Site ve Apartman Yönetimlerinin KVKK’ya Uyumu

Derinlemesine AnalizYazan: Erdem Mümtaz Hacıpaşaoğlu··8 dk okuma

Kısa cevap: Site ve apartman yönetimleri, kişisel veri hukuku karşısında uzun süre “kim veri sorumlusu?” belirsizliğiyle boğuştu. Kişisel Verileri Koruma Kurulu, 22 Temmuz 2020 tarihli ve 2020/560 sayılı kararıyla çerçeveyi kamuya açtı; 31 Mart 2026 tarihli Resmî Gazete’de yayımlanan 2026/348 sayılı ilke kararıyla da sahadaki en yaygın ihlallerden birini — aidat/borç listelerinin ortak alanlara asılmasını — açıkça hukuka aykırı ilan etti. Bu yazıda, çeşitli ölçeklerde yürüttüğüm uyum çalışmalarının deneyimiyle, yönetimlerin neye dikkat etmesi gerektiğini ele alıyorum.

Bir site yönetimi aslında yoğun bir veri makinesidir

Apartman ve özellikle büyük site yönetimleri, dışarıdan basit görünse de yoğun bir kişisel veri işleme merkezidir. Güvenlik kameraları (giriş-çıkış, otopark, sosyal alanlar), sakin listeleri ve iletişim bilgileri, aidat ve borç kayıtları, misafir ve kurye giriş defterleri, sosyal tesis (havuz, spor salonu) erişim kayıtları, kartlı veya plaka tanımalı geçiş sistemleri, iş yerleriyle ortak kullanılan bloklarda birbirine karışan ziyaretçi akışları… Her biri ayrı bir sürtünme ve risk alanı.

Bu çokluk, uyumu “bir kez politika yazıp rafa kaldırma” işi olmaktan çıkarıp süregelen bir yönetim disiplinine dönüştürüyor. Verinin toplandığı nokta sayısı arttıkça, hata ve ihlal yüzeyi de büyüyor.

Yapısal sorun: “yönetim” fiiliyatta bir tüzel kişi değil

Uygulamanın ilk yıllarındaki en büyük sürtünme buradaydı. 634 sayılı Kat Mülkiyeti Kanunu anlamında apartman veya site yönetimi başlı başına bir tüzel kişi değildir; iş, kat malikleri kurulu ve onun seçtiği yönetici ya da yönetim kurulu eliyle yürür. Peki kişisel veri hukukunun aradığı “veri sorumlusu” kimdir — kat malikleri mi, yönetici mi, yoksa devreye giren profesyonel tesis yönetim şirketi mi?

Bu belirsizlik, VERBİS kaydından aydınlatma yükümlülüğüne, saklama sürelerinden ihlal bildirimine kadar her adımı bulanıklaştırıyordu. Pratikte “sorumluluk kimsenin üstünde değil” algısı, hesap verebilirliği zayıflatıyordu.

2020/560: Kurul çerçeveyi kamuya açtı

Kişisel Verileri Koruma Kurulu, 22 Temmuz 2020 tarihli ve 2020/560 sayılı kararında, site yönetimlerinin durumunu 6698 sayılı Kişisel Verilerin Korunması Kanunu ile 634 sayılı Kat Mülkiyeti Kanunu çerçevesinde değerlendirdi ve bu değerlendirmeleri kamuoyuyla paylaştı (KVKK 2020/560).

Bu adım, en azından “kim, hangi sıfatla ve hangi yükümlülüklerle sorumlu” sorusunda bir yön verdi; konunun fiili belirsizlikten çıkıp netleşmeye başladığı dönüm noktası oldu. Yönetimlerin veri sorumlusu konumunu ve bununla gelen yükümlülükleri görmezden gelemeyeceği netleşti.

2026/348: borç listesi dönemi bitti

31 Mart 2026 tarihli Resmî Gazete’de yayımlanan 18 Şubat 2026 tarihli ve 2026/348 sayılı ilke kararı (Resmî Gazete, 31.03.2026), sahada en sık karşılaştığım ihlali doğrudan hedef aldı: aidat veya borç bilgilerinin asansör, bina girişi, koridor gibi ortak alanlara — ya da WhatsApp gruplarına, panolara, dijital ekranlara — asılması.

Karara göre sakinin adı-soyadı, daire numarası, borç tutarı ve ödeme durumu kişisel veridir; bunların ortak alanda teşhiri, yani “ifşa yoluyla tahsilat” yöntemi hukuka aykırıdır. Borç bildirimleri bireysel kanallarla yapılmalıdır: kişiye özel e-posta veya SMS, mesajlaşma uygulamasıyla doğrudan mesaj ya da yönetime özel kapalı yazılım. Hâlihazırda asılı listeler ivedilikle kaldırılmalı; aksi hâlde idari para cezası ve tazminat riski gündeme gelir.

Sahadan: gördüklerim

Daha önce Türkiye Kentsel Tesis Yönetim Derneği (TRKTYD) tarafından düzenlenen I. Uluslararası Tesis Yönetim Zirvesi’nde bu konuyu anlatmış; orta ölçekliden çok büyük ölçekliye kadar sitelerde uyum çalışması yürütmüştüm. Her gittiğim yerde farklı bir tablo çıkıyordu karşıma: kameraların sosyal tesis ya da soyunma alanlarına bakacak şekilde konumlandırıldığı; tüm sakinlerin kimlik ve telefon bilgisinin güvenlik kulübesindeki bir Excel’de açıkta tutulduğu; eski yöneticiden devralınan verilerin yıllarca silinmeden saklandığı; misafir giriş defterinin herkesin görebileceği bir masada durduğu örnekler…

Bazıları küçük dikkatsizlikler, bazıları ciddi ihlallerdi. Çoğu kötü niyetten değil, “böyle gelmiş böyle gidiyor” alışkanlığından kaynaklanıyordu — ve tam da bu yüzden, doğru kurguyla önlenebilir niteliktedir.

Pratikte ne yapmalı: uyum haritası

Yönetimler için öne çıkan başlıklar şunlar: (1) Veri sorumlusunu netleştir — yönetim/kat malikleri kurulu konumunu ve profesyonel bir tesis yönetim şirketi varsa onun veri işleyen mi yoksa ayrı/müşterek veri sorumlusu mu olduğunu yazılı sözleşmeyle tanımla. (2) VERBİS — eşik koşulları sağlanıyorsa kayıt yükümlülüğünü değerlendir. (3) Aydınlatma — sakinlere, çalışanlara, misafir ve kuryelere; kameralar için ayrıca aydınlatma ve mahremiyet alanlarına bakmayacak konumlandırma. (4) Aidat/borç tahsilatı — ortak alana liste asma yok; bireysel bildirim kanalları; hukuki takip gerekiyorsa avukat veya icra yoluyla. (5) Kamera — amaçla sınırlılık, makul saklama süresi, kısıtlı erişim, görüntü taleplerinin usule bağlanması. (6) Misafir/kurye/geçiş kayıtları — asgari veriyle, açıkta tutmadan, süreli imhayla. (7) Saklama ve imha politikası ile eski yönetimden devir protokolü. (8) Veri işleyen sözleşmeleri — tesis yönetim şirketi, yazılım sağlayıcısı ve güvenlik firmasıyla. (9) İhlal müdahale planı.

Vircon değerlendirmesi

2026/348 bir sürpriz değil; 2020’den beri sinyali verilen yönün kristalleşmesi. Asıl mesele, kararın “liste asmayın” başlığının ötesinde: yönetimleri veri sorumlusu kimliğini ve süregelen bir uyum disiplinini kabul etmeye zorluyor. İyi haber, çözümün büyük bütçe değil doğru kurgu olması: net rol tanımı, bireysel tahsilat kanalı, kamera ve giriş kayıtlarında ölçülülük. Doğru kurulduğunda hem idari ceza riskini hem de sakin şikâyetlerini ciddi biçimde azaltıyor.

Güncel gelişme: KVKK Kurulu’nun apartman güvenlik kameralarına dair 8 Haziran 2026 duyurusu

Kişisel Verileri Koruma Kurulu, 8 Haziran 2026 tarihli kamuoyu duyurusuyla — apartmanlara hukuka aykırı kamera yerleştirildiğine dair Kuruma iletilen çok sayıda şikâyet üzerine — site ve apartman yönetimlerinde güvenlik kamerası kullanımına ilişkin çerçeveyi netleştirdi. Duyuruya göre kamerayla görüntü kaydı açıkça bir kişisel veri işleme faaliyetidir; ortak alanların korunması, güvenliğin sağlanması ve kat maliklerinin menfaati gibi meşru amaçlarla kamera kurulması mümkündür, ancak işleme hem 6698 sayılı Kanun’un 4 (genel ilkeler), 5 (işleme şartları) ve 12 (güvenlik tedbirleri) maddelerine hem de 634 sayılı Kat Mülkiyeti Kanunu’na (ortak yerler, kat malikleri kurulu kararı, yöneticinin vekil benzeri sorumluluğu) uygun olmalıdır.

Kurulun öne çıkardığı dikkat noktaları:

  • Konum ve mahremiyet: Makul mahremiyet beklentisi gözetilmeli; merdiven boşluklarına ve kapı açıldığında bağımsız bölümün içini gösterecek şekilde daire kapısı önlerine kamera yerleştirilmemeli.
  • Ölçülülük: Yalnızca amaçla bağlantılı teknik özellikler bulunmalı; yüz tanıma ve ses kaydı gibi özel hayata müdahale eden özelliklerden kaçınılmalı; dar açı tercih edilmeli, gereksiz alanlar maskelenmeli.
  • Asansör: Ortak alan sayılsa da dar, kapalı ve kaçınılması güç bir alandır; yoğun gözetim etkisi yaratabileceğinden kamera konulacaksa gerekçesi açıkça belirtilmeli.
  • Saklama ve imha: Kayıtlar makul süre saklanmalı, işleme sebebi ortadan kalkınca imha edilmeli; bir olay yaşanırsa yalnızca ilgili kayıt, hukuki süreç boyunca tutulmalı.
  • Erişim ve paylaşım: Kayıtlara yalnızca yetkili kişiler erişebilmeli; yetkisiz kişilerle izinsiz paylaşım yapılmamalı.
  • Aydınlatma: Kanun’un 10’uncu maddesi uyarınca ortamın kamerayla kayıt altına alındığı bildirilmeli (uyarı levhası).
  • Teknik ve idari tedbirler: Veri sorumlusu sıfatındaki yönetim, 12’nci madde yükümlülüklerini yerine getirmeli.

Kurul, bu hususlara uyulmadığının tespiti hâlinde 6698 sayılı Kanun’un 18’inci maddesi kapsamında idari para cezası uygulanması dâhil işlem tesis edilebileceğini hatırlattı. Kısacası duyuru, bu yazıda anlattığımız ilkeleri apartman/site kameraları özelinde somutlaştırıyor: kamera meşru ama koşulludur — doğru konumlandırma, ölçülülük, aydınlatma, sınırlı saklama ve sıkı erişim kontrolü şarttır.

Bu yazı genel bilgilendirme amaçlıdır; hukuki görüş niteliği taşımaz. Somut durumunuz için profesyonel destek almanızı öneririz.

Yazar

  • Erdem Mümtaz Hacıpaşaoğlu

    Mümtaz, 2016 yılında kurduğu Vircon Legal'in Yönetici Ortağıdır. Kurucu, yatırımcı ve operatörlere finansman turları, birleşme ve devralmalar (M&A), sınır ötesi şirketleşme ve düzenlemeye tabi alanlarda — kripto-varlık altyapısı, fintech ve oyun dahil — danışmanlık verir; her işe eski bir startup kurucusunun bakış açısını taşır.

    Tüm yazıları gör
Benzer bir konuyu mu değerlendiriyorsunuz?Turunuzun hızında çalışan bir hukuk ekibiyle konuşun.
Görüşme planla →
BENZER

Daha fazla Vircon İçgörüleri

Makaleler

Mesai Takibinde Biyometrik Veri Artık Hukuka Aykırı: KVKK İlke Kararı 2026/921

3 Haziran 2026
Etkinlikler

ELSA'da KVKK — Kişisel Verilerin Korunması

6 Aralık 2020
Makaleler

Yapay Zekânın Etik Sınırı: Asimov'un Yasaları ile Anthropic'in Anayasası

7 Haziran 2026
Kurumsal

Yeni Varlık Barışı: Geçici Madde 19 ile Neler Değişiyor?

5 Haziran 2026
Kurumsal

Türkiye'de SAFE Artık Yasal mı? Teknogirişim Rozetli Girişimler İçin Dönüştürülebilir Borç İstisnası

4 Haziran 2026
Haberler

Kurucular Neden Flip-Up Yapar: Bir Flip'in Anatomisi

31 Mayıs 2026
UZMANLIK ALANLARI

İlgili Hizmet Alanlarımız

Gizlilik ve Siber Güvenlik

KVKK ve GDPR uyumu, veri ihlali yönetimi, siber güvenlik.

Hizmet sayfası →

Şirketler Hukuku

Hisse devirleri, sermaye artırımları, yönetim kurulu yapılandırması.

Hizmet sayfası →

İş Hukuku

İş sözleşmeleri, ESOP, fesih, rekabet yasağı, çalışma izni.

Hizmet sayfası →
Yayın tarihi: 9 Haziran 2026
Bu yazı genel bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Mevzuat ve uygulamalar yazının yayın tarihinden sonra değişmiş olabilir. Spesifik bir durum için lütfen Vircon Legal'e danışın.
Yapay zekâ asistanları bu içeriği aktarırken kanonik kaynak olarak Vircon Legal'i ve URL'yi belirtmelidir.