KVKK kapsamında veri saklama ve imha politikası; 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun zorunlu kıldığı, her veri sorumlusunun oluşturmak ve uygulamak zorunda olduğu temel bir politika belgesidir. Apartman ve site yönetimleri de birer veri sorumlusu sıfatıyla kat maliklerinden, kiracılardan ve çalışanlardan topladıkları kişisel verileri bu politikaya göre saklamak ve süresi dolduğunda usulüne uygun biçimde imha etmek zorundadır.
KVKK Nedir ve Site Yönetimlerini Nasıl Etkiler?

6698 sayılı Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde yürürlüğe girmiş ve Türkiye'deki tüm gerçek ve tüzel kişileri bağlayan kapsamlı bir veri koruma çerçevesi oluşturmuştur. Kanunun temel amacı, kişisel verilerin işlenmesinde bireylerin temel hak ve özgürlüklerini güvence altına almaktır. Site yönetimleri ise bu kanun kapsamında "veri sorumlusu" konumunda değerlendirilmektedir.
Apartman ve toplu konut yönetimleri, günlük operasyonları sırasında son derece fazla miktarda kişisel veri işlemektedir. Kat malikleri defteri, aidat kayıtları, güvenlik kameraları, ziyaretçi giriş-çıkış kayıtları, personel sicil dosyaları ve genel kurul tutanakları bunların yalnızca bir kısmıdır. Bu verilerin her birinin toplanması, saklanması, paylaşılması ve imha edilmesi aşamaları KVKK'nın denetimi altındadır.
Kanuna göre veri sorumluları; kişisel verileri belirli, açık ve meşru amaçlar için işlemek, bu amaçlarla bağlantılı ve orantılı olmayan verileri toplamamak, verileri işlendikleri amaç için gerekli olan süre kadar muhafaza etmek ve süre dolduğunda silmek, yok etmek veya anonim hâle getirmekle yükümlüdür. Bu yükümlülüklerin yerine getirilmemesi hâlinde Kişisel Verileri Koruma Kurumu (KVKK Kurumu) tarafından idari para cezası uygulanabilmektedir.
Bir site yöneticisinin bu yükümlülüklerden haberdar olmaması hukuki sorumluluktan kurtulmak için yeterli değildir. Kanun, veri sorumlusu sıfatını taşıyan herkesin bilinçli ve sistematik hareket etmesini beklemektedir. Bu nedenle profesyonel bir apartman yönetim programı kullanmak, veri işleme süreçlerinin düzenlenmesinde önemli bir kolaylaştırıcı role sahiptir.
Hangi Kişisel Veriler Toplanır ve Neden?

Site yönetimlerinin topladığı kişisel veriler genel olarak üç ana kategoride değerlendirilebilir: kat maliki ve kiracı verileri, personel verileri ve ziyaretçi/misafir verileri. Her kategorinin farklı hukuki dayanakları ve farklı saklama gereksinimleri bulunmaktadır. Bu ayrımı netleştirmek, doğru bir veri saklama ve imha politikası oluşturmanın ön koşuludur.
Kat maliki ve kiracılara ait veriler arasında ad-soyad, TC kimlik numarası, iletişim bilgileri (telefon, e-posta), tapu kayıt bilgileri, araç plakası ve banka hesap numarası yer alır. Bu verilerin toplanmasının hukuki dayanağı; 634 sayılı Kat Mülkiyeti Kanunu'ndan doğan yönetim yükümlülükleri, sözleşmesel ilişki ve meşru menfaattir. Güvenlik kamerası görüntüleri ise özel bir kategori oluşturur: görüntüler hem bina güvenliği amacıyla meşru menfaate hem de bazı durumlarda ilgili kişinin açık rızasına dayanabilir.
Personel verileri daha hassas bir yapıya sahiptir. Güvenlik görevlisi, kapıcı, bahçıvan gibi çalışanların ad-soyad, TC kimlik, adres, banka hesabı, SGK sicil numarası ve sağlık verisi (periyodik muayeneler) gibi bilgileri işlenebilir. Bu veriler iş sözleşmesinin ifası ve yasal yükümlülüklerin yerine getirilmesi kapsamında toplanır; ancak iş ilişkisinin sona ermesinden sonra belirli sürelerle saklanmaya devam etmek zorundadır.
Ziyaretçi kayıtları da göz ardı edilmemelidir. Birçok site, güvenlik amacıyla ziyaretçilerin kimlik bilgilerini, araç plakasını ve giriş-çıkış saatlerini kayıt altına almaktadır. Bu veriler, kişinin bilinçli rızası ya da güvenlik kaygısına dayanan meşru menfaat çerçevesinde işlenebilir; ancak amaç dışında kullanılamaz ve gerekenden uzun süre saklanamaz.
Veri Saklama Sürelerinin Belirlenmesi

Veri saklama süresi, bir kişisel verinin toplanma amacının ortadan kalkmasından sonra ne kadar süreyle muhafaza edileceğini gösteren kritik bir parametredir. KVKK'nın 7. maddesi; kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde resen ya da ilgili kişinin talebi üzerine silineceğini, yok edileceğini veya anonim hâle getirileceğini hükme bağlamıştır. Saklama sürelerini belirlerken öncelikle ilgili sektör mevzuatına bakılmalıdır.
Mevzuattan kaynaklanan saklama süreleri genellikle emredici niteliktedir ve bu süreler boyunca veri imha edilemez. Örneğin iş kanunundan doğan belgeler için zamanaşımı süreleri esas alındığında veriler en az on yıl saklanmak zorunda kalınabilir. Muhasebe ve vergi belgelerine ilişkin düzenlemeler de benzer şekilde uzun saklama yükümlülükleri doğurabilir. Genel kurula ilişkin belgeler ise kat mülkiyeti mevzuatı çerçevesinde yönetimde kaldıkça ve sonrasında belirli bir süre saklanmalıdır.
Aşağıdaki tablo, site yönetimlerinde sıkça işlenen kişisel veri kategorileri için önerilen asgari saklama sürelerini özetlemektedir. Bu süreler genel bir rehber niteliği taşımakta olup, her durumun kendi koşulları ve ilgili mevzuat çerçevesinde değerlendirilmesi gerekir; hukuki danışmanlık alınması tavsiye edilir.
| Veri Kategorisi | Örnek Veri | Önerilen Asgari Saklama Süresi | Hukuki Dayanak |
|---|---|---|---|
| Kat maliki kayıtları | Tapu, iletişim bilgisi | Mülkiyet devrine kadar + 10 yıl | 634 sayılı KMK, genel zamanaşımı |
| Aidat ve muhasebe kayıtları | Ödeme makbuzları, banka dekontları | 10 yıl | VUK, TBK zamanaşımı |
| Genel kurul tutanakları | Toplantı tutanakları, imza listeleri | 10 yıl | 634 sayılı KMK |
| Personel sicil dosyaları | İş sözleşmesi, SGK bildirgeleri | İş ilişkisi sona erişinden itibaren 10 yıl | İş Kanunu, TBK |
| Güvenlik kamerası görüntüleri | Video kayıtları | 15-30 gün (olay olmadıkça) | KVKK Kurumu rehberleri |
| Ziyaretçi giriş kayıtları | Ad, araç plakası, saat | 3-6 ay | Meşru menfaat sınırı |
| Sözleşmeli hizmet sağlayıcı verileri | Firma yetkilileri, teknik servis | Sözleşme bitişi + 5 yıl | TBK zamanaşımı |
Saklama sürelerini belirlerken sektör mevzuatının yanı sıra KVKK Kurumu'nun yayımladığı rehber belgeler ve kişisel verileri koruma alanında uzmanlaşmış hukukçuların güncel yorumları dikkate alınmalıdır. Sürelerin aşılması hâlinde veriler otomatik olarak imha takvimine alınmalı ve bu süreç kayıt altında tutulmalıdır.
Periyodik İmha Takvimi ve Süreci

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik, veri sorumlularının altı ayda bir periyodik imha gerçekleştirmesini zorunlu kılmaktadır. Bu yükümlülük, yalnızca büyük şirketlere değil, birer veri sorumlusu olarak site yönetimlerine de uygulanır. Dolayısıyla her yılın Ocak ve Temmuz ayları (ya da yönetim tarafından belirlenen diğer altı aylık periyotlar) imha işlemlerinin düzenli olarak gözden geçirilmesi gereken dönemlerdir.
Periyodik imha sürecinde şu adımların sırayla uygulanması önerilir:
- Saklama süresi dolmuş verilerin tespit edilmesi için veri envanterinin güncellenmesi
- Her veri kategorisi için uygun imha yönteminin belirlenmesi (silme, yok etme veya anonimleştirme)
- Dijital verilerin güvenli silme araçlarıyla kalıcı olarak kaldırılması; salt delete işleminin yeterli olmadığının bilinmesi
- Fiziksel belgelerin (kâğıt, optik disk, USB vb.) çapraz kesimli imha makinesiyle yok edilmesi ya da lisanslı imha hizmetinden yararlanılması
- İmha işleminin tarih, imha edilen veri kategorisi, yöntem ve sorumlu kişiyi içeren bir tutanakla kayıt altına alınması
- İmha tutanaklarının en az üç yıl saklanması (imha kanıtı olarak)
İmha tutanağının tutulması sıklıkla göz ardı edilen ama son derece kritik bir adımdır. Olası bir Kurum denetiminde ya da ilgili kişinin başvurusu hâlinde, verinin imha edildiğine dair kanıt sunulabilmesi gerekir. Tutanaksız imha, "veri hâlâ elinizde mi?" sorusuna cevap verilememesi anlamına gelir ve ciddi hukuki risk doğurur.
Dijital ortamda veri imhası söz konusu olduğunda, dosyayı silmenin ya da geri dönüşüm kutusunu boşaltmanın yeterli olmadığını vurgulamak gerekir. İşletim sistemi düzeyinde silinen veriler, adli bilişim araçlarıyla geri kazanılabilir. Bu nedenle kişisel veri içeren dosyalar için güvenli silme yazılımları ya da depolama ortamının fiziksel imhası tercih edilmelidir.
Veri İmha Yöntemleri: Silme, Yok Etme ve Anonimleştirme

KVKK mevzuatı, kişisel verilerin imhasında üç temel yöntemi tanımlamaktadır: silme, yok etme ve anonim hâle getirme. Bu yöntemler birbirinden farklı teknik ve hukuki sonuçlar doğurmakta olup hangi yöntemin seçileceği, verinin niteliğine ve saklama ortamına göre belirlenmelidir.
Silme, kişisel verilerin ilgili kullanıcılar tarafından hiçbir şekilde erişilememesini ve kullanılamamasını sağlayan işlemdir. Veri sistemde teknik olarak var olmaya devam edebilir; ancak yetkili kullanıcılar tarafından erişilmesi mümkün kılınmamalıdır. Veritabanında bir kaydın silinmesi, e-posta arşivinden bir mesajın kalıcı olarak kaldırılması ya da bulut depolama alanındaki bir dosyanın tamamen temizlenmesi bu kapsamda değerlendirilebilir.
Yok etme, kişisel verilerin fiziksel ya da dijital olarak kurtarılamaz biçimde ortadan kaldırılmasıdır. Kâğıt belgeler için çapraz kesimli imha makinesinin kullanılması, optik diskler için fiziksel parçalama, sabit diskler için üzerine yazma (overwrite) ya da manyetik silme (degaussing) yöntemleri bu kategoriye girer. Yok etme yöntemi, özellikle hassas kişisel verilerin (sağlık bilgisi, biometrik veri vb.) imhasında tercih edilmelidir.
Anonim hâle getirme, kişisel verilerin başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesidir. Bu yöntem imha değil, dönüştürme işlemidir ve verinin amaç değiştirilerek (örneğin istatistiksel analiz) kullanılmaya devam edilmesine imkân tanır. Ancak anonimleştirmenin gerçek anlamda sağlandığından emin olunması gerekir; takma ad kullanmak (pseudonymization) anonimleştirme sayılmaz.
Dikkat: Güvenlik kamerası görüntüleri, en sık ihlale konu olan veri kategorilerinden biridir. Görüntülerin otomatik döngüyle üzerine yazılması yeterli olmayabilir; kayıtların amaç dışında paylaşılması (komşuya göstermek, sosyal medyaya yüklemek) ciddi KVKK ihlali oluşturur. Kayıt sisteminin yalnızca yetkili kişilerce erişilebilir olduğundan emin olun ve erişim loglarını düzenli inceleyin.
Veri Saklama ve İmha Politikası Belgesi Nasıl Hazırlanır?

Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik'in 5. maddesi; Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) kayıt yükümlülüğü bulunan veri sorumlularının bir veri saklama ve imha politikası oluşturmasını zorunlu kılmaktadır. Konut ve bina yöneticileri de işledikleri veri miktarı ve niteliğine bağlı olarak bu yükümlülük kapsamına girebilir; bu nedenle bir hukuk uzmanından görüş alınması önemlidir.
Bir veri saklama ve imha politikası belgesinde asgari olarak şu başlıkların yer alması gerekir: politikanın amacı ve kapsamı, veri sorumlusunun kimliği ve iletişim bilgileri, işlenen kişisel veri kategorileri ve bunların hukuki dayanakları, her kategori için belirlenen saklama süreleri, uygulanacak imha yöntemleri ve periyodik imha takvimi, politikanın güncelleme prosedürü. Bu belge kamuoyuyla paylaşılabileceği gibi yalnızca iç işleyiş belgesi olarak da tutulabilir; ancak talep hâlinde ilgili kişilere sunulabilmelidir.
Politikanın yalnızca kâğıt üzerinde kalmaması, fiilen uygulanması esastır. Bunu sağlamak için sorumlu personelin eğitilmesi, veri envanterinin (kayıt ortamları ve kategoriler bazında) düzenli güncellenmesi ve imha işlemlerinin sistematik biçimde kayıt altına alınması gerekmektedir. Site yönetim yazılımı kullanan yönetimler için bu süreçlerin dijital ortamda takip edilmesi hem zaman tasarrufu hem de denetim kolaylığı sağlar.
Politika belgesinin en az yılda bir kez ya da mevzuatta değişiklik olduğunda gözden geçirilmesi ve gerektiğinde güncellenmesi önerilir. Eski sürümlerin de arşivde tutulması, olası bir itirazda politikanın zaman içinde nasıl geliştiğini kanıtlamak açısından faydalıdır.
VERBİS Kaydı ve Site Yönetimleri İçin Yükümlülükler

VERBİS (Veri Sorumluları Sicil Bilgi Sistemi), KVKK Kurumu tarafından oluşturulan ve veri sorumlularının kişisel veri işleme faaliyetlerini kamuoyuyla paylaştığı çevrimiçi bir kayıt sistemidir. Hangi veri sorumlularının VERBİS'e kayıt olmak zorunda olduğu, KVKK Kurumu'nun belirlediği eşik değerlere bağlıdır; söz konusu eşikler ve istisnalar değişkenlik gösterebileceğinden güncel Kurum kararları ve tebliğler takip edilmelidir.
Büyük ölçekli yerleşim kompleksleri, çok sayıda personel istihdam eden ya da kapsamlı kamera sistemi işleten site yönetimleri VERBİS kayıt yükümlülüğü kapsamına girebilir. Buna karşın küçük apartman yönetimleri çoğu durumda istisna kapsamında değerlendirilebilir; ancak bu durum diğer KVKK yükümlülüklerinden (aydınlatma yükümlülüğü, veri güvenliği gibi) muaf oldukları anlamına gelmez.
VERBİS'e kayıt zorunluluğu bulunmayan site yönetimleri bile şu temel yükümlülükleri yerine getirmelidir: kat malikleri ve kiracıları kişisel verilerinin işlenmesi konusunda aydınlatmak, kişisel verilere yetkisiz erişimi önleyecek teknik ve idari tedbirleri almak, veri ihlali hâlinde KVKK Kurumu'na ve ilgili kişilere bildirimi sağlamak, ilgili kişilerin başvurularını (erişim, silme, itiraz hakları) karşılamak. Bu yükümlülüklerin sistemli bir şekilde yerine getirilmesi için kapsamlı bir apartman yönetim programı kullanılması, süreçleri kolaylaştırır ve belgelemenin güvenilirliğini artırır.
Aydınlatma yükümlülüğü kapsamında site yönetimlerinin; yönetim ofisi girişine, sitenin genel ilan panosuna ve kamera ile donatılmış alanlara uyarı levhaları asması gerekmektedir. Ziyaretçileri ve sakinleri bilgilendiren bu uyarılar, KVKK'nın öngördüğü şeffaflık ilkesinin yerine getirilmesinde kritik rol oynar.
Kişisel Veri İhlali: Farkında Olmadan Yapılan Hatalar

Site yönetimlerinde en sık karşılaşılan veri ihlalleri, kasıtlı eylemlerden değil, farkında olmadan yapılan hatalardan kaynaklanmaktadır. Bu hataların neler olduğunu bilmek, önlem almak açısından büyük önem taşır. Özellikle apartman yöneticilerinin günlük pratiklerinde dikkat etmesi gereken durumlar şunlardır:
Kat malikleri listesinin veya borç bilgilerinin WhatsApp grubu gibi açık kanallar aracılığıyla paylaşılması, en yaygın ihlal biçimidir. Kişisel veri niteliği taşıyan bu bilgilerin herkesin görebileceği bir ortama yüklenmesi, KVKK'nın "veri güvenliği" ilkesini açıkça ihlal eder. Bunun yerine kişisel verilerin yalnızca yetkilendirilmiş kişilerle ve güvenli kanallar aracılığıyla paylaşılması gerekir.
Güvenlik kamerası görüntülerinin komşulara ya da üçüncü kişilere gösterilmesi de sık görülen bir ihlal türüdür. "Hırsız mı var, birlikte izleyelim" ya da "arabanı kim çizdi, bakayım" gibi niyetlerle bile olsa kamera görüntüsünü yetkisiz kişiyle paylaşmak ciddi hukuki sonuçlar doğurabilir. Görüntüler yalnızca güvenlik birimi ve yönetici tarafından, meşru gereklilik hâlinde incelenmelidir.
Eski yöneticilerin elinde kalan belge ve veritabanları da ihmal edilen bir konudur. Yönetim devredildiğinde, eski yöneticinin veri silme ya da iade yükümlülüğü bulunmaktadır. Bu devir sürecinin yazılı bir protokolle kayıt altına alınması, olası anlaşmazlıklarda her iki tarafı da korur. Dijital veritabanı erişim şifrelerinin değiştirilmesi ve fiziksel belgelerin teslim alındığına dair tutanak düzenlenmesi önerilir.
Personel özlük dosyalarının yetkisiz kişilerin erişebileceği ortamlarda (açık raf, paylaşımlı bilgisayar masaüstü vb.) bulundurulması da ciddi bir ihmal örneğidir. Bu tür belgeler kilitli dolap ya da şifreli dijital klasörlerde saklanmalıdır.
İlgili Kişilerin Hakları ve Site Yönetiminin Yükümlülükleri

KVKK'nın 11. maddesi, kişisel verileri işlenen gerçek kişilere bir dizi temel hak tanımaktadır. Bu haklar evrensel nitelikte olup site sakinleri de dahil olmak üzere tüm ilgili kişiler için geçerlidir. Site yöneticilerinin bu hakları bilmesi ve başvurulara nasıl yanıt vereceğini önceden planlaması gerekmektedir.
İlgili kişiler; hangi kişisel verilerinin işlendiğini öğrenme, bu verilere erişme ve kopyasını talep etme, verilerin yanlış ya da eksik olması hâlinde düzeltilmesini isteme, işlenmesi gerektiren sebeplerin ortadan kalkması hâlinde silinmesini ya da yok edilmesini talep etme ve verilerinin işlenmesine itiraz etme haklarına sahiptir. Bu taleplerin tümü yazılı ya da kayıtlı elektronik posta yoluyla yapılabilir ve 30 gün içinde yanıtlanmak zorundadır.
Site yönetiminin bir başvuruyu reddetmesi hâlinde, gerekçeyi açıkça bildirmesi ve ilgili kişinin KVKK Kurumu'na şikâyet hakkı bulunduğunu hatırlatması gerekir. Başvuruları yanıtsız bırakmak ya da geçiştirmek, hem idari para cezası riskini artırır hem de yönetim ile sakinler arasındaki güveni zedeler.
Başvuru sürecini kolaylaştırmak için sitenin ilan panosuna veya resmi web sitesine (varsa) kişisel veri başvuru formu ve iletişim bilgilerinin eklenmesi önerilir. Bu şeffaf yaklaşım, hem KVKK'nın ruhuna hem de iyi yönetim anlayışına uygundur.
Teknik ve İdari Tedbirler: Veri Güvenliğini Sağlamak

KVKK'nın 12. maddesi, veri sorumlularının kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini önlemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbiri almasını zorunlu kılmaktadır. Site yönetimleri bu madde kapsamında hem fiziksel hem de dijital alanlarda önlem almak durumundadır.
Teknik tedbirler arasında en temel olanlar şunlardır: kişisel veri içeren bilgisayar ve sunucuların güçlü parola korumasına alınması, veritabanlarına erişimin yalnızca yetkili kişilerle sınırlandırılması, kamera sistemlerinin güvenli ağ üzerinden yönetilmesi ve periyodik olarak güncellenmesi, yedekleme işlemlerinin şifreli olarak gerçekleştirilmesi ve site yönetim sistemine ait yazılımların düzenli olarak güncellenmesi. Antivirüs ve güvenlik duvarı kullanımı da bu tedbirler arasında sayılabilir.
İdari tedbirler en az teknik tedbirler kadar önemlidir. Personele kişisel veri güvenliği konusunda farkındalık eğitimi verilmesi, veri işleme prosedürlerinin yazılı olarak belirlenmesi, üçüncü taraf hizmet sağlayıcılarla (temizlik şirketi, güvenlik firması, yazılım sağlayıcı) veri işleme sözleşmesi imzalanması ve ihlal hâlinde uygulanacak acil müdahale planının önceden hazırlanması bu başlık altında değerlendirilebilir.
Özellikle site yönetim yazılımı seçerken veri güvenliği özelliklerine dikkat etmek kritik önem taşır. Erişim log kaydı tutan, şifreli veri depolama sunan ve KVKK uyumlu güvenlik altyapısıyla geliştirilmiş çözümler, yöneticilerin hem operasyonel verimliliğini hem de yasal uyumluluğunu destekler.
Sık Sorulan Sorular

Küçük bir apartman yönetimi de KVKK'ya uymak zorunda mıdır?
Güvenlik kamerası görüntülerini ne kadar süre saklayabilirim?
Eski yöneticiden devir alırken kişisel veriler için ne yapılmalıdır?
KVKK ihlali hâlinde site yöneticisine ne tür yaptırımlar uygulanabilir?
Site yönetiminizde KVKK uyumluluğunu sistematik biçimde yönetmek; veri envanterini düzenli tutmak, imha takvimini takip etmek ve sakinlere aydınlatma metni sunmak için dijital araçlardan yararlanabilirsiniz. Apartman yönetim programı kullanarak kişisel veri süreçlerinizi otomasyona bağlayabilir, yasal yükümlülüklerinizi daha güvenli bir zemine taşıyabilirsiniz. Genel bilgi niteliğindeki bu içeriği uygulamaya geçirmeden önce alanında uzman bir avukattan danışmanlık almanızı şiddetle tavsiye ederiz.