabıyla gecikme tazminatı ödemekle yükümlüdür.” hükmünü,
“Genel kurul” başlıklı 27 nci maddesi; “Anagayrimenkul, kat malikleri kurulunca yönetilir ve yönetim tarzı, kanunların emredici hükümleri saklı kalmak şartıyla, bu kurul tarafından kararlaştırılır.” hükmünü,
“Yönetici” başlıklı (D) kısmının “Atanması” başlıklı 34 üncü maddesinin birinci fıkrası; “Kat malikleri, anagayrimenkulün yönetimini kendi aralarından veya dışardan seçecekleri bir kimseye veya üç kişilik bir kurula verebilirler; bu kimseye (Yönetici), kurula da (Yönetim kurulu) denir.” hükmünü, aynı maddenin beşinci fıkrası ise; “Yönetici her yıl kat malikleri kurulunun kanuni yıllık toplantısında yeniden atanır; eski yönetici tekrar atanabilir.” hükmünü,
34 sayılı Kanun’un 38 inci maddesinde ise yöneticinin sorumluluğu düzenlenmiştir ve bu maddenin birinci fıkrası; “Yönetici, kat maliklerine karşı aynen bir vekil gibi sorumludur.” hükmünü amirdir.
Aynı Kanun’un 39 uncu maddesinde ise yöneticinin hesap verme yükümlülüğü düzenleme altına alınmış olup anılan madde; “Yönetici, yönetim planında yazılı zamanlarda eğer böyle bir zaman yazılmamışsa her takvim yılının birinci ayı içinde kat malikleri kuruluna, anagayrimenkul dolayısıyla o tarihe kadar elde edilen gelirlerin ve yapılmış olan giderlerin hesabını vermekle yükümlüdür. Kat maliklerinin yarısı isterse, bunların arsa payları ne olursa olsun yönetim planında yazılı zamanlar dışında da hesabın gösterilmesi yöneticiden istenebilir.” şeklindedir.
“Yönetimin denetlenmesi” başlıklı 41 inci maddenin birinci fıkrasında ise; “Kat malikleri kurulu, yöneticinin bu görevini denetlemek üzere kendi aralarından sayı ve arsa payı çoğunluğu ile bir denetçi seçer.” hükmü yer almaktadır.
İlgili mevzuat çerçevesinde, kat maliklerinin aidat/avans/demirbaş gideri ve benzeri borçlarına ilişkin bilgilendirmelerin yapılması ve bu doğrultuda gerçekleştirilen kişisel veri işleme faaliyetinin 6698 sayılı Kanun’un 5 inci maddesinin ikinci fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi” ve kat maliklerinin alacak hakkının temini bakımından (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” şartları kapsamında gerçekleştirildiği anlaşılmaktadır. Buna karşın, bilhassa bu bilgilendirmeler yapılırken tercih edilecek usul ve yöntemler 6698 sayılı Kanun açısından önem arz etmektedir. Zira kanunlardan kaynaklanan bir bilgilendirme yükümlülüğü yerine getirilirken dahi bilgilendirmenin gereğinden fazla kişisel veri içermemesi ve bu doğrultuda Kanun’un 4 üncü maddesinde düzenlenen genel ilkelere uygun olmasının sağlanması ve söz konusu kişisel verilere konuyla alakası bulunmayan/yetkisiz üçüncü kişiler tarafından erişilmesinin engellenmesi gerekmektedir.
Uygulamada sıklıkla kat maliklerinin aidat/avans/demirbaş gideri ve benzeri borçlarına yönelik listelerin/dokümanların toplu yapıların asansörleri, bina girişleri, bina koridorları gibi ortak yerlere asıldığı görülmektedir. Öyle ki; bu tür listelerde sadece borcu bulunanlar değil, toplu yapıların bağımsız bölümlerinin malikleri/kiracılarının/oturma (sükna) hakkı sahiplerinin tamamının bilgileri bulunmaktadır. Bilindiği üzere; toplu yapıların asansörleri, bina girişleri, bina koridorları gibi ortak yerleri o toplu yapıda ikamet etmeyen/yaşamayan misafirlerin, kargo personellerinin, kuryelerin ve dahi apartman sakinleri tarafından hiç tanınmayan kişilerin sıklıkla bulunabildiği alanlar olup bu bölümlerde yer alan duyuruların/dokümanların/listelerin bu kişilerce de görülebileceği malumdur. Öyle ki bu listelerde, bağımsız bölümlerin malikleri/kiracıları/oturma (sükna) hakkı sahiplerinin ad soyad bilgileri bulunmasa dahi listelerde yer alan bilgiler kişisel veri niteliğini haizdir. Zira söz konusu listelerde daire numaralarıyla ilişkilendirilmiş bir şekilde borç bilgilerinin yer alması “kişisel veri” kavramının Kanun’da “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlanmasından hareketle, kişilerin ad ve soyadlarının yer almasa dahi ilgili kişilerin belirlenebilir olmasına imkân sağlamaktadır.
Bu kapsamda, söz konusu listelerin ortak alanlara asılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5 inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı, toplu yapıların ortak yerlerine asılan ve kişisel veri içeren listelerin muhatabı belirli olmayan bir kesime ifşa edilmesi suretiyle Kanun’a aykırı kişisel veri işlenmesine sebebiyet verildiği, bu durumun Kanun’un 12 nci maddesinde düzenlenen veri güvenliğinin sağlanmasına yönelik gerekli teknik ve idari tedbirlerin alınması yükümlülüğüne aykırılık teşkil ettiği,
Bu kapsamda, söz konusu bilgilendirmelerin Kanun’un 12 nci maddesine uygun bir şekilde yerine getirilebilmesi için, kapalı e posta yahut mesajlaşma grupları veya bu hizmete özgülenmiş uygulamalar gibi üçüncü kişi konumunda bulunan kişilerin erişiminin söz konusu olmayacağı usullerin/yöntemlerin kullanılması gerektiği kanaatine varıldığından
• Bu tür uygulamalara ivedilikle son verilmesinin,
• Bu tür duyuruların/listelerin/dokümanların toplu yapıların ortak yerlerinden ivedilikle kaldırılmasının,
• Bu konulara ilişkin kat maliklerine yönelik yapılacak duyurular/bilgilendirmeler için Kanun’un 12 nci maddesine uygun ve sadece ilgililerin erişebileceği başkaca bir usulün/yöntemin uygulanmasının
gerektiği sonucuna varılmıştır.
Bilindiği üzere, Kanun’un 15 inci maddesinin altıncı fıkrası; “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu kararı yayımlar.” hükmünü amir olup Kanun’un 18 inci maddesinin birinci fıkrasının (b) bendinde ise Kanun’un 12 nci maddesi kapsamında veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında idari para cezasının uygulanacağı düzenlenmiştir.