Sakinlerin kişisel verileri; 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında site ve apartman yönetimleri tarafından hukuka uygun biçimde işlenmeli, saklanmalı ve korunmalıdır. Bu yükümlülüğü yerine getirmeyen yönetimler hem idari para cezası hem de hukuki sorumlulukla karşı karşıya kalabilir.
KVKK Nedir ve Site Yönetimleri İçin Neden Önemlidir?

6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016 yılında yürürlüğe girmiştir. Kanun; gerçek kişilere ait her türlü bilginin toplanması, işlenmesi, saklanması ve aktarılmasını belirli kurallara bağlamaktadır. Apartman yönetimleri ve site yönetimleri, sakinlere ait isim, telefon numarası, araç plakası, tapu bilgisi, banka hesap numarası ve biyometrik veri (parmak izi, yüz tanıma) gibi çok sayıda kişisel veriyi işlemektedir. Bu nedenle her ölçekteki site yönetimi, KVKK kapsamında "veri sorumlusu" sıfatı taşımakta ve kanunun tüm yükümlülüklerine uymak zorunda kalmaktadır.
Veri sorumlusu olmak yalnızca belge tutmaktan ibaret değildir. Kanun; veri toplamanın amacını belirlemeyi, sakinleri açıkça bilgilendirmeyi, verileri gerektiğinden uzun süre saklamamayı ve yetkisiz erişimlere karşı teknik önlem almayı zorunlu kılmaktadır. Site yöneticileri çoğu zaman bu yükümlülüklerin farkında olmadan yönetim defterine, WhatsApp grubuna veya kâğıt listelere sakin bilgilerini işlemektedir. Bu pratik uygulamaların her biri KVKK ihlali riski taşıyabilir.
Kişisel Verileri Koruma Kurumu (KVKK Kurumu), yapılan şikâyetlere dayanarak site yönetimlerine de idari para cezası uygulayabilmektedir. Üstelik mağdur olan sakin; Kuruma şikâyet yolunun yanı sıra tazminat davası da açabilmektedir. Tüm bu riskler göz önüne alındığında, KVKK uyumluluğu artık küçük apartmanlar dahil tüm konut yönetimleri için zorunlu bir öncelik hâline gelmiştir.
Yöneticinin bireysel ya da tüzel kişi olması, yükümlülüklerin içeriğini değiştirmemektedir. Kat malikleri kurulu tarafından seçilen bir bireysel yönetici de, profesyonel bir yönetim şirketi de eşit biçimde veri sorumlusu sayılır ve aynı kurallara tabidir. Bu gerçeklik, sorumlulukları profesyonelce yönetmeyi kaçınılmaz kılmaktadır.
Hangi Veriler "Kişisel Veri" Sayılır?

Site yönetiminin tuttuğu kayıtların büyük çoğunluğu KVKK kapsamında kişisel veri niteliği taşır. Bunu anlamak, hangi verilerin hangi kurallara tabi olduğunu belirlemek açısından kritik öneme sahiptir. Yöneticilerin "bu sadece bir telefon numarasıdır" şeklindeki algısı, hukuken yanlıştır; telefon numarası, tek başına kişiyi tanımlamaya yettiği ölçüde kişisel veridir.
Öte yandan bazı veriler "özel nitelikli kişisel veri" olarak çok daha sıkı bir koruma rejimine tabidir. Parmak izi, retina taraması veya yüz tanıma verisi bu kategoriye girer. Birçok modern apartman kompleksi kapı erişim sistemi olarak biyometrik yöntemler kullanmaktadır. Bu sistemlerin kurulumu ve işletimi için sakinlerden açık rıza alınması zorunludur; rıza alınmadan biyometrik veri toplayan yönetim, ağır yaptırımlarla karşılaşabilir.
Site yönetimlerinin tipik olarak işlediği kişisel veri türleri şunlardır:
- Ad, soyad ve TC kimlik numarası
- Telefon numarası ve e-posta adresi
- Daire numarası ve tapu bilgileri
- Araç plaka numarası
- Banka hesap ve IBAN bilgileri
- Parmak izi, yüz tanıma, retina taraması (biyometrik)
- Güvenlik kamerası görüntüleri (biyometrik veri sayılabilir)
- Misafir ve ziyaretçi kayıtları
- Çocuk adı/yaşı gibi aile bilgileri
- Engel veya sağlık durumu (asansör önceliği talepleri vb.)
Her bir veri türü için ayrı işleme amacı belirlenmeli ve sakinler bu amaç hakkında önceden bilgilendirilmelidir. Örneğin araç plakası yalnızca otopark yönetimi amacıyla toplanabilir; başka bir amaç için kullanılamaz. Bu "amaç sınırlılığı" ilkesi KVKK'nın temel taşlarından biridir ve ihlali ciddi yaptırımlara yol açar.
Aydınlatma Yükümlülüğü: Sakinlere Ne Zaman ve Nasıl Bilgi Verilmeli?

KVKK'nın en temel yükümlülüklerinden biri, veri toplanmadan önce veya en geç veri toplama anında sakinlerin "aydınlatılması"dır. Aydınlatma; sakinlerin hangi verisinin, hangi amaçla, ne kadar süre saklanacağını ve kimlere aktarılabileceğini öğrenmesini sağlar. Aydınlatma yapılmadan toplanan kişisel veri, hukuka aykırı biçimde elde edilmiş sayılır.
Aydınlatma metni; kapıcı aracılığıyla imzalatılan bir belge, e-posta ile gönderilen bir bildirim veya site içindeki ilan panosuna asılan bir duyuru yoluyla iletebilir. Önemli olan, metnin KVKK'nın öngördüğü asgari unsurları içermesidir: veri sorumlusunun kimliği, işleme amacı, hukuki dayanağı, saklama süresi ve sakinlerin hakları. Hazır bir şablonla hazırlanmış tek sayfalık bir aydınlatma metni, yönetimi büyük bir yasal riskten koruyabilir.
Yeni bir sakin taşındığında aydınlatma yükümlülüğü yeniden başlar. Eski sakinlerin rızası mevcut sakin için geçerli değildir. Aynı şekilde, mevcut bir veri işleme faaliyetine yeni bir amaç eklendiğinde (ör. kamera sisteminin genişletilmesi, biyometrik kapı kilidine geçiş) aydınlatma işlemi tekrarlanmalıdır. Yöneticilerin bu yükümlülüğü rutin bir prosedür olarak benimsemesi, ilerleyen dönemlerde doğabilecek itirazları ve şikâyetleri önemli ölçüde azaltır.
Uygulamada birçok site yöneticisi, sakinlerden kapı girişi veya havuz kullanımı için "form doldurma" yoluyla bilgi toplamaktadır. Bu formların üstüne kısaca "verileriniz şu amaçla toplanmaktadır" ifadesi eklemek yeterli değildir; KVKK'nın belirlediği içerik standartlarını karşılayan eksiksiz bir aydınlatma metni sunulmalıdır. Bu konuda uzman bir avukata danışmak, doğru şablonu oluşturmak açısından en güvenli yoldur.
Açık Rıza ve İşlemenin Hukuki Dayanakları

KVKK kapsamında kişisel veriler yalnızca belirli hukuki dayanaklara sahip olduğunda işlenebilir. Bu dayanakların başında "açık rıza" gelir; ancak açık rıza tek seçenek değildir. Kanun, açık rıza dışında birçok durumda da veri işlemeye izin vermiştir. Site yönetimleri için en sık geçerli olan dayanaklar şunlardır: sözleşmenin ifası, kanuni yükümlülüğün yerine getirilmesi ve meşru menfaat.
Örneğin tapu kaydındaki isim ve daire bilgisi, yönetim sözleşmesinin gereği olarak işlenebilir; bunun için ayrıca açık rıza gerekmez. Benzer biçimde sakinlere aidat tahakkuku yapılması, kanuni bir yükümlülüğün yerine getirilmesi kapsamında değerlendirilebilir. Ancak bu dayanaklar bile sınırsız değildir: toplanan veri, belirlenen amacın zorunlu kıldığı ölçüyü aşamaz.
Biyometrik veriler için ise bu genel istisnalar geçerli değildir. Parmak izi veya yüz tanıma verisi, özel nitelikli kişisel veri sınıfına girdiğinden, işlenebilmesi için her zaman açık ve yazılı rıza alınması zorunludur. Rızanın geçerli sayılabilmesi için ise özgür iradeyle verilmesi, bilgilendirmeye dayalı olması ve belirli bir işleme amacını kapsaması gerekir. "Sistemi kullanmak istiyorsanız kabul etmek zorundasınız" şeklinde dayatılan bir rıza, hukuki açıdan geçersiz kabul edilir.
Yöneticilerin pratikte başvurabileceği en sağlam yol, her veri türü için hangi hukuki dayanağa sahip olduğunu içeren bir "veri envanteri" hazırlamaktır. Bu envanter hem olası bir denetimde hem de sakinlerin itiraz etmesi durumunda yöneticiye somut bir savunma zemini sunar. Uzman görüşü almadan bu belgeyi hazırlamak güç olabilir; bu nedenle KVKK danışmanlığı veren hukuk bürolarından destek almak tavsiye edilir.
Veri Güvenliği: Teknik ve İdari Önlemler

KVKK yalnızca veri toplanmasını değil, verilerin güvenli biçimde muhafaza edilmesini de düzenler. Kanun, veri sorumlularına "kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı olarak erişilmesini engellemek ve verilerin muhafazasını sağlamak" amacıyla uygun güvenlik düzeyini temin etmeyi zorunlu kılmaktadır. Bu düzenleme hem teknik önlemleri hem de idari tedbirleri kapsamaktadır.
Teknik önlemler açısından site yönetimlerinin dikkat etmesi gerekenler şunlardır: sakin bilgilerinin tutulduğu bilgisayar veya yazılıma şifre koruması uygulanması, kamera kayıtlarına yalnızca yetkili kişilerin erişebilmesi, fiziksel evrakların (sözleşmeler, tapu fotokopileri) kilitli dolaplarda saklanması ve eski/gereksizsiz verilerin güvenli biçimde imha edilmesi. Herhangi bir veri ihlali durumunda (ör. bilgisayarın çalınması, kayıtların sızdırılması) yönetimin 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirimde bulunması gerekmektedir.
İdari tedbirler ise personel ve yönetici eğitimini kapsar. Kapıcı veya güvenlik görevlisi gibi sakin verilerine erişen tüm çalışanlar, kişisel veri gizliliği konusunda bilinçlendirilmelidir. Çalışanlarla gizlilik taahhüdü içeren bir sözleşme imzalamak, olası ihlallerde hem yönetimin hem de çalışanın haklarını güvence altına alır. Bunun yanı sıra hangi çalışanın hangi veriye erişebildiğini belirleyen bir yetkilendirme politikası oluşturmak da önerilen iyi uygulamalar arasındadır.
WhatsApp grupları gibi mesajlaşma platformlarında sakin bilgilerinin paylaşılması da veri güvenliği açısından önemli bir risk taşımaktadır. Özellikle isim, telefon numarası ve daire bilgilerini içeren mesajlar, grup üyelerinin tamamına açık hâle geldiğinden KVKK ihlali oluşturabilir. Bu tür paylaşımların mümkün olduğunca sınırlandırılması ve yönetim iletişiminin güvenli kanallar üzerinden yürütülmesi tavsiye edilmektedir. Bu bağlamda apartman yönetim programı gibi özel yazılımlar, sakin verilerini merkezi ve güvenli bir ortamda tutarak bu riski önemli ölçüde azaltır.
Güvenlik Kamerası Sistemleri ve KVKK Uyumu

Güvenlik kameraları, site yönetimlerinin en çok gözden kaçırdığı KVKK yükümlülük alanlarından biridir. Kapalı devre kamera sistemleri (CCTV), bireysel olarak teşhis edilebilir görüntü kaydettiğinden "kişisel veri" işleme faaliyeti sayılır. Dolayısıyla kamera sistemi kuran her site yönetimi, bu işleme faaliyeti için de KVKK'ya uyum sağlamak zorundadır.
Uygulamada yerine getirilmesi gereken başlıca yükümlülükler şunlardır: kameranın kurulu olduğu alanlara açıkça görünür uyarı levhası asılması, sakinlerin kamera sistemi hakkında aydınlatılması, kayıtlara yalnızca yetkili kişilerin erişebilmesi ve görüntülerin belirli bir saklama süresinin ötesinde tutulmaması. Kişisel Verileri Koruma Kurumu'nun yayımladığı rehbere göre saklama süresi genellikle 30 gün ile sınırlı tutulmalı; meşru bir gerekçe olmaksızın daha uzun süre saklanmamalıdır.
Kameraların daire içini, balkonu veya özel alanları görecek şekilde konumlandırılması ise çok daha ağır ihlaller doğurur. Bu tür yerleştirme, hem KVKK kapsamında hem de Türk Ceza Kanunu'nun özel hayatın gizliliğini düzenleyen maddeleri kapsamında yaptırıma konu olabilir. Kamera açılarının yalnızca ortak kullanım alanlarını (giriş, otopark, asansör önü) kapsayacak biçimde ayarlanması, hem sakin mahremiyetini korur hem de yasal uyumu sağlar.
Bir sakin, kamera kayıtlarındaki kendi görüntülerine erişim talep edebilir. Bu talep KVKK'nın tanıdığı bir haktır ve yönetimin bu taleplere belirli bir süre içinde cevap vermesi gerekmektedir. Ancak başka sakinlerin görüntülerini içeren kayıtlar talep sahibine gösterilirken diğer kişilerin kimliğini gizlemek (maskeleme) gerekebilir. Bu teknik gereksinim, yönetimlerin kamera sistemi seçiminde yazılım desteğini de göz önünde bulundurması gerektiğini ortaya koyar.
Veri Saklama Süreleri ve İmha Yükümlülüğü

KVKK'nın öngördüğü "asgari veri saklama" ilkesi uyarınca kişisel veriler, işleme amacının gerektirdiği süreden fazla tutulamaz. Sakin artık dairesini terk etmiş ve yönetimle olan ilişkisi sona ermişse, söz konusu sakinle ilgili verilerin hangi koşullarda ne kadar süre daha saklanabileceği açıkça belirlenmeli ve bu süre dolduğunda veriler güvenli biçimde imha edilmelidir.
Pratikte pek çok yönetim eski sakinlerin bilgilerini yıllarca dosyalarda tutmaktadır. Bu alışkanlık hem depolama israfına hem de yasal riske yol açar. Sakinlerin taşınmasından sonra makul bir süre (genellikle hukuki ve mali anlaşmazlıklar için öngörülen zamanaşımı süreleri dikkate alınarak) verilerin imha edilmesi gerekmektedir. Bu konuda kesin bir yasal süre belirlenmemiş olsa da uzmanlar, apartman yönetimi bağlamında ticari defterlere ilişkin on yıllık saklama süresinin emsal alınabileceğini belirtmektedir; ancak bu yorum alanında uzman bir hukuk danışmanından teyit alınması önerilir.
Aşağıdaki tablo, site yönetimlerinde sık işlenen veri türleri ve önerilen azami saklama sürelerine genel bir bakış sunmaktadır:
| Veri Türü | İşleme Amacı | Önerilen Azami Saklama Süresi |
|---|---|---|
| Sakin kimlik bilgileri | Yönetim sözleşmesi, kayıt | İlişki sona erdikten sonra 10 yıl (ticari defter esas alınarak) |
| Banka / IBAN bilgisi | Mali işlemler | Son işlemden itibaren 10 yıl |
| Güvenlik kamerası görüntüleri | Güvenlik izleme | En fazla 30 gün (olay kaydı hariç) |
| Biyometrik veriler (parmak izi) | Kapı erişim kontrolü | Kiracılık/mülkiyet sona erene kadar; ardından derhal imha |
| Misafir/ziyaretçi kayıtları | Giriş-çıkış takibi | En fazla 30 gün |
| Şikâyet ve yazışma kayıtları | Hukuki savunma | Anlaşmazlık çözümünden itibaren 5 yıl |
İmha işlemi; kâğıt evrakların imha edilmesi, dijital verilerin kalıcı silinmesi (geri alınamaz biçimde) veya anonimleştirilmesi yoluyla gerçekleştirilebilir. Bu süreçleri kayıt altına almak ve yılda en az bir kez "veri imha protokolü" uygulamak, olası bir denetimde yönetimin uyumluluğunu kanıtlamasını kolaylaştırır.
Sakinlerin KVKK Kapsamındaki Hakları

KVKK, sakinlere kendi kişisel verileri üzerinde kapsamlı bir haklar bütünü tanımıştır. Yöneticilerin bu hakları bilmesi; hem sakinlere doğru bilgi vermek hem de gelen başvurulara usulüne uygun yanıt vermek açısından zorunludur. Hak başvurularının belirli usul kurallarına göre kabul edilmesi ve yasal süre içinde yanıtlanması gerekmekte; aksi takdirde bu durum başlı başına bir ihlal oluşturmaktadır.
Sakinlerin KVKK'nın 11. maddesi uyarınca sahip olduğu başlıca haklar şunlardır: hangi verisinin işlendiğini öğrenme hakkı, bu veriye erişim hakkı, hatalı verinin düzeltilmesini talep hakkı, belirli koşullar altında verinin silinmesini isteme hakkı ve veri işlemenin itiraz konusu yapılması hakkı. Bir sakin bu haklardan herhangi birini yazılı olarak yönetime iletirse, yönetim 30 gün içinde yanıt vermekle yükümlüdür.
Uygulamada zaman zaman sakinler "WhatsApp grubundaki fotoğrafımı silin" veya "listelerde adım yanlış yazılmış, düzeltin" gibi gündelik taleplerle yöneticiye başvurmaktadır. Bu başvurular, aslında KVKK kapsamında birer veri sahibi başvurusudur. Talep karşılanmazsa ilgili kişi Kişisel Verileri Koruma Kurumu'na şikâyet edebilir ve Kurum yönetim hakkında soruşturma başlatabilir. Bu tablonun önüne geçmenin en güvenli yolu, başvuruları ciddiye almak ve kayıt altına almaktır.
Yöneticinin aynı zamanda reddetme hakkı da mevcuttur: Talebin yerine getirilmesinin mümkün olmadığı durumlarda bu red gerekçesiyle birlikte yazılı olarak bildirilmelidir. "Hayır" demek de bir yanıttır; önemli olan yanıtsız kalmamaktır.
Veri İhlali Durumunda Ne Yapılmalı?

Kişisel veri ihlali; verilerin yetkisiz kişilerce ele geçirilmesi, yanlışlıkla ifşa edilmesi, kaybolması veya imha edilmesi durumlarını kapsar. Site yönetiminde bu durum; bilgisayarın çalınması, sakin listesinin hatalı kişiye iletilmesi, kamera kayıtlarının sızdırılması veya fiziksel belgelerin kaybolması biçiminde ortaya çıkabilir. İhlalin fark edildiği andan itibaren yönetimin belirli adımları hızla atması gerekmektedir.
KVKK'ya göre ciddi ihlaller, öğrenildiği tarihten itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirilmelidir. Her ihlal raporlanmak zorunda değildir; bireyin hak ve özgürlükleri açısından risk oluşturma ihtimali taşıyan ihlaller bildirime tabidir. Ancak şüphe durumunda bildirmek, bildirmemekten her zaman daha güvenlidir. İhlalden etkilenen sakinlerin de gecikmeksizin bilgilendirilmesi gerekmektedir.
İhlal sonrası yönetimin atacağı adımlar şu şekilde sıralanabilir: ihlalin kapsamını ve kaynağını tespit et, ihlalin yayılmasını durdurmak için hemen önlem al (sistemi kapat, belgeyi geri çağır vb.), 72 saat içinde Kuruma bildir, etkilenen sakinleri bilgilendir ve tüm süreci kayıt altına al. Bu kayıtlar hem Kurum denetiminde hem de olası bir davada yönetimin iyi niyetini ortaya koyar.
Bir ihlal sonrasında yönetimi koruyacak en güçlü kalkan, önceden oluşturulmuş bir "veri ihlali müdahale planı"dır. Bu plan; kimin hangi adımı atacağını, kime bildirileceğini ve hangi belgelerin düzenleneceğini önceden belirler. Profesyonel site yönetim yazılımı kullanan yönetimler, veri güvenliği protokollerini daha sistematik biçimde uygulayabilmekte ve olası ihlalin izini daha kolay sürebilmektedir.
Dikkat: Kişisel Verileri Koruma Kurumu, site yönetimlerine idari para cezası uygulama yetkisine sahiptir. 2024 yılı itibarıyla bu cezalar on binlerce Türk Lirası düzeyine ulaşabilmektedir. Üstelik aynı ihlal nedeniyle etkilenen sakinler ayrıca tazminat davası açma hakkına sahiptir. KVKK uyumunu ertelemeyin; şimdi atılacak küçük adımlar ilerleyen dönemde ciddi maliyetlerin önüne geçer.
Dijital Araçlarla KVKK Uyumunu Kolaylaştırma

Çok sayıda sakinle çalışan büyük site yönetimleri, KVKK yükümlülüklerini manuel yöntemlerle yerine getirmekte zorlanabilir. Kâğıt formlar, dağınık Excel tabloları ve kişisel mesajlaşma uygulamaları; veri envanteri tutmayı, saklama sürelerini takip etmeyi ve erişim denetimini son derece güçleştirir. Bu noktada profesyonel dijital yönetim çözümleri belirleyici bir fark yaratır.
Özel olarak geliştirilmiş apartman yönetim programları ve rezidans yönetim sistemleri, sakin verilerini merkezi bir veri tabanında şifreli biçimde tutar. Bu sistemlerde kimin hangi veriye eriştiği loglanır, veri saklama süreleri otomatik olarak izlenebilir ve eski verilerin silinmesi hatırlatıcılarla kolaylaştırılır. Ayrıca sakinlerle yapılan yazışmalar, ödeme kayıtları ve sözleşmeler de aynı platform üzerinde güvenle arşivlenebilir.
Dijital araçların KVKK uyumuna katkıları yalnızca teknik güvenlikle sınırlı değildir. Sakinlerin kendi verilerine erişim taleplerini sistematik biçimde yönetmek, aydınlatma metinlerini kayıt altında tutmak ve imha protokollerini otomatikleştirmek gibi idari yükümlülükler de yazılım desteğiyle çok daha verimli hâle gelir. Bu yaklaşım; yöneticinin zamanını korurken yasal uyumu da güçlendirir.
Veri güvenliği, yalnızca büyük kurumsal yapıların değil, beş dairelik küçük bir apartmanın yönetiminin de önceliği olmalıdır. Kişisel Verileri Koruma Kanunu, işlenen verinin miktarına göre değil, işlemenin niteliğine göre yükümlülük doğurur. Dolayısıyla az sayıda sakini olan küçük bir yönetim de büyük bir site kadar özenli olmak zorundadır.
Sık Sorulan Sorular

Site yönetimi KVKK kapsamında veri sorumlusu mudur?
Kapı girişinde parmak izi sistemine geçmek için sakinlerin rızası şart mıdır?
Eski sakinlerin bilgilerini ne kadar süre saklayabilirim?
Sakin verilerini WhatsApp grubunda paylaşmak KVKK ihlali midir?
Sakinlerinizin kişisel verilerini güvenle yönetmek ve KVKK uyumunu kolaylaştırmak için SiteYönetim apartman yönetim programını inceleyin. Merkezi veri yönetimi, erişim denetimi ve arşivleme özellikleriyle hem yasal yükümlülüklerinizi yerine getirin hem de yönetim süreçlerinizi dijitalleştirin.