TÜZEL KİŞİLİK SIFATINI HAİZ OLMAYAN SİTE, APARTMAN VE TOPLU YAPILAR VERİ SORUMLUSU SIFATIYLA KİŞİSEL VERİLERİN KORUNMASI KANUNUNA TABİ MİDİR? 01 Şubat 2021

Kişisel Verilerin Korunması Kanunu (“Kanun”) madde 3 (ı) bendi uyarınca; Veri sorumlusu Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir. Maddenin lafzı incelendiğinde veri sorumlusu sıfatını ancak ve ancak gerçek veya tüzel kişilerin sahip olabildiği sonucu çıkarılmaktadır.

Dolayısıyla Kat Mülkiyeti Kanununa tabi site, apartman ve toplu yapıların Kanun uyarınca veri sorumlusu olarak kabul edilip edilmeyeceği noktasındaki hukuki tartışmalar devam etmektedir. Özellikle Kişisel Verilerin Korunması Kurulu’nun (“Kurul”) 22.07.2020 tarih ve 2020/560 sayılı  Kararında site yönetimine ilişkin ceza uygulaması bu konudaki kaygı ve Kanun’a duyarlılığı arttırmıştır.

Kişisel verilerin korunması hakkının diğer hukuk dallarıyla birlikte geniş yorumlanması gerektiği, bu hakkı koruyan Kanunun asıl amacının tüzel kişiliği olsun olmasın kurumlara, yapılara belirli yükümlülükler getirmek ve bu ölçüde onları disipline etmek olduğunu savunan birçok görüş vardır.

Bu yazımızda Kat Mülkiyeti Kanununa tabi apartman, site ve toplu yapıların Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu sıfatını haiz olup olmadıkları ve bu doğrultuda alınabilecek aksiyonlara değineceğiz.

Apartman, site ve toplu yapıların tüzel kişiliğe haiz olmamalarına karşın veri sorumlusu kabul edilip edilmeyeceği noktasında Kurul kararı ışığında değerlendirmeler

Belirttiğimiz üzere Kanun’un 3. Maddesi uyarınca veri sorumlusu tanımı gerçek veya tüzel kişilerle sınırlandırılmış, veri sorumlusu kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu tutulmuştur.

Apartman, site ve toplu yapılardaki yönetim organları kişisel verilerin işlenmesine ilişkin kararları alan, veri kayıt sistemini kuran, kayıt altına alan ve yöneten birimler olmalarına karşın tüzel kişilik sıfatını haiz olmamalarından dolayı Kanun uyarınca veri sorumlu olarak kabul edilip edilmeyeceği noktasındaki hukuki tartışmalar kapsamında Kurul nihayet görüşünü belli etmiş ve Kanun’un 3. Maddesinde yer alan “veri sorumlusu” tanımının güncellenmesi gerektiğine işaret etmiştir.

Kurul resmi web sitesinde “Site Yönetimlerine ilişkin 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde Kişisel Verilerin Korunması Kurulu’nun 22.07.2020 tarih ve 2020/560 sayılı Kararı’nda yer alan değerlendirmeler” başlıklı bir karar özeti yayınlamıştır. Kararda özetle  Kurul “..her ne kadar yönetici kat malikleri kurulunun verdiği kararlarla bağlı olup bu kararlara uygun hareket etmek zorunda olsa da, her somut olay bakımından yöneticinin yahut yönetim kurulunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir rol üstlenmiş olması halinde aykırı durumların çıkabileceği, örneğin bir site yönetiminin ayrı bir tüzel kişilik tarafından yürütülüyor olması durumunda, kişisel verilerin işlenmesi noktasında bu tüzel kişiliğin de veri sorumlusu olabileceği…” şeklindeki görüşüne  yer vermiştir.

Bu açıklamalar doğrultusunda Kanun’un 3. Maddesi ile veri sorumlusu kapsamının tüzel veya gerçek kişi olarak sınırlandırılmasına rağmen hayatın olağan akışı gereği ve pratikte ortaya çıkan sorunların çözülmesi adına veri sorumlusu kapsamının geniş yorumlanması gerektiği sonucu ortaya çıkmaktadır. Dolayısıyla her ne kadar tüzel kişiliğe haiz olmasalar da kural olarak apartman, site ve benzer yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, her somut olay özelinde veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, bulunduran ve yöneten birimlerin tespit edilerek veri sorumlusu sıfatının yüklenebileceği söylenebilecektir.

Kişisel Verilerin Korunması Kanununda yer alan ilkelerin apartman, site ve toplu yapılarda uygulanmasında örneklendirmeler

Kişisel Verilerin Korunması Kanunu madde 5 uyarınca; Kişisel verilerin işlenmesinde a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme gibi ilkelere uyma yükümlülüğü bulunmaktadır. Örneğin eski bir malikin kiracısının hala Kat Malikleri Genel Kurulu’na davet edilmesi, aidatlara ilişkin mail veya SMS yoluyla bilgilendirme yapılması kişisel verilerin güncel tutulmaması sebebiyle yukarıda yer alan genel ilkelere aykırılık teşkil edecektir. Aynı şekilde siteden taşınmış olan bir kiracının verileri site yönetiminde mevcut olmamalı ve işlendikleri amaç için gerekli olan süre kadar muhafaza edilmeli dolayısıyla amaç sona erdikten sonra yönetim tarafından imha edilmelidir. Veyahut site güvenliği kapsamında siteye girişte parmak izinin alınmasına dair bir karar alınması ölçülülük ilkesine aykırı olacağından uygulamaya alınmamalıdır.

Dolayısıyla ilkelere uyum kapsamında apartman, site ve toplu yapılar da Kanun ve Kurul kararlarını takip etmeli bu doğrultuda gerekli idari ve teknik tedbirleri almalıdır.

Kanun’da yer alan kişisel verilerin işleme şartlarına uyum sağlama noktasında apartman, site ve toplu yapılar nelere dikkat etmelidir?

Kişisel Verilerin Korunması Kanunu madde 5/1 uyarınca kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aynı zamanda Kanun madde 5/2 belirli işleme şartlarının varlığı halinde ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olacağını hüküm altına almıştır.

Bu şartlar;

a) Kanunlarda açıkça öngörülmesi,
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şeklinde sıralanmıştır. Zira yukarıda anılan işleme şartlarının varlığı halinde açık rıza alınması durumu veri güvenliğine ilişkin yükümlülüğün yerine getirilmediği ve dürüstlük kuralına aykırı olduğu şeklinde yorumlanmaktadır.

Site, apartman ve toplu yapılardaki uygulamasından bahsedecek olursak örneğin sitenin çalıştırdığı işçilerin 4857 sayılı İş Kanun’un 75. Maddesi uyarınca özlük dosyası bilgilerinin site yönetimi tarafından işlenmesi zorunludur. Dolayısıyla Kanun’da açıkça öngörülmesi sebebiyle ilgili kişinin açık rızası aranmaksızın kişisel verileri işlenebilecektir. Site sakininden birinin ambulans ihtiyacı doğması, kaybolması vs. gibi sebeplerle kişisel verilerinin işlendiği durumlarda da fiili imkansızlıktan bahsedileceği için yine site yönetimi tarafından açık rıza alınmasına gerek olmayacaktır. Veyahut kira sözleşmesi gereği aidatın kiracıdan alınacağı durumda sözleşmede öngörülmesi sebebiyle açık rıza alınmaksızın kişisel verilerin işlenmesi gündeme gelecektir. Dolayısıyla işleme şartlarından birinin varlığı halinde açık rıza alınması hukuka uygun olmayıp bu durumda en son başvurulan yol olmalıdır.

Sonuç olarak, her ne kadar site, apartman ve toplu yapılara ilişkin tüzel kişilik sıfatından bahsedemeyecek olsak da hayatın olağan akışı ve pratikteki zorlukların aşılması bakımından Kanun uyarınca veri sorumlusu sıfatıyla hareket etmeleri gerekliliğinden bahsedilebilecek olup, Kurul da ilgili kararında bu konunun altını çizmektedir.