AVM yönetimi, müşterilere ait kişisel verileri — alışveriş geçmişi, sadakat kartı bilgileri, kamera görüntüleri veya ziyaret sıklığı gibi verileri — mağazalarla ancak belirli hukuki sebeplere dayanarak paylaşabilir. Kural olarak açık rıza alınmamışsa bu paylaşım büyük ölçüde yasaktır. KVKK (6698 Sayılı Kişisel Verilerin Korunması Kanunu) bu alanda hem AVM yönetimine hem de kiracı firmalara ciddi yükümlülükler getirmektedir. Bu makalede hangi verinin paylaşılabileceğini, hangi koşulun arandığını ve kiracı olarak nereye itiraz edebileceğinizi adım adım ele alıyoruz.
KVKK Nedir ve AVM-Mağaza İlişkisinde Neden Önemlidir?

6698 Sayılı Kişisel Verilerin Korunması Kanunu, bir gerçek kişiye ait her türlü bilgiyi "kişisel veri" olarak tanımlar ve bu verinin işlenmesini, saklanmasını ile üçüncü taraflara aktarılmasını kurallara bağlar. AVM ortamında çok sayıda farklı veri türü toplanmaktadır: sadakat programı üyelik formları, Wi-Fi giriş kayıtları, güvenlik kamerası görüntüleri, online rezervasyon sistemleri ve ziyaretçi anket formları bunların başında gelir. Bu verilerin bir kısmı doğrudan AVM yönetimi tarafından toplanırken bir kısmı kiracı mağazalar tarafından bağımsız olarak elde edilmektedir.
KVKK açısından belirleyici olan soru şudur: Veriyi toplayan kim, işleme amacı ne ve bu amaç dışında başka bir aktara (örneğin AVM'deki diğer mağazalara) yapılacak transfer için yeterli hukuki dayanak mevcut mu? Kanun, her veri işleme faaliyetini ayrı bir hukuki sebebe bağlamaktadır; bu nedenle "ben veriyi zaten topladım, paylaşabilirim" mantığı KVKK kapsamında geçerli değildir. AVM yönetiminin elinde bir müşterinin iletişim bilgisi bulunsa dahi, bu bilgiyi kiracı mağazaların pazarlama faaliyetleri için kullanmasına izin vermek ayrı bir hukuki gerekçe gerektirir.
Kiracı konumundaki mağaza veya ofis firmaları için bu ayrım özellikle önem taşır. Yönetimin size müşteri listesi, e-posta veritabanı veya ziyaretçi profili sunması kulağa avantajlı gelir; ancak bu transferin yasal zemine oturtulmamış olması durumunda alıcı taraf olan siz de ihlalden sorumlu tutulabilirsiniz. KVKK, veriyi aktaran kadar veriyi alan tarafın da yükümlülüklerini düzenlemektedir.
Kişisel Verileri Koruma Kurumu (KVKK Kurumu), AVM sektörüne yönelik çeşitli rehberler ve karar örnekleri yayımlamıştır. Bu kararlar, özellikle kamera görüntülerinin üçüncü taraflarla paylaşımı ve sadakat programı verilerinin kiracılara iletilmesi konularında emsal niteliği taşımaktadır. Herhangi bir aktarım gerçekleştirmeden önce güncel Kurul kararlarını takip etmek, hem yönetim hem de kiracı açısından zorunlu bir adımdır.
Hangi Veriler "Müşteri Verisi" Sayılır?

AVM ortamında "müşteri verisi" derken yalnızca ad-soyad ve telefon numarasını kastetmiyoruz. KVKK kapsamındaki veri türleri çok daha geniştir. Ziyaretçinin AVM içindeki konum hareketleri (beacon veya Wi-Fi üzerinden), alışveriş sepeti içeriği, fatura bilgileri, demografik bilgiler (yaş grubu, cinsiyet) ve hatta belirli bir kişiyle ilişkilendirilebilir anonim gibi görünen veriler de kanunun koruma alanına girebilir.
Özellikle güvenlik kamerası görüntüleri, son yıllarda Kurul'un sıklıkla ele aldığı bir veri türüdür. Yüz tanıma teknolojisinin devreye girmediği standart güvenlik kamerasında bile kişinin AVM içindeki konum ve hareket bilgisi üretilebiliyorsa bu veri kişisel veri sayılır. Yönetimin bu görüntüleri kiracı güvenlik birimlerine açması için yeterli gerekçe göstermesi gerekir; her kiracının "bizim mağazamızın önündeki görüntüleri de istedik" talebini karşılamak bu gerekçeyi otomatik olarak sağlamaz.
Sadakat kartı programları ise en tartışmalı alan olmaya devam etmektedir. Bir müşteri AVM'nin ortak sadakat programına kayıt olduğunda, üyelik sözleşmesinde açıkça belirtilmediği sürece verilerinin bireysel mağazalarla ticari pazarlama amacıyla paylaşıldığını kabul etmiş sayılmaz. Bu müşteriyi bir mağazanın SMS kampanyasına dahil etmek için ayrı bir açık rıza gerekir. AVM yönetiminin bu adımı atlamış olması, kiracı mağazayı da riske sokar.
Anonim istatistiksel veriler ise farklı bir kategoridedir. "Bu hafta sonu AVM'ye 45.000 ziyaretçi geldi" veya "kadın ziyaretçilerin yüzde altmışı katı X'te yoğunlaştı" gibi toplu ve kişiyle ilişkilendirilemeyen veriler KVKK kapsamına girmez ve yönetim tarafından kiracılarla serbestçe paylaşılabilir. Kiracı olarak istatistiksel veri talep etmek, kişisel veri talep etmekten çok daha güvenli bir zemindir.
Veri Aktarımı İçin Hangi Hukuki Sebepler Geçerlidir?

KVKK, kişisel verilerin üçüncü taraflara aktarılabilmesi için sınırlı sayıda hukuki sebep öngörmektedir. Bunların en güçlüsü ve en açık olanı "açık rıza"dır. Müşteri, hangi verisinin kim tarafından hangi amaçla kullanılacağını önceden bilmeli ve buna özgür iradesiyle onay vermelidir. Bu rızanın; koşulsuz, aydınlatmaya dayalı ve belirli bir amaç için alınmış olması gerekir. Genel geçer "verilerimi işleyebilirsiniz" onayı yetmez; "verilerim X mağazasının pazarlama faaliyetleri amacıyla o mağazayla paylaşılabilir" ifadesine yakın spesifik bir beyan aranır.
Bir diğer hukuki dayanak "meşru menfaat"tir; ancak bu alanın AVM-kiracı ilişkisinde çok temkinli kullanılması gerekir. Meşru menfaat gerekçesiyle veri aktarımı yapabilmek için AVM yönetiminin, bu aktarımın müşterinin temel hak ve özgürlüklerini zedelemediğini somut biçimde ispat etmesi gerekir. Bir kiracıya pazarlama amacıyla müşteri listesi iletmek, meşru menfaat gerekçesiyle kolay savunulabilir bir eylem değildir.
Sözleşmenin ifası gerekçesi de zaman zaman gündeme gelir. Müşteri AVM'deki bir mağazadan ürün satın alırken teslimatta başka bir firmayı devreye giriyorsa, bu firma ile bilgi paylaşımı sözleşmenin gereğidir. Ancak bu, yönetimin kendi topladığı bağımsız verileri kiracıyla paylaşması için değil; kiracının kendi müşterisine dair veriyi lojistik ortağıyla paylaşması için geçerli bir gerekçedir. İkisini karıştırmamak gerekir.
Özetle kiracı mağaza olarak şunu bilmeniz gerekir: AVM yönetimi size müşteri kişisel verisi aktarıyorsa, bu aktarımın hangi hukuki sebebe dayandığını sormak hem hakkınız hem de sorumluluğunuzdur. Gerekçe belirsizse veya yoksa, o veriyi işlemek sizi de KVKK ihlali riskine sokar.
Kiracı Olarak Haklarınız ve Yapmanız Gerekenler

Kiracı konumundaki bir mağaza veya ofis firması olarak, AVM yönetiminin size sunduğu verilerle ilgili bazı temel haklara sahipsiniz. Her şeyden önce, yönetimden bu veri aktarımının hangi hukuki sebebe dayandığını yazılı olarak öğrenme hakkınız bulunmaktadır. KVKK'nın ilgili hükümleri uyarınca veri sorumlusu sıfatıyla hareket eden AVM yönetimi, bu talebi yanıtsız bırakamaz.
Kira sözleşmenizde veya ek protokollerde "müşteri verileri paylaşılacak" veya "ortak pazarlama faaliyetleri yürütülecek" gibi maddeler bulunuyorsa, bu maddelerin KVKK uyumunu sağlayıp sağlamadığını bağımsız bir hukuk danışmanına inceletmenizi öneririz. Sözleşmede yer alması, eylemin yasal olduğu anlamına gelmez; zira taraflar arası anlaşma, kanunun emredici hükümlerinin önüne geçemez.
Eğer yönetim size müşteri verisi aktardıysa ve bu aktarımın hukuki dayanaklarından emin değilseniz, bu verilerle herhangi bir pazarlama faaliyeti başlatmadan önce kendi veri koruma politikanızı güncellemeniz ve KVKK danışmanınıza danışmanız gerekir. Aksi hâlde Kurul'un denetiminde hem AVM yönetimi hem de siz birlikte muhatap konumuna düşebilirsiniz. Daha fazla bilgi için yönetim değişiminde verilerin güvenli devri başlıklı makalemizi inceleyebilirsiniz.
Ayrıca sizi ilgilendiren müşteri verilerinin toplanmasında kendiniz veri sorumlusu olduğunuzda — örneğin mağazanıza ait sadakat kartı programınızda — o müşteri verilerini AVM yönetimiyle paylaşmamanız da aynı kurallar çerçevesinde değerlendirilir. Veri akışı tek yönlü değildir; yönetimden aldığınız kadar verdiğiniz konusunda da dikkatli olmalısınız.
AVM Yönetiminin Yapabileceği ve Yapamayacağı Şeyler

AVM yönetiminin müşteri verilerini işleme ve paylaşma konusundaki yetkisi, hukuki çerçeve içinde belirli bir alana sıkışmıştır. Yönetim; güvenlik amacıyla kamera görüntüsü tutabilir, ziyaretçi sayım sistemleri çalıştırabilir, Wi-Fi ağı üzerinden bağlantı istatistikleri derleyebilir ve sadakat programı kapsamında üyelik bilgilerini kendi sisteminde saklayabilir. Bunların tamamı, aydınlatma yükümlülüğünü yerine getirmiş ve gizlilik politikasında belirtilmiş olmak kaydıyla meşrudur.
Ancak yönetim; müşteri isim-iletişim bilgisi listesini kiracılara ticari pazarlama amacıyla aktaramaz, bir müşterinin hangi mağazadan alışveriş yaptığına dair profil oluşturup bunu diğer kiracılarla paylaşamaz, kamera görüntülerini güvenlik dışı bir amaçla (örneğin mağaza satış optimizasyonu) kiracılara sunamaz ve biyometrik veri içeren hiçbir sistemi açık rıza ve Kurul onayı olmaksızın işletemez. Bu sınırların aşılması, doğrudan Kurul'a şikâyet konusu olabilecek ihlallerdir.
Yönetimin bu sınırları zorlayan uygulamalar önerdiği durumlarda kiracı olarak itiraz hakkınızı kullanabilirsiniz. Yazılı bir bildirimle durumu belgelemek ve KVKK Kurumu'na başvuru yolunu açık tutmak hem kendinizi hem de müşterilerinizi koruyacaktır. Yöneticinin tek başına alabileceği kararların sınırlarını yönetici yetki sınırları başlıklı makalemizde de ayrıca ele aldık.
Ortak Pazarlama Faaliyetlerinde Doğru Model Nasıl Kurulur?

AVM bünyesindeki mağazalar arasında ortak pazarlama yapmak yasadışı değildir; yasal bir çerçeveye oturtulması gerekir. Bunun en temiz yolu, müşteriyle kurulan ilk temas noktasında — üyelik formu, mobil uygulama kaydı veya QR kod taraması — kiracı bazlı ayrıştırılmış rıza mekanizması kurmaktır. Müşteri; "Site A'nın pazarlama iletişimlerini almak istiyorum", "Site B'nin kampanyalarından haberdar olmak istiyorum" gibi seçenekleri ayrı ayrı işaretleyebilmelidir. Bu model, hem KVKK'ya uygun hem de müşteri deneyimi açısından şeffaf bir yapı sunar.
Ortak sadakat programı modelinde ise genellikle bir "veri işleyici" sıfatıyla AVM yönetimi, her kiracı için ayrı veri akışı oluşturur ve her akışın meşru sebebini belgeler. Bu tür programlarda imzalanacak veri işleme sözleşmesi (Data Processing Agreement) kiracının da yükümlülüklerini açıkça tanımlamalıdır. Kiracı olarak bu sözleşmeyi okumadan, "zaten AVM yönetimi halletti" demek sizi olası bir ihlalden korumaz.
Pazarlama amaçlı ortak e-posta veya SMS gönderimi yapılacaksa gönderim listesinin kaynağı, rıza tarihleri ve rıza metni arşivinin erişilebilir olması gerekir. Bir müşteri şikâyeti veya Kurul denetimi geldiğinde "rıza vardı" demek yetmez; bunu belgelemeniz gerekir. Bu nedenle ortak pazarlama başlatmadan önce rıza kayıtlarını kiracı bazında ayrıştıran bir yönetim sistemi kurulması hem AVM yönetimine hem de kiracılara koruma sağlar.
Uygulamada en sık karşılaşılan sorun, yönetimin topluca tek bir "genel onay" mekanizması kurması ve bunu tüm kiracılar için yeterli saymasıdır. Bu yaklaşım Kurul tarafından daha önce yetersiz bulunmuştur. Kiracı olarak "ben bu kampanyaya dahil edilmek istemiyorum" deme hakkınız her zaman mevcuttur ve yönetim bunu engelleyemez.
KVKK İhlallerinde Sorumluluk Kime Ait?

KVKK ihlallerinde sorumluluk, fiilin kim tarafından gerçekleştirildiğine ve kimin veri sorumlusu sıfatını taşıdığına göre belirlenir. AVM yönetimi; kendi topladığı ve işlediği verilerin sorumlusudur. Kiracı ise kendi mağazasının topladığı verilerin sorumlusudur. Ancak bir aktarım söz konusu olduğunda, aktaranın ve alanın sorumlulukları iç içe geçebilir.
Kurul, daha önce verdiği çeşitli kararlarda, hukuki dayanak olmaksızın veri aktaran tarafın yanı sıra bu veriyi alarak işleyen tarafı da sorumlu tutmuştur. "Bana verildi, ne bileyim" savunması geçerli kabul edilmemiştir. Bu nedenle bir kiracı olarak size sunulan müşteri verisinin kaynağını ve bu verinin aktarım gerekçesini sormak yalnızca iyi niyet göstergesi değil, yasal bir zorunluluktur.
Yaptırımlar açısından Kurul, ihlal boyutuna göre idari para cezası uygulamakta, veri işlemeyi durdurma kararı verebilmekte ve ağır durumlarda kamuoyuyla paylaşımlı karar yayımlamaktadır. Bu tür kararlar, özellikle perakende sektöründe ciddi itibar hasarına yol açabilmektedir. Kiracı veya mağaza sahibi olarak "ben küçüğüm, beni denetlemezler" düşüncesi risk faktörünüzü azaltmaz; zira şikâyetler hem rakipler hem de mağdur müşteriler tarafından Kurul'a iletilebilir.
Kira Sözleşmesine Hangi Maddeyi Ekletmelisiniz?

Çok sayıda kiracı, kira sözleşmesini imzalarken veri paylaşımına ilişkin maddeleri gözden kaçırmaktadır. Özellikle büyük AVM gruplarının standart sözleşmelerinde "ortak pazarlama ve veri paylaşımı" başlıklı bir ek protokol bulunabilmektedir. Bu protokolü dikkatlice okumanız ve KVKK uyumunu sorgulamanız gerekir.
Eğer kira sözleşmesine ek bir madde ekletme fırsatınız varsa, aşağıdaki gibi bir formülasyon sizi koruma altına alır:
"Kiracıya ait müşteri kişisel verileri yalnızca kiracının yazılı onayı ve 6698 Sayılı KVKK kapsamında geçerli bir hukuki sebep mevcut olduğu durumlarda kiralayan tarafından işlenebilir veya üçüncü taraflarla paylaşılabilir. Kiralayan, kiracının mağazasına ait müşteri verilerini kiracının bilgisi dışında elde edemez, işleyemez veya başka kiracılara aktaramaz. Bu yükümlülüğün ihlali halinde kiracı, kira sözleşmesini feshetme ve tazminat talep etme hakkını saklı tutar."
Bu tür bir madde, hem müzakere kaldıracı sağlar hem de ileride doğabilecek uyuşmazlıklarda elinizi güçlendirir. Büyük markaların kira müzakerelerinde bu tür veri koruma maddelerini standart hale getirdiği görülmektedir; bireysel girişimci ve KOBİ ölçeğindeki kiracılar için de aynı ilke geçerlidir.
Sözleşmede böyle bir madde yoksa ve yönetim veri paylaşımı uygulamasını dayatıyorsa, önce yazılı olarak itiraz etmenizi ve gerekirse Kişisel Verileri Koruma Kurumu'na şikâyette bulunmanızı öneririz. Şikâyet süreci yönetimle olan kira ilişkinizi hukuken doğrudan etkilemez; ancak uygulamanın durdurulmasını sağlayabilir.
Site Yönetimi Platformu ile Ticari Binalarda Şeffaf Veri Yönetimi

AVM ve ticari yapı yönetiminde kiracıların en sık yakındığı sorunların başında bilgiye erişim eksikliği gelir: ortak gider hesapları nasıl yapıldı, arıza talebi nerede kaldı, hangi kararlar alındı? Site Yönetimi platformu, bu şeffaflık sorununu çözmek amacıyla tasarlanmış bir yönetim altyapısıdır.
Platform üzerinde kiracı hesabı açıldığında, her kiracı kendi ortak gider döküm raporunu gerçek zamanlı olarak görebilir. Fatura kalemlerine itiraz etmek veya açıklama talep etmek için ayrıca yönetimle telefon takibine girmeniz gerekmez; talep kaydı zaman damgalı olarak sisteme işlenir ve her aşamada bildirim alırsınız. Arıza ve bakım talepleri için de aynı şeffaflık geçerlidir: talebinizin açılış tarihi, atandığı servis ekibi ve tamamlanma onayı tek bir ekrandan izlenebilir.
Yönetim kararları ve duyurular da platform üzerinden yayımlanarak kiracıların kayıt dışı kalan bilgilerden haberdar olmaması sağlanır. Bu yapı, özellikle ortak gider itirazlarının sözlü tartışmaya dönüştüğü ve veri paylaşımı konusunda güven sorunlarının yaşandığı büyük ticari yapılarda ilişkiyi normalleştirir. Kiracı şikâyetlerinin büyük bölümü, veriye değil verinin nasıl paylaşıldığına dair güvensizlikten kaynaklanmaktadır; şeffaf bir sistem bu güvensizliği ortadan kaldırır.
Platform, KVKK uyumunu destekleyen bir altyapı olarak da tasarlanmıştır. Her müşteri/kiracı kaydında hangi verinin kim tarafından ne zaman işlendiği izlenebilir hale gelir; bu da hem yöneticiye hem de kiracıya denetim kolaylığı sağlar.
Sık Yapılan Hatalar ve Nasıl Önlenir?

Uygulamada en sık karşılaşılan hata, AVM yönetiminin "biz zaten müşteriden rıza aldık, size aktarabilir miyiz?" sorusunu sormadan müşteri veritabanını kiracılarla paylaşmasıdır. Bu doğrudan ihlaldir. Rıza; spesifik alıcıyı ve aktarım amacını kapsamıyorsa geçersizdir. Kiracı olarak bu şekilde elde ettiğiniz veriyi pazarlama amacıyla kullansanız bile sorumluluğun bir bölümü size ait olur.
İkinci yaygın hata, e-posta listelerini yazılı anlaşma olmaksızın "değiş tokuş" etmektir. "Sen bana müşterilerini gönder, ben de sana kendi listemi vereyim" modeli, her iki taraf için de açık rıza zincirini kırıyorsa KVKK ihlalidir. Listeler kişisel veri içerdiğinden, bu takasın hukuki dayanağı açıkça kurulmalıdır.
Üçüncü hata ise aydınlatma yükümlülüğünü çok genel tutmaktır. "Verileriniz iş ortaklarımızla paylaşılabilir" ifadesi, kiracı mağazaları yeterince tanımlamaz. KVKK, aktarılacak tarafın kimliği veya en azından kategorisi konusunda belirlilik arar. Geniş kapsamlı genel ifadeler, Kurul denetimlerinde yeterli aydınlatma sayılmamıştır.
- Rıza alırken hangi kiracının hangi amaçla veri alacağını açıkça belirtin.
- Aktarımdan önce yazılı veri işleme sözleşmesi imzalayın.
- Anonim istatistiksel veriyi kişisel veriden ayırt edin; yalnızca istatistiklere ihtiyaç duyuyorsanız kişisel veri talep etmeyin.
Dördüncü ve belki en göz ardı edilen hata, eski verileri temizlememektir. Bir müşterinin rızasını geri çektiğini bildirmesi halinde bu kişinin verileri aktarım listelerinden derhal çıkarılmalıdır. Kiracı olarak aldığınız listede artık rızası olmayan kişilerin bulunmasından siz de sorumlu olursunuz. Bu nedenle periyodik veri temizliği ve güncelleme protokolü oluşturmanız önerilir.
Sık Sorulan Sorular
AVM yönetimi kamera görüntülerini kiracı mağazayla paylaşabilir mi?
Güvenlik amacıyla çekilen kamera görüntüleri, yalnızca güvenlik kapsamında işlenebilir. Yönetim, mağazanın önünde gerçekleşen bir güvenlik olayına ilişkin görüntüleri kiracıyla paylaşabilir; ancak sürekli veya ticari amaçlı görüntü erişimi sağlaması için KVKK kapsamında ek bir hukuki dayanak gerekir. Bu ayrım pratikte sıkça karıştırılmaktadır.
Ortak sadakat programına üye olan müşterinin verisi otomatik olarak tüm kiracılara açılır mı?
Hayır. Üyelik formunda bu paylaşım açıkça belirtilmemişse veri otomatik olarak paylaşılamaz. Müşteri, hangi mağazayla hangi amaçla veri paylaşılacağını üyelik sırasında ya da sonrasında ayrıca onaylamadıkça bu aktarım KVKK'ya aykırıdır. Ortak sadakat programları, her kiracı için ayrı rıza kanalı gerektiren karmaşık yapılardır.
Yönetim bana müşteri listesi gönderdiyse ne yapmalıyım?
Önce bu aktarımın hangi hukuki sebebe dayandığını yazılı olarak yönetimden isteyin. Gerekçe ikna edici değilse veya rıza belgesi sunulamazsa bu listeyi kullanmadan saklayın ve hukuk danışmanınıza danışın. Kullandığınız takdirde Kurul denetiminde siz de sorumlu tutulabilirsiniz. Gerekirse veri aktarımına itirazınızı yazılı olarak yönetime iletin.
Kira sözleşmemde veri paylaşımına dair bir madde var, KVKK'ya rağmen geçerli mi?
Taraflar arasındaki sözleşme, kanunun emredici hükümlerinin üzerine çıkamaz. Kira sözleşmesinde veri paylaşımı öngörülmüş olsa bile bu paylaşımın KVKK kapsamında hukuki dayanağı yoksa sözleşme maddesi geçersiz sayılır. KVKK uyumu, sözleşmeden bağımsız olarak aranmaktadır.
Müşteri verilerini kiracı olarak ben toplasam ve yönetime versem sorun olur mu?
Siz de veri toplayıp başka bir tarafla paylaştığınızda veri sorumlusu sıfatıyla KVKK yükümlülüklerinizi taşırsınız. Müşteriden hangi amaçla veri topladığınızı, kiminle paylaşabileceğinizi ve rıza sürecinizi yönetmeniz gerekir. Müşteri verilerinizi yönetime aktarmak için de spesifik bir rıza veya hukuki dayanak aranır.
KVKK ihlali şüphesinde nereye başvurabilirim?
Kişisel Verileri Koruma Kurumu'nun resmi web sitesi üzerinden şikâyet başvurusu yapabilirsiniz. Başvuruda ihlali gerçekleştiren tarafı, ihlalin niteliğini ve elinizde varsa belgeleri eklemeniz süreci hızlandırır. Kurul, şikâyeti inceleyerek veri sorumlusuna savunma hakkı tanır ve gerekli gördüğünde idari yaptırım uygular.