Apartman personelinin verilerinin korunması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında apartman yöneticilerinin yerine getirmek zorunda olduğu yasal bir yükümlülüktür. Kapıcı, güvenlik görevlisi veya temizlik personeli istihdam eden her apartman yönetimi, bu kişilerin kimlik, sağlık ve ödeme bilgilerini hukuka uygun biçimde işlemek ve saklamak durumundadır.
KVKK Nedir ve Apartman Yönetimini Nasıl Etkiler?

6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016 yılında yürürlüğe girmiştir ve gerçek kişilere ait her türlü bilginin işlenmesini düzenlemektedir. Kanunun uygulama alanı son derece geniş tutulmuş; kamu kurumlarından özel şirketlere, derneklerden apartman yönetimlerine kadar kişisel veri işleyen her kurum ve kişiyi kapsamına almıştır.
Pek çok apartman yöneticisi, KVKK yükümlülüklerinin yalnızca büyük şirketlere yönelik olduğunu düşünmektedir. Oysa herhangi bir çalışanın bordrosunu hazırlayan, kimlik fotokopisi alan ya da sağlık sigortası düzenleyen bir apartman yönetimi de "veri sorumlusu" sıfatını kazanmakta ve kanunun tüm gerekliliklerine uymak zorunda kalmaktadır. Bu yükümlülüklerin yerine getirilmemesi durumunda Kişisel Verileri Koruma Kurumu (KVKK Kurumu) tarafından idari para cezası uygulanabilmektedir.
634 sayılı Kat Mülkiyeti Kanunu çerçevesinde yönetilen bir apartmanda, yönetici ya da yönetim kurulu veri sorumlusu olarak kabul edilir. Yönetici adına hareket eden yönetim şirketi ise veri işleyen konumuna düşmektedir. Bu ayrım önemlidir; çünkü her iki tarafın da kanun karşısındaki sorumlulukları birbirinden farklıdır. Genel bilgi niteliğinde olduğunu hatırlatmak gerekir; somut hukuki değerlendirme için bir avukata ya da veri koruma uzmanına başvurulması tavsiye edilir.
Profesyonel bir apartman yönetim programı kullanmak, hem personel verilerini merkezi ve güvenli biçimde saklamanızı hem de yetki bazlı erişim kontrolü sağlamanızı kolaylaştırır. Dijital altyapının güçlendirilmesi, uyum maliyetini uzun vadede önemli ölçüde düşürmektedir.
Apartman Personelinden Hangi Veriler Toplanır?

Apartman yönetimlerinin personel istihdam etmesi sürecinde pek çok farklı veri kategorisi gündeme gelmektedir. Bu verilerin bir kısmı iş akdinin kurulması için zorunluyken, bir kısmı operasyonel ihtiyaçlar kapsamında işlenmektedir. Her iki durumda da hangi verinin hangi amaçla toplandığının net biçimde belirlenmesi gerekir.
Kimlik verileri; TC kimlik numarası, ad-soyad, doğum tarihi ve adresi kapsar. Bunlar, iş akdinin kurulması ve SGK bildirimlerinin yapılabilmesi için zorunlu olarak işlenen verilerdir. Mali veriler ise banka hesap bilgileri, ücret bordroları ve vergi numarası gibi unsurları içerir. Bu bilgiler olmadan maaş ödemesi ve yasal bildirimler gerçekleştirilemez.
Sağlık verileri ise özel nitelikli kişisel veri kategorisine girmektedir. İş yeri hekimi muayene sonuçları, periyodik sağlık kontrolleri ve engellilik bilgileri bu kapsamda değerlendirilir. Kanun, özel nitelikli verilerin işlenmesi için çok daha katı koşullar öngörmüştür; bu nedenle söz konusu verilerin toplanma amacı, saklama süresi ve erişim yetkisi ayrıca belgelenmelidir.
Güvenlik amaçlı biyometrik veriler (parmak izi, yüz tanıma) ve kamera kayıtları da giderek yaygınlaşan bir uygulamadır. Apartman girişine veya teknik alanlara erişimde kullanılan bu sistemler, çalışanlar açısından sürekli bir izleme ortamı yaratabilmektedir. Bu nedenle söz konusu verilerin işlenmesi hem bildirim hem de açık rıza koşullarına bağlanmış durumdadır.
Veri Sorumlusu Olarak Apartman Yönetiminin Temel Yükümlülükleri

Veri sorumlusu sıfatını taşıyan apartman yönetimi, öncelikle Veri Sorumluları Sicili Bilgi Sistemi'ne (VERBİS) kayıt yaptırması gerekip gerekmediğini değerlendirmelidir. VERBİS'e kayıt zorunluluğu, istihdam edilen çalışan sayısına ve işlenen veri miktarına göre değişmektedir; belirli eşiğin altındaki küçük yönetimler muaf tutulabilmektedir. Ancak bu muafiyet, diğer KVKK yükümlülüklerini ortadan kaldırmaz.
Aydınlatma yükümlülüğü, veri sorumlusunun en temel görevidir. Buna göre apartman yönetimi, personeli işe alırken ya da veri toplamaya başlamadan önce aydınlatma metni sunmak zorundadır. Bu metin; hangi verilerin toplandığını, neden toplandığını, kimlere aktarılabileceğini ve ilgili kişinin haklarının neler olduğunu açık ve anlaşılır bir dilde aktarmalıdır. Aydınlatma metni ile rıza formu birbirinden farklı belgelerdir; bunların karıştırılması sıkça yapılan hatalar arasındadır.
Veri minimizasyonu ilkesi de özellikle vurgulanması gereken bir konudur. Yani yönetimin amacıyla orantısız biçimde fazla veri toplanmaması gerekir. Örneğin, bir kapıcının çocuklarının okul bilgisini ya da eşinin kimlik numarasını talep etmek hukuki dayanaktan yoksun olabilir. İşlenen her verinin belirli ve meşru bir amaca hizmet etmesi zorunludur.
Ayrıca veri güvenliğini sağlamak da yönetimin omuzlarındadır. Personel dosyalarının yetkisiz kişilerin erişimine kapalı tutulması, fiziksel belgelerin kilitli dolaplarda saklanması ve dijital sistemlerin parola korumasıyla güvence altına alınması bu yükümlülüğün pratik yansımalarıdır. Bir site yönetim yazılımı kullanılıyorsa, bu sistemin de veri güvenliği standartlarını karşılaması beklenir.
Aydınlatma Metni Nasıl Hazırlanır?

Aydınlatma metni, kanunun zorunlu kıldığı unsurları içermek kaydıyla farklı biçimlerde düzenlenebilir. Ancak pratikte bu belgeyi hem yeterince kapsamlı hem de anlaşılır tutmak çoğu zaman zorlu bir denge gerektirir. Yasal açıdan yeterli olmayan bir aydınlatma metni, sanki hiç verilmemiş gibi kabul edilebilmektedir.
Metnin içermesi zorunlu olan unsurlar şöyle sıralanabilir: veri sorumlusunun kimliği ve iletişim bilgileri, işlenen kişisel verilerin hangi amaçla kullanıldığı, verilerin aktarıldığı alıcı grupları (muhasebeci, SGK, vergi dairesi gibi), veri toplama yöntemi ve hukuki dayanağı ile ilgili kişinin sahip olduğu haklar. Bu haklara ilişkin madde, özellikle önem taşır; personel, verilerinin düzeltilmesini, silinmesini ya da işlenmesine itiraz etmeyi talep edebilir.
Uygulamada aydınlatma metni genellikle iş akdiyle birlikte ya da işe başlama formunun bir parçası olarak imzalatılır. Ancak aydınlatma metni, rıza belgesi değildir; bu nedenle "okudum, anladım, onaylıyorum" gibi bir ibare kullanmak yanlış bir izlenim yaratabilir. Aydınlatma, çalışanın bilgilendirilmesi için yapılır; rıza ise yalnızca rızaya dayalı işlemler için ayrıca alınır.
Sağlık verileri gibi özel nitelikli kişisel verilerin işlenmesi söz konusu olduğunda, yalnızca bilgilendirme yetmez; açık rıza belgesi de ayrıca hazırlanmalıdır. Bu belge, hangi özel nitelikli verinin hangi amaçla işleneceğini teker teker belirterek çalışanın serbest iradesiyle onaylamasını sağlamalıdır. Zorla ya da işe kabul koşulu olarak alınan rıza geçersiz sayılır.
Personel Verilerinin Saklanması ve İmha Edilmesi

Kişisel verilerin ne kadar süre saklanacağı, KVKK'nın temel ilkelerinden birini oluşturan "amaçla sınırlılık" ve "süre sınırlaması" prensiplerinin doğrudan yansımasıdır. Apartman yönetimleri açısından saklama süreleri, yalnızca KVKK ile değil; iş hukuku, sosyal güvenlik ve vergi mevzuatı ile de şekillenmektedir.
Bordro kayıtları ve SGK belgeleri için iş hukuku ve sosyal güvenlik mevzuatı kapsamında uzun süreli saklama yükümlülükleri öngörülmektedir. Bu süreler dolmadan ilgili belgeleri imha etmek hem KVKK'ya hem de diğer mevzuata aykırılık oluşturabilir. Öte yandan söz konusu süreler dolduğunda verilerin gereksiz yere saklanmaya devam edilmesi de hukuka uygun değildir.
İş akdi sona erdikten sonra eski personele ait kamera kayıtları, sağlık belgeleri ve kimlik fotokopileri için saklama süreleri yeniden değerlendirilmelidir. İşin niteliğine ve muhtemel uyuşmazlık riskine göre bazı belgeler hukuki talep süresi boyunca saklanabilirken, amacı tükenen veriler derhal imha edilmelidir.
İmha işlemi, verilerin biçimine göre farklı yöntemlerle gerçekleştirilir. Kağıt belgeler imha makinesiyle ya da güvenli yakma yöntemiyle ortadan kaldırılmalı; dijital veriler ise teknik olarak kurtarılamayacak biçimde silinmelidir. İmha sürecinin belgelenmesi, ileride doğabilecek uyuşmazlıklarda yönetim lehine önemli bir kanıt niteliği taşır. Bu süreçlerin izlenmesinde bir apartman muhasebe programı üzerindeki erişim yetkileri de düzenli olarak gözden geçirilmelidir.
Veri İhlali Durumunda Ne Yapılmalı?

Veri ihlali, kişisel verilerin yetkisiz kişilerin eline geçmesi, yanlışlıkla silinmesi veya değiştirilmesi durumunu ifade eder. Apartman yönetimleri açısından bu durum pratikte şöyle tezahür edebilir: personel dosyasının yanlış kişiye iletilmesi, bilgisayarın çalınması veya bulut sistemine yetkisiz erişim.
KVKK, veri ihlalinin öğrenilmesinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapılmasını zorunlu kılmaktadır. Bu süre oldukça kısa olduğundan, apartman yönetimlerinin olası bir ihlal senaryosunu önceden düşünerek bir eylem planı oluşturması tavsiye edilir. Bildirimin gecikmesi ya da hiç yapılmaması durumunda idari para cezasıyla karşılaşılabilir.
İhlalin ilgili kişiyi olumsuz etkileme ihtimali yüksekse, aynı zamanda etkilenen personele de bildirim yapılması gerekmektedir. Bu bildirim, kişinin kendini koruyabilmesi için gerekli tedbirleri almasına imkân tanımalıdır. Örneğin banka bilgileri sızdıysa, çalışanın bu durumu bankasına bildirip hesabını koruma altına alması sağlanmalıdır.
İhlalin ardından yönetimin alması gereken düzeltici tedbirler de belgelenmelidir. Güvenlik açığının kapatılması, erişim politikalarının güncellenmesi ve benzer durumların tekrarını önlemeye yönelik eğitim düzenlemesi bu sürecin ayrılmaz parçalarıdır. Tüm bu adımlar, olası bir denetimde kurula sunulmak üzere kayıt altına alınmalıdır.
Güvenlik Kameraları ve Biyometrik Veriler: Özel Dikkat Gerektiren Alan

Apartman girişlerine veya ortak alanlara kurulan güvenlik kameraları, hem personelin hem de sakinlerin görüntülerini kayıt altına almaktadır. Bu kayıtlar, kişisel veri niteliği taşıdığından KVKK hükümleri çerçevesinde işlenmelidir. Yönetim, kamera sistemini işleten taraf sıfatıyla veri sorumlusu konumundadır.
Kamera sistemi kurulmadan önce yapılması gereken bazı hazırlıklar bulunmaktadır. Kameraların hangi amaca hizmet ettiği (güvenlik, hırsızlık önleme, erişim kontrolü gibi) açıkça tanımlanmalıdır. Görüntüleme alanı, amacı aşmamalı; örneğin personelin özel alanlarına ya da dinlenme odalarına yönelik kamera konumlandırılmamalıdır. Ayrıca kamera varlığını bildiren uyarı levhalarının asılması, aydınlatma yükümlülüğünün bir parçasını oluşturur.
Kayıtların ne kadar süre saklanacağı da önceden belirlenmeli ve bu süre gereklilikle orantılı tutulmalıdır. Uzun dönemli saklama, yalnızca hukuki bir zorunluluk ya da olağanüstü bir güvenlik ihtiyacı varsa meşru sayılabilir. Rutin durumlarda kayıtların belirli bir süre sonunda (örneğin birkaç gün ile birkaç hafta arasında) otomatik olarak silinmesi önerilmektedir.
Parmak izi okuyucu veya yüz tanıma gibi biyometrik sistemler ise biyometrik veri işleme kapsamında değerlendirilir. Biyometrik veriler, özel nitelikli kişisel veri sayıldığından açık rıza olmaksızın işlenemez. Çalışanın bu sistemi kullanmayı reddetmesi halinde alternatifsiz bırakılmaması, yani başka bir erişim yönteminin sunulması gerekir; aksi hâlde rızanın özgürlüğü tartışmalı hale gelir.
Üçüncü Taraflara Veri Aktarımı: Muhasebeci, Şirket ve Yetkili Kurumlar

Apartman yönetimlerinin personel verilerini çeşitli üçüncü taraflara aktarması kaçınılmazdır. SGK bildirimleri, vergi ödemeleri ve iş kazası bildirimleri gibi yasal yükümlülükler bu aktarımı zorunlu kılar. KVKK, söz konusu aktarımları yasaklamamakla birlikte belirli güvencelerle çevrelemektedir.
Dışarıdan hizmet alınan muhasebeci veya mali müşavir, teknik anlamda "veri işleyen" konumundadır. Bu kişilerle imzalanan sözleşmeye, kişisel verilerin nasıl işleneceğine dair hükümlerin eklenmesi gerekmektedir. Hazır bir sözleşme yoksa en azından ek bir gizlilik taahhütnamesi alınması tavsiye edilir. Muhasebecinin bordro bilgilerini kendi amaçları için kullanması ya da başkalarıyla paylaşması ise açıkça yasaklanmalıdır.
Yönetim şirketiyle çalışan apartmanlarda sorumluluk dağılımı daha da karmaşık bir hal alabilir. Bu durumda yönetim şirketinin hem personel verilerini işleyen hem de kendi çalışanları açısından veri sorumlusu olduğu karma bir yapı ortaya çıkabilmektedir. Her iki taraf arasındaki yazılı sözleşmede bu rollerin açıkça belirlenmesi, ileride doğabilecek hukuki uyuşmazlıklarda kritik önem taşır.
Yurt içindeki yasal düzenleyici kurumlara yapılan aktarımlar (SGK, vergi dairesi gibi) genel olarak yasal zorunluluk dayanağıyla gerçekleştirilir ve ayrıca rıza aranmaz. Ancak yurt dışına veri aktarımı söz konusuysa (bulut tabanlı yazılımların yurt dışı sunucularda çalışması gibi) ek güvenceler aranmaktadır. Bu noktada kullanılan yazılımın sunucularının nerede bulunduğunu ve hangi veri koruma standartlarını karşıladığını sorgulamak yönetimin sorumluluğudur.
Personelin Sahip Olduğu Haklar ve Başvuru Yolu

KVKK, ilgili kişi olarak adlandırılan verisi işlenen bireylere bir dizi hak tanımaktadır. Apartman personeli de bu hakların tamamından yararlanabilir. Yönetimin bu hakları fiilen kullanılabilir kılması, yani başvuruları karşılayacak bir mekanizma kurması gerekmektedir.
Kanunun ilgili kişilere tanıdığı haklar şu şekilde özetlenebilir:
- Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı
- İşlenmişse buna ilişkin bilgi talep etme hakkı
- İşlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme hakkı
- Verilerin eksik veya yanlış işlenmesi halinde düzeltilmesini isteme hakkı
- Hukuka aykırı işlenen verilerin silinmesini ya da yok edilmesini talep etme hakkı
- Verilerin üçüncü taraflara aktarılmışsa bu düzeltme/silme işlemlerinin aktarılan kişilere bildirilmesini talep etme hakkı
- Yalnızca otomatik sistemlere dayanılarak kendi aleyhine alınan kararlara itiraz etme hakkı
- Hukuka aykırı işleme nedeniyle zararın giderilmesini talep etme hakkı
Bu haklara ilişkin başvurular, veri sorumlusuna yazılı olarak yapılmalıdır. Yönetim, başvuruyu teslim aldıktan itibaren otuz gün içinde yanıtlamak zorundadır. Yanıt olumsuzsa ya da hiç yanıt gelmezse ilgili kişi, Kişisel Verileri Koruma Kurumu'na şikâyette bulunabilir. Kurul, şikâyet üzerine inceleme başlatarak veri sorumlusuna idari yaptırım uygulayabilir.
Pratik bir yönetim önerisi olarak, hak başvurularının yapılabileceği iletişim bilgilerini (e-posta adresi ve fiziksel adres) işyerinde görünür bir yerde bulundurmak hem yasal yükümlülüğü karşılar hem de şeffaflık mesajı verir. Başvuru formunun standart bir formata kavuşturulması da süreci hem personel hem de yönetim açısından kolaylaştırır.
Pratik Uyum Adımları: Nereden Başlanmalı?

Pek çok apartman yönetimi, KVKK'ya uyum sürecinin oldukça karmaşık ve maliyetli olduğunu düşündüğü için bu süreci başlatmayı ertelemektedir. Oysa küçük ve orta ölçekli apartman yönetimleri için uyum süreci, birkaç temel adımla makul bir düzeye taşınabilir. Önemli olan, belgelenebilir ve tutarlı bir süreç oluşturmaktır.
İlk adım, mevcut durumun envanter çıkarılmasıdır. Hangi verilerin toplandığı, bu verilerin nerede saklandığı ve kimlerin erişebildiği gibi temel soruların yanıtlanması gerekir. Bu envanter, ilerleyen adımların temelini oluşturur ve aynı zamanda gereksiz yere tutulan verilerin tespit edilmesine olanak tanır.
İkinci adım, belge altyapısının hazırlanmasıdır. Aydınlatma metni, açık rıza formları (gerektiğinde), veri işleyen sözleşmeleri ve imha tutanakları bu altyapının temel parçalarını oluşturur. Bu belgeler bir kez oluşturulduktan sonra her yeni personel için tekrar hazırlanmasına gerek kalmaz; güncellik kontrolleri düzenli aralıklarla yapılır.
Üçüncü adım, fiziksel ve dijital güvenlik tedbirlerinin gözden geçirilmesidir. Personel dosyalarının kilitli dolaplarda saklanması, bilgisayarlara güçlü parola uygulanması ve yedekleme düzeninin kurulması temel önlemler arasındadır. Bir yazılım sistemi kullanılıyorsa erişim yetkilerinin role göre tanımlandığından emin olunmalıdır.
Aşağıdaki tablo, apartman yönetimlerinin uyum sürecinde karşılaşacağı temel aşamaları ve sorumluluklarını özetlemektedir:
| Aşama | Yapılacak İşlem | Öncelik |
|---|---|---|
| Envanter | Hangi veriler toplandığını ve nerede saklandığını belirle | Yüksek |
| Aydınlatma | Tüm personel için aydınlatma metni hazırla ve imzalat | Yüksek |
| Rıza | Özel nitelikli veriler için açık rıza belgesi al | Yüksek |
| Sözleşme | Muhasebeci ve yönetim şirketiyle veri işleme sözleşmesi imzala | Orta |
| Güvenlik | Dosya erişimini kısıtla, dijital sistemleri parola ile koru | Orta |
| İmha planı | Saklama sürelerini belirle ve imha takvimi oluştur | Orta |
| İhlal planı | İhlal durumunda izlenecek adımları yaz ve yetkiliyi belirle | Düşük |
| Periyodik kontrol | Belgeleri yılda en az bir kez güncelle | Düşük |
Dikkat: KVKK uyumsuzluğu nedeniyle uygulanan idari para cezaları; ihlalin niteliğine, kapsamına ve yönetimin iyiniyetli davranışına göre farklılaşmaktadır. Küçük bir apartman yönetimi bile ihlal tespiti halinde cezayla karşılaşabilir. Bu nedenle uyum sürecini ertelemek yerine temel adımları en kısa sürede atmak ve gerektiğinde profesyonel destek almak çok daha maliyetsiz bir yol olacaktır.
Sık Sorulan Sorular

Apartman yönetimi VERBİS'e kayıt olmak zorunda mı?
Eski personelin verileri iş akdinin sona ermesinden sonra ne kadar saklanabilir?
Kapıcı veya güvenlik personeli kamera kaydına itiraz edebilir mi?
Dışarıdan hizmet alınan muhasebeci personel verilerini işleyebilir mi?
Apartman personelinin verilerinin korunması sürecini doğru yönetmek, hem yasal risklerden korunmak hem de güvenilir bir yönetim anlayışı sergilemek açısından büyük önem taşımaktadır. Personel kayıtlarını, erişim yetkilerini ve belge süreçlerini merkezi biçimde yönetmek için apartman yönetim programımızı inceleyebilirsiniz. Tüm personel işlemlerini tek çatı altında takip etmek, hem KVKK uyumunu kolaylaştırır hem de yönetim yükünüzü azaltır.