KVKK - Ortak Alanlarda Apartman/Site Sakinlerine Ait Borç Bilgilerinin İlan Edilmesine İlişkin Kurul İlke Kararı Hakkında

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından tesis edilen 18/02/2026 tarihli 2026/348 sayılı İlke Kararı, Resmi Gazete’nin 31.03.2026 tarihli ve 33210 sayılı nüshasında yayımlanmış olup kararda apartman, site ve benzeri toplu yaşam alanlarında aidat, yönetim gideri vb. nedenlerle borçlu olanların listelerinin asansör, bina girişi ve koridor gibi ortak alanlarda ilanı suretiyle gerçekleştirilen veri işleme faaliyetlerine ilişkin çok önemli hukuki sınırlar çizilmiştir. Kurul, yaptığı incelemelerde veri sorumlularının sıklıkla başvurduğu bu yöntemin, kişisel verilerin korunması mevzuatına açıkça aykırılık teşkil ettiğini saptamış ve doğru uygulamalara yönelik bağlayıcı yönlendirmelerde bulunmuştur.

Kararın temelini, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 4. maddesinde düzenlenen ve kişisel verilerin işlenmesinde uyulması zorunlu olan "Genel İlkeler" oluşturmaktadır. Bu kapsamda; verilerin hukuka ve dürüstlük kurallarına uygun olması, belirli ve meşru amaçlar için işlenmesi ile özellikle "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesine riayet edilmesi hukuki bir gerekliliktir. Ölçülülük ilkesi uyarınca, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir denge kurulmalı ve amaçla ilgili olmayan veriler işleme sürecine dahil edilmemelidir. Kanun’un 5. maddesi ise kişisel verilerin işlenmesi için ilgili kişinin açık rızasını aramakla birlikte; kanunlarda açıkça öngörülmesi veya bir hakkın tesisi, kullanılması ve korunması gibi belirli şartların varlığı halinde açık rıza aranmaksızın veri işlenmesine imkan tanımaktadır.

Buna ek olarak, Kanun’un 12. maddesi uyarınca veri sorumluları; kişisel verilerin hukuka aykırı olarak işlenmesini ve verilere hukuka aykırı olarak erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla her türlü teknik ve idari tedbiri almakla yükümlüdür. Bu yükümlülük, işlenen verilerin türüne göre geçerli bir hukuki sebebe dayanılmasını gerektirdiği gibi, verilerin yetkisiz üçüncü kişilerle paylaşılmasını engelleyecek güvenlik düzeyinin temin edilmesini de kapsamaktadır.

Kararda; yöneticilerin kat maliklerine karşı bir vekil gibi sorumlu olduğu, belirli aralıklarla gelir ile giderlere ilişkin hesap verme yükümlülüğünün bulunduğu ve kat maliklerinin de yöneticiyi devamlı suretle denetleme hak ve yetkisini haiz olduğu belirtilmiştir. Bu kapsamda; apartman sakinlerinin aidat, avans veya demirbaş gibi borçlarına yönelik gerekli bilgilendirmenin yapılması amacıyla; ad-soyad, daire numarası, borç miktarı, ödeme gecikme süresi, dönem sayısı ve daire sahiplik/kiracılık bilgisi gibi kişisel verilerin diğer kat malikleriyle paylaşılmasının, Kanun’un 5. maddesinin ikinci fıkrasının (a) bendinde yer alan “kanunlarda açıkça öngörülmesi” ve (e) bendinde bulunan “bir hakkın tesisi, kullanılması veya korunması” şartları kapsamında hukuka uygun olduğu ifade edilmiştir. Ancak Kurul; kanunlardan kaynaklanan bir bilgilendirme yükümlülüğü yerine getirilirken dahi, söz konusu bilgilendirmenin gereğinden fazla kişisel veri içermemesini, Kanun’un 4. maddesindeki genel ilkelere uygun olmasını ve konuyla alakası bulunmayan yetkisiz üçüncü kişilerin bu verilere erişiminin engellenmesi gerektiğini vurgulamıştır.

Uygulamada sıklıkla görülen; borçlu listelerinin asansörler, bina girişleri ve koridorlar gibi ortak yerlere asılması faaliyeti, bu alanların misafirler, kargo personelleri ve kuryeler gibi yetkisiz üçüncü kişilerin erişimine açık olması sebebiyle hukuka aykırı bir ifşa olarak nitelendirilmiştir. Nitekim listelerde kişilerin ad ve soyadı bulunmasa dahi, daire numarasıyla eşleştirilmiş borç bilgilerinden kişilerin belirlenebilir olması, bu bilgilerin "kişisel veri" niteliğini koruduğu anlamına gelmektedir. Dolayısıyla Kurul; bu tür listelerin muhatabı belirli olmayan bir kesime ifşa edilmesinin, Kanun’un 12. maddesinde düzenlenen "uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri alma" yükümlülüğünün ihlali olarak değerlendirmiştir. Kurul; söz konusu bilgilendirmelerin Kanun’un 12. maddesine uygun şekilde yerine getirilebilmesi adına, üçüncü kişilerin erişimine kapalı olan e-posta, kapalı mesajlaşma grupları veya bu hizmete özgülenmiş mobil uygulamalar gibi güvenli yöntemlerin kullanılmasının zorunlu olduğu kanaatine varmıştır. Bu doğrultuda;

• Ortak alanlarda borç listesi ilan edilmesi uygulamalarına ivedilikle son verilmesi,

• Hali hazırda asılı bulunan tüm duyuru, liste ve dokümanların toplu yapıların ortak yerlerinden derhal kaldırılması,

• Kat maliklerine yönelik bilgilendirmelerin, yalnızca ilgili kişilerin erişebileceği güvenli usullerle yürütülmesi,

gerektiği sonucuna varılmıştır.

Bu çerçevede Kurul; yukarıda belirtilen esasların kişisel verilerin hukuka uygun işlenmesini ve güvenliğinin sağlanmasını teminen alınması gereken kritik teknik ve idari tedbirler arasında olduğunu ilan etmiştir. Bu kriterlere aykırı hareket edildiğinin tespiti halinde, ilgili veri sorumluları (apartman ve site yönetimleri) hakkında Kanun’un 18. maddesi uyarınca yasal işlem tesis edileceği ve idari yaptırımların uygulanabileceği hususu kamuoyuna ilgili kararla duyurulmuştur.

Kararın tamamına  buradan  ulaşabilirsiniz.