Site Yönetimi

Rezidansta KVKK ve Veri Güvenliği: Yöneticinin Tam Rehberi

Rezidans yönetiminde KVKK kapsamında sakin verilerinin nasıl işlenmesi gerektiği, hangi yükümlülüklerin bulunduğu ve veri güvenliği için alınması gereken pratik önlemler bu rehberde.

Rezidansta KVKK ve Veri Güvenliği: Yöneticinin Tam Rehberi

Rezidansta KVKK (Kişisel Verilerin Korunması Kanunu) yükümlülükleri, yöneticiler için hem yasal bir zorunluluk hem de sakinlerle güven ilişkisinin temelidir. 6698 sayılı Kanun kapsamında rezidans yönetimleri, sakin adları, iletişim bilgileri, araç plakaları ve güvenlik kamera görüntüleri dahil onlarca kişisel veriyi işleyen veri sorumluları olarak doğrudan bu kanun hükümlerine tabidir.

KVKK Nedir ve Rezidans Yönetimini Nasıl İlgilendirir?

KVKK kanununun rezidans yönetimini ilgilendiren hukuki boyutunu gösteren illüstrasyon

7 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu, Avrupa'nın GDPR düzenlemesiyle paralel bir yapı kurmaktadır. Kanun; gerçek kişilere ait her türlü bilgiyi "kişisel veri" olarak tanımlar ve bu verileri işleyen kurum ve kişileri "veri sorumlusu" sıfatıyla belirli yükümlülüklere tabi kılar.

Rezidans yönetimleri, kat mülkiyeti hukuku çerçevesinde tüzel kişiliği olan ya da olmayan yapılar olarak faaliyet gösterse de bu durum KVKK yükümlülüklerini ortadan kaldırmaz. Sakin kayıt formu dolduran yeni bir daire sahibinden başlayarak, ziyaretçi defteri imzalayan bir konuğa, otopark sistemine kayıtlı araç plakasına kadar her temas noktası kişisel veri işleme eylemi sayılır. Kişisel Verileri Koruma Kurumu (KVKK), bu tür yapıları "veri sorumlusu" kategorisinde değerlendirmektedir.

Pratik açıdan bakıldığında, orta ve büyük ölçekli bir rezidans yönetimi günlük işleyişinde yüzlerce kişisel veriyi sistematik biçimde toplar ve saklar: daire sakinlerinin kimlik fotokopileri, banka hesap bilgileri, araç plakaları, güvenlik kamera görüntüleri, giriş-çıkış kayıtları, şikâyet başvuruları ve hatta evcil hayvan bilgileri. Tüm bu veriler, KVKK'nın 5. maddesi kapsamında hukuka uygun bir dayanağa dayandırılmak zorundadır.

Uygulamada pek çok rezidans yönetimi bu yükümlülüklerin farkında olmadan veri işlemeye devam etmektedir. Bu durum; Kişisel Verileri Koruma Kurulu'nun idari para cezaları, sakinlerin bireysel başvuru hakları ve olası itibar kayıpları açısından ciddi riskler doğurmaktadır. Uzman bir hukuk danışmanından destek almak bu süreçte büyük önem taşımaktadır.

Rezidanslarda İşlenen Kişisel Veri Kategorileri

Rezidans yönetiminde işlenen farklı kişisel veri kategorilerini gösteren izometrik illüstrasyon

Bir rezidans yönetiminin işlediği kişisel veriler birkaç farklı kategoride incelenebilir. Bu sınıflandırmayı doğru yapmak, hem saklama sürelerini belirlemek hem de işleme dayanakları oluşturmak açısından kritik öneme sahiptir.

Kimlik ve iletişim verileri: Sakin ve daire sahibine ait ad-soyad, T.C. kimlik numarası, pasaport bilgisi, telefon numarası, e-posta adresi ve ikametgâh bilgileri bu gruba girer. Tapu tescil süreçleri ve aidat takibi nedeniyle bu veriler zorunlu olarak işlenmektedir; ancak kimlik fotokopisi gibi belgelerin saklanmasında amaçla bağlantılı olmayan ek verilerden kaçınılmalıdır.

Güvenlik ve erişim verileri: Kapalı devre kamera görüntüleri (CCTV), akıllı kart veya parmak izi okuyucudan elde edilen giriş-çıkış kayıtları ve ziyaretçi kimlik bilgileri bu kategoridedir. Biyometrik veriler KVKK'nın 6. maddesi kapsamında "özel nitelikli kişisel veri" sayıldığından parmak izi veya yüz tanıma sistemleri için ayrıca açık rıza alınması zorunludur.

Mali veriler: Aidat ödeme geçmişi, banka hesap numarası ve IBAN bilgileri, haciz veya icra yazışmaları da kişisel veri kapsamındadır. Bu veriler yalnızca alacak takibine yönelik hukuki yükümlülük kapsamında işlenebilir; üçüncü kişilerle paylaşımı ise kural olarak yasaktır.

Araç ve park verileri: Plaka numarası, araç rengi ve model bilgisi, park kullanım saatleri gibi veriler de bu kapsamdadır. Özellikle plaka tanıma sistemleri kullanan rezidanslarda, bu sistemin KVKK gereklilikleriyle uyumlu hale getirilmesi gerekir.

Veri Sorumlusu Olarak Temel Yükümlülükler

Rezidans yönetiminin KVKK kapsamındaki veri sorumlusu yükümlülüklerini gösteren illüstrasyon

6698 sayılı Kanun'un veri sorumlularına yüklediği yükümlülükler birkaç temel başlık altında özetlenebilir. Bu yükümlülüklerin yerine getirilmesi, hem yasal uyumun sağlanması hem de sakinlerin güvenini kazanmak açısından vazgeçilmezdir.

Veri Sorumluları Sicili'ne (VERBİS) kayıt: Belirli büyüklük ve faaliyet alanı kriterlerini karşılayan veri sorumluları, Kişisel Verileri Koruma Kurumu tarafından işletilen VERBİS sistemine kayıt olmak zorundadır. Rezidans yönetim şirketleri veya profesyonel yönetim firmaları bu yükümlülük kapsamına girebilir. Sınırın altında kalan yapılar dahi aydınlatma yükümlülüğünden muaf değildir; yalnızca VERBİS kaydı ertelenebilir olmaktadır. Bu konuda güncel eşikleri Kişisel Verileri Koruma Kurumu'nun resmi sitesinden takip etmek ve bir hukuk danışmanından destek almak gerekir.

Aydınlatma yükümlülüğü: Kişisel veriler toplanırken ilgili kişilere; verinin hangi amaçla toplandığı, kimin işlediği, kiminle paylaşıldığı ve ne kadar süre saklanacağı gibi bilgilerin yazılı veya dijital yollarla iletilmesi zorunludur. Yeni sakin kayıt formuna eklenen bir aydınlatma metni, kapıdaki kamera uyarı levhası veya otopark girişindeki bildirim bu yükümlülüğü karşılamak için kullanılan tipik yöntemlerdir.

Veri güvenliği tedbirleri: Kanun'un 12. maddesi, veri sorumlularının işledikleri kişisel verilerin güvenliğini sağlamak amacıyla gerekli teknik ve idari tedbirleri almasını zorunlu kılmaktadır. Bu yükümlülük hem dijital sistemleri (yönetim yazılımı, e-posta, kamera sistemleri) hem de fiziksel ortamları (arşivler, kayıt defterleri) kapsar.

Veri ihlali bildirimi: Kişisel verilerin yetkisiz erişime, ifşaya veya kaybına uğraması durumunda veri sorumlusunun bu ihlali öğrenmesinden itibaren 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmesi gerekmektedir. Rezidans yöneticilerinin bu kanalları ve prosedürü önceden belirleyip hazır tutması büyük önem taşır.

Aydınlatma Metni ve Rıza Yönetimi

Rezidans sakin kayıt sürecinde KVKK aydınlatma metni ve rıza yönetimini simgeleyen illüstrasyon

Aydınlatma metni hazırlamak, pek çok yöneticinin önceliklendirmediği ancak denetim ve şikâyet süreçlerinde ilk sorgulanacak belgedir. Kanun'un 10. maddesi çerçevesinde hazırlanacak bir aydınlatma metninde şu unsurlar yer almalıdır: veri sorumlusunun kimliği ve iletişim bilgileri, kişisel verilerin hangi amaçla işlendiği, hangi hukuki dayanaklara göre toplandığı, verilerin kimlere ve hangi koşullarda aktarılabileceği ile veri sahibinin hakları.

Önemli bir ayrıma dikkat etmek gerekir: Aydınlatma metni ile rıza beyanı farklı belgelerdir ve karıştırılmamalıdır. Aydınlatma metni, veri sorumlusunun bilgi verme yükümlülüğüdür; rıza beyanı ise yalnızca kanuni dayanaklardan birini oluşturur ve her veri işleme için rıza şart değildir. Sözleşmenin kurulması veya ifası, hukuki yükümlülüğün yerine getirilmesi ya da veri sorumlusunun meşru menfaati gibi diğer dayanaklar çoğu durumda yeterlidir.

Örneğin bir rezidansın yeni sakinle kira sözleşmesi imzalaması sırasında kimlik ve iletişim bilgilerini toplaması, sözleşme ilişkisi dayanağına yaslanabilirken, sakin rızasıyla yürütülen bir anket çalışması için açık rıza alınması gerekir. Öte yandan güvenlik kamerası kullanımı için rıza yerine meşru menfaat dayanağı ve aydınlatma yükümlülüğü (kapıdaki uyarı levhası dahil) daha uygun bir yaklaşım olabilir; ancak bu dengeleme mutlaka bir hukuk uzmanıyla yapılmalıdır.

Sakin devir süreçlerinde de veri yönetimi kritik önem taşır. Eski sakinin verileri amaç ortadan kalktığında silinmeli ya da anonim hale getirilmeli; yalnızca hukuki yükümlülük kapsamında gerekli olan veriler (örneğin aidat alacağı davası için belgeleme) saklama süresi boyunca muhafaza edilmelidir.

Güvenlik Kameraları: Yasal Çerçeve ve Pratik Gereklilikler

Rezidans güvenlik kamerası sisteminin KVKK uyumlu kurulumunu ve mahremiyet sınırlarını gösteren illüstrasyon

Güvenlik kameraları, rezidans yönetiminde KVKK ihlallerinin en sık yaşandığı alanların başında gelmektedir. Kapalı devre kamera sistemleri (CCTV) ile elde edilen görüntüler kişisel veri niteliği taşıdığından bu sistemlerin kurulumu, kullanımı ve görüntülerin saklanması Kanun'a uygun biçimde yönetilmek zorundadır.

Kamera kurulumunda öncelikle kameraların ortak alanları (giriş, otopark, asansör holü, bahçe) kapsayacak şekilde konumlandırılması ve dairelerin içini veya özel alanları görmemesi sağlanmalıdır. Sakin dairelerini izleyen veya dış tuvalet/soyunma odası gibi hassas alanları kapsayan kameralar mutlak surette yasaktır. Kameralar çalışıyor olsun ya da olmasın, kişisel veri işleme faaliyeti başlamış sayılmaktadır.

Aydınlatma yükümlülüğü kapsamında kamera bulunan tüm girişlerde uyarı levhası asılmalıdır. Bu levhada kamera kullanıcısının kim olduğu, hangi amaçla kullanıldığı ve ilgili kişinin haklarını nasıl kullanabileceği yer almalıdır. Yalnızca "Güvenlik kamerası var" yazmak bu yükümlülüğü karşılamaya yetmez.

Görüntülerin saklama süresi açısından Kişisel Verileri Koruma Kurulu kararları ışığında olayın kayıt edilmesi ile silinmesi arasındaki makul sürenin belirlenmesi gerekir. Otomatik üzerine yazma özelliğiyle çalışan sistemlerde bu sürenin amaçla orantılı tutulması önemlidir. Görüntülere erişim yetkisi yalnızca yönetici ve güvenlik personeliyle sınırlandırılmalı; sakinlere, akrabalara veya tanıdıklara keyfi olarak gösterilmemelidir.

Teknik ve İdari Güvenlik Önlemleri

Rezidans yönetiminde dijital ve fiziksel veri güvenliği önlemlerini gösteren izometrik illüstrasyon

Veri güvenliği tedbirleri hem teknik hem de idari boyutları olan kapsamlı bir süreçtir. Yalnızca antivirüs yazılımı kurmak veya dosyaları kilitleri dolapta saklamak, Kanun'un aradığı seviyede güvenlik sağlamaya yetmez. Sistematik ve katmanlı bir yaklaşım gerekmektedir.

Teknik önlemler arasında şunlar sayılabilir: Yönetim yazılımı ve e-posta sistemlerinde güçlü parola politikası uygulanması, iki faktörlü kimlik doğrulama kullanılması, farklı kullanıcı rollerine farklı erişim yetkileri tanımlanması, tüm iletişimin şifreli (SSL/TLS) kanallar üzerinden yürütülmesi ve düzenli yedekleme yapılması. Rezidans yönetim sistemi kullanan yapılar, bu özelliklerin yazılım altyapısında hazır gelip gelmediğini tedarikçiyle birlikte değerlendirmelidir.

İdari önlemler açısından ise personel eğitimi kritik bir yer tutar. Güvenlik görevlisi, muhasebe personeli, yönetici yardımcısı gibi tüm çalışanların KVKK farkındalığı konusunda düzenli eğitim alması ve bu eğitimlerin kayıt altına alınması gerekir. Bunların yanı sıra gizlilik sözleşmeleri imzalatılmalı, veri envanteri tutulmalı ve yıllık iç denetim yapılmalıdır.

Fiziksel güvenlik de göz ardı edilmemelidir. Sakin dosyaları, sözleşmeler ve ödeme makbuzları gibi belgeler kilitli dolaplarda saklanmalı, ofis alanlarına giriş kısıtlanmalı ve hassas evrakların imhası çapraz kesimli kâğıt imha makinesiyle yapılmalıdır. Eski belgeleri çöpe atmak veya geri dönüşüm kutusuna bırakmak ciddi veri ihlali oluşturabilir.

Bir apartman yönetim programı kullanıyorsanız, yazılımın KVKK uyumlu olup olmadığını tedarikçiden belge talep ederek doğrulamanız önerilir. Bulut tabanlı çözümlerde verilerin hangi ülkedeki sunucularda saklandığı ve uluslararası veri aktarımı için gerekli güvencelerin alınıp alınmadığı önemli sorulardır.

Dikkat: Biyometrik veri işleyen parmak izi veya yüz tanıma sistemleri kuran rezidanslar, 6698 sayılı Kanun'un 6. maddesi kapsamında "özel nitelikli kişisel veri" işledikleri için sakinlerden açık ve ayrıca alınmış yazılı rıza almak zorundadır. Bu sistemleri rıza almadan çalıştırmak, Kişisel Verileri Koruma Kurulu'nun ağır idari para cezalarıyla sonuçlanabilir. Konuya ilişkin mutlaka uzman bir hukuk danışmanından destek alınız.

Üçüncü Taraf Hizmet Sağlayıcılarla Veri Paylaşımı

Rezidans yönetiminin üçüncü taraf hizmet sağlayıcılarıyla güvenli veri paylaşım ilişkisini gösteren illüstrasyon

Rezidans yönetimleri pek çok dış hizmet sağlayıcıyla çalışır: muhasebe firması, güvenlik şirketi, bakım ve teknik servis firması, yazılım çözüm sağlayıcısı, avukat. Bu üçüncü taraflarla sakin verilerinin paylaşılması, KVKK kapsamında "aktarma" sayıldığından belirli kurallara tabidir.

Veri sorumlusu olarak rezidans yönetimi, verileri aktardığı tarafların da yeterli güvenlik tedbirlerini aldığından emin olmakla yükümlüdür. Bu nedenle dış hizmet sağlayıcılarla imzalanan sözleşmelere veri işleme ve gizlilik hükümleri eklenmesi gerekir. Bu düzenleme, ilgili tarafın "veri işleyen" sıfatını kazanmasını ve sorumluluklarını netleştirmeyi sağlar.

Özellikle dikkat edilmesi gereken bir alan, sakin listelerinin veya ödeme bilgilerinin muhasebe yazılımlarına aktarılmasıdır. Eğer bu yazılım bulut tabanlıysa ve sunucular Türkiye dışında yer alıyorsa, KVKK'nın yurt dışı aktarıma ilişkin hükümleri devreye girer. Bu konuda güncel Kurul kararlarını takip etmek ve hukuki danışmanlık almak büyük önem taşır.

Güvenlik şirketleriyle çalışan rezidanslarda, güvenlik personelinin kamera görüntüleri ve ziyaretçi kayıtlarına erişimi yetkilendirme belgesiyle sınırlandırılmalıdır. Güvenlik şirketinin kendi bünyesindeki veri işleme faaliyetlerine ilişkin de bir gizlilik sözleşmesi imzalanması, olası uyuşmazlıklarda yönetimi koruyacaktır.

KVKK İhlallerinde Yaptırımlar ve Risk Yönetimi

KVKK ihlallerinde uygulanabilecek yaptırımlar ve risk yönetimi dengesini simgeleyen illüstrasyon

6698 sayılı Kanun, ihlaller için hem idari para cezaları hem de hapis cezası içeren bir yaptırım mekanizması öngörmektedir. Kişisel Verileri Koruma Kurulu, şikâyet başvurusu veya resen denetim yoluyla inceleme başlatabilir ve tespit edilen ihlal türüne göre ciddi miktarda idari para cezasına hükmedebilir. Bu cezalar Kurul kararlarında düzenli olarak güncellenmekte olup güncel tutarları resmi kaynaklardan takip etmek gerekir.

Rezidans yöneticilerinin maruz kalabileceği ihlal türleri incelendiğinde şu tablo ortaya çıkar:

İhlal Türü Örnek Senaryo Olası Yaptırım
Aydınlatma yükümlülüğünün ihlali Kamera uyarı levhası olmadan sistem çalıştırılması İdari para cezası
Hukuki dayanaksız veri işleme Sakin onayı alınmadan üçüncü taraflarla paylaşım İdari para cezası + itibar kaybı
Veri güvenliği ihlali bildirimi yapılmaması Hacker saldırısının 72 saat içinde bildirilmemesi İdari para cezası
İlgili kişi haklarının karşılanmaması Sakin silme talebine 30 gün içinde yanıt verilmemesi İdari para cezası + Kurul kararı
Özel nitelikli veri ihlali Biyometrik veri rızasız işlenmesi Ağırlaştırılmış idari para cezası

Risk yönetimi açısından proaktif adımlar atmak, olası bir denetim veya şikâyet sürecinde savunma pozisyonu oluşturmanın en etkili yoludur. Alınan tedbirlerin belgelenmesi, aydınlatma metinlerinin güncel tutulması ve personel eğitimlerinin kayıt altına alınması bu savunmayı güçlendiren unsurlardır.

Sakinlerin KVKK bilinci de giderek artmaktadır. Özellikle kamera görüntüleri, sakin listelerinin dışarıya sızması ya da kişisel bilgilerin rızasız paylaşılması gibi konularda bireysel şikâyet başvuruları son yıllarda belirgin biçimde artış göstermiştir. Bu nedenle yöneticilerin reaktif değil proaktif bir tutum benimsemesi, hem hukuki riski hem de sakinlerle yaşanabilecek çatışmaları azaltacaktır.

Sakin Haklarının Yönetilmesi: Başvuru Süreci

Rezidans sakinlerinin KVKK kapsamındaki başvuru haklarının yönetim sürecini gösteren illüstrasyon

6698 sayılı Kanun'un 11. maddesi, kişisel verisi işlenen bireylere kapsamlı haklar tanımaktadır. Bu haklar; verinin işlenip işlenmediğini öğrenme, işlenmişse buna ilişkin bilgi talep etme, işlemenin amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme, yurt içinde veya dışında aktarılan üçüncü kişileri bilme, eksik veya yanlış işlenmişse düzeltilmesini isteme, kanuni şartlar çerçevesinde verilerin silinmesini veya yok edilmesini talep etme ve işlemenin hukuka aykırı olması halinde tazminat talep etme şeklinde sıralanabilir.

Rezidans yönetimleri bu başvuruları karşılayabilmek için yazılı bir başvuru kanalı ve yanıt süreci oluşturmalıdır. Kanun'a göre başvurular, veri sorumlusu tarafından en geç 30 gün içinde yanıtlanmak zorundadır. Yanıt ücretsiz olmakla birlikte talebin niteliğine göre makul miktarda ücret alınabilmesine de imkân tanınmıştır.

Pratikte bu süreci yönetmek için bir başvuru formu oluşturmak, gelen talepleri kayıt altına almak ve yanıt sürelerini takip etmek gerekir. Bir sakin "benim kamera görüntülerimi görmek istiyorum" ya da "bana ait tüm verileri silin" dediğinde yöneticinin bu talebe nasıl yanıt vereceğini önceden bilmesi ve prosedürü hazır bulundurması kritik önem taşır.

Silme talebi geldiğinde her verinin silinmesi zorunlu değildir. Örneğin hukuki yükümlülük kapsamında tutulması gereken muhasebe kayıtları saklama süresi dolana kadar muhafaza edilebilir. Ancak bu durumda talep sahibine gerekçesiyle birlikte açıklayıcı bir yanıt verilmesi gerekir. Bu yanıtların da arşivlenmesi olası bir Kurul incelemesinde hayat kurtarabilir.

KVKK Uyum Süreci: Adım Adım Yol Haritası

Rezidans yönetiminin KVKK uyum sürecini adım adım gösteren yol haritası illüstrasyonu

KVKK uyumu bir kerede tamamlanıp rafa kaldırılacak bir proje değil, sürekli güncellenmesi gereken yaşayan bir süreçtir. Bununla birlikte başlangıç noktası olarak aşağıdaki adımlar, sistematik bir uyum altyapısı oluşturmada yol gösterici niteliktedir:

  • Veri envanteri hazırlama: Hangi kişisel verilerin toplandığı, nerede saklandığı, kimlerle paylaşıldığı ve ne kadar süre tutulduğu sistematik olarak kayıt altına alınır. Bu envanter, tüm uyum çalışmalarının temelidir.
  • Hukuki dayanakların belirlenmesi: Her veri işleme faaliyeti için uygun hukuki dayanak seçilir; rıza gerektiren durumlar aydınlatılır.
  • Aydınlatma metinleri hazırlanması: Sakin kayıt formları, kira sözleşmeleri ve kamera uyarı levhaları için Kanun'a uygun aydınlatma metinleri oluşturulur.
  • Teknik güvenlik tedbirleri: Yazılım, erişim kontrolleri ve şifreleme altyapısı gözden geçirilip güçlendirilir.
  • Personel eğitimleri: Tüm çalışanlar KVKK konusunda eğitilir ve gizlilik sözleşmeleri imzalatılır.
  • Veri işleyen sözleşmeleri: Dış hizmet sağlayıcılarla mevcut sözleşmeler KVKK hükümleri içerecek şekilde güncellenir.
  • Başvuru kanalı kurulumu: İlgili kişi başvurularının alınacağı ve takip edileceği yazılı bir prosedür oluşturulur.
  • VERBİS değerlendirmesi: Kayıt yükümlülüğü kapsamında olunup olunmadığı belirlenir ve gerekiyorsa kayıt tamamlanır.
  • Düzenli gözden geçirme: Yılda en az bir kez tüm politikalar ve tedbirler güncellenir; Kurul kararları takip edilir.

Bu sürecin doğru ve etkin biçimde yürütülmesi için bir kişisel veri koruma uzmanı veya hukuk danışmanından destek alınması, özellikle ilk uyum aşamasında büyük kolaylık sağlayacaktır. Yöneticilerin buradaki bilgileri genel bir çerçeve olarak kullanması ve kendi spesifik durumları için uzman görüşü alması önerilir.

Dijital Yönetim Araçları ve KVKK Uyumu

KVKK uyumlu dijital rezidans yönetim yazılımı kullanımını gösteren izometrik illüstrasyon

Dijitalleşen rezidans yönetiminde kullanılan yazılımlar, KVKK uyumu açısından hem kolaylaştırıcı hem de risk unsuru olabilmektedir. Doğru seçilmiş ve doğru yapılandırılmış bir site yönetim yazılımı, veri envanteri yönetiminden erişim kontrolüne kadar birçok yükümlülüğü otomatize edebilir; ancak kötü yapılandırılmış bir sistem ise tam tersi etki yaratabilir.

Dijital yönetim aracı seçerken KVKK uyumu açısından sorulması gereken temel sorular şunlardır: Yazılım Türkiye'de mi, yurt dışında mı sunuluyor? Sunucular nerede barındırılıyor? Kullanıcı yetkilendirme sistemi rol bazlı mı (RBAC)? Giriş logları tutuluyor mu? Veriler şifreli kanallar üzerinden mi iletiliyor? Sakin verileri otomatik silinebiliyor mu?

Güçlü bir rezidans yönetim platformu; yetki seviyelerine göre ayrışmış kullanıcı rolleri, sakin erişim geçmişi logları, şifreli veri aktarımı ve belirli bir süre sonra otomatik veri temizleme özellikleriyle KVKK uyumunu destekler. Bu özelliklere sahip çözümler araştırılırken tedarikçiden KVKK uyum belgesi veya beyanı talep edilmesi ve sözleşmeye bu hükümlerin eklenmesi önemlidir.

E-posta iletişimi de sıklıkla göz ardı edilen bir risktir. Sakin bilgilerini içeren e-postalar şifresiz iletilmemeli; toplu e-posta gönderilerinde sakinlerin birbirinin e-posta adresini görmemesi için gizli kopya (BCC) kullanılmalıdır. Özellikle aidat bildirim e-postalarında "tüm sakinlere" yapılan yanlış grup gönderimleri veri ihlali olarak değerlendirilebilir.

Sık Sorulan Sorular

Rezidans yönetiminde KVKK ve veri güvenliğine ilişkin sık sorulan sorular bölümünü temsil eden illüstrasyon
Küçük bir rezidans da KVKK'ya tabi midir?
Evet. KVKK'nın büyüklük eşiği yalnızca VERBİS kaydı yükümlülüğü için geçerlidir. Aydınlatma yükümlülüğü, veri güvenliği tedbirleri ve ilgili kişi haklarını karşılama yükümlülüğü bağımsız çalışan küçük bir rezidans yönetimi için de aynı şekilde uygulanır. Sakin verisi işleyen her yapı, ölçeğinden bağımsız olarak kanun kapsamındadır. Kendi durumunuzu bir hukuk danışmanıyla değerlendirmeniz önerilir.
Güvenlik kamera kayıtlarını ne kadar süre saklamalıyım?
Kanun, belirli bir süre belirlememiştir; ancak Kişisel Verileri Koruma Kurulu kararları doğrultusunda saklama süresi "amaca ulaşmak için gerekli olan süre" ile sınırlandırılmalıdır. Genel uygulama 7-30 gün arasında değişmekte olup olayların soruşturulması durumunda bu süre uzatılabilmektedir. Sisteminizi bu süreden sonra otomatik silecek şekilde yapılandırmanız ve seçtiğiniz süreyi bir gizlilik politikasında belgelemeniz önerilir.
Sakin, verilerinin tamamının silinmesini talep ederse ne olur?
Talebi 30 gün içinde yazılı olarak yanıtlamanız zorunludur. Ancak her veriyi silmek zorunda değilsiniz. Hukuki yükümlülük kapsamında saklama zorunluluğu bulunan veriler (örneğin muhasebe kayıtları, mahkeme sürecinde delil niteliği taşıyan belgeler) korunabilir. Bu durumu gerekçesiyle birlikte talep sahibine açıkça bildirin ve yanıtı arşivleyin. Silinen veriler için de bir silme kaydı tutmanız olası denetimlerde koruyucu olacaktır.
Yönetim şirketi kullanıyorsak KVKK sorumluluğu kime ait?
Veri sorumlusu kural olarak yönetim planına göre belirlenen taraftır; ancak profesyonel bir yönetim şirketi de veri işleyen sıfatını kazanabilir. Bu nedenle yönetim şirketiyle imzalanacak sözleşmede veri işleme sınırları, gizlilik yükümlülükleri ve ihlal bildirimi prosedürlerinin açıkça düzenlenmesi gerekir. Olası bir ihlalde yasal sorumluluğun kime ait olduğunu bir hukukçuyla netleştirmeniz önerilir.

Rezidansınızda kişisel verileri güvenli biçimde yönetmek, sakinlerle güven ilişkisi kurmanın yanı sıra hukuki riskleri de azaltır. Rezidans yönetim sistemimiz ile rol bazlı erişim kontrolü, şifreli veri iletimi ve kullanıcı log kayıtları gibi KVKK uyumunu destekleyen teknik altyapıyı bir arada kullanabilirsiniz. Ücretsiz demo talebi ve detaylı bilgi için bize ulaşın.

Yönetimi dijitalleştirmeye hazır mısınız?

SiteYönetim ile aidat, muhasebe, genel kurul ve arıza takibini tek platformda yönetin. 14 gün ücretsiz deneyin.

Ücretsiz Başlayın
Tüm yazılara dön