Site Yönetimi

Ticari Gayrimenkul Yönetiminde KVKK Uyumu

AVM, ofis ve ticari yapılarda kişisel veri işleme yükümlülükleri nelerdir? KVKK kapsamında ticari gayrimenkul yöneticilerinin uyması gereken temel kuralları ve pratik adımları öğrenin.

Ticari Gayrimenkul Yönetiminde KVKK Uyumu

Ticari gayrimenkul yönetiminde KVKK uyumu, AVM'lerden ofis komplekslerine, rezidanslardan karma kullanım projelerine kadar her ticari yapıda zorunlu bir hukuki çerçevedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu, kiracı, çalışan ve ziyaretçi verilerini işleyen tüm yönetim birimlerini doğrudan kapsar; bu kapsamı görmezden gelen yapılar hem idari para cezasıyla hem de itibar kaybıyla yüz yüze gelir.

KVKK Nedir ve Ticari Gayrimenkulü Nasıl Etkiler?

KVKK kapsamında ticari gayrimenkul yönetimi hukuki dengesi

6698 sayılı Kişisel Verilerin Korunması Kanunu, 2016 yılında yürürlüğe girerek Türkiye'deki veri işleme pratiklerini köklü biçimde dönüştürdü. Kanunun temel amacı bireylerin özel hayatlarına ilişkin verilerin toplanması, saklanması, aktarılması ve silinmesi süreçlerini belirli ilkelere bağlamaktır. Ticari gayrimenkul sektörü bu kanundan belki de en çok etkilenen sektörlerin başında gelir; çünkü AVM'ler, ofis binaları, lojistik depolar ve karma kullanım projeleri her gün onlarca, yüzlerce hatta binlerce kişinin kişisel verisini işler.

Bir AVM yönetimi düşünün: giriş-çıkış kayıtları, kamera görüntüleri, kiracı sözleşme bilgileri, müşteri sadakat programı verileri, araç park kayıtları, güvenlik personeli kimlik bilgileri, teknik ekip izin belgeleri. Bunların tamamı KVKK anlamında "kişisel veri" sayılır ve her birinin nasıl toplandığı, nerede saklandığı, kimlerle paylaşıldığı ve ne zaman silineceği kanunun belirlediği çerçevede yürütülmek zorundadır. Aynı durum büyük ofis kulesi yönetimleri için de geçerlidir; kiracı çalışanlarının bina erişim kartı kayıtları bile bu kapsamda değerlendirilir.

Kanun, veri işleyen tarafları iki kategoriye ayırır: "veri sorumlusu" ve "veri işleyen". Ticari gayrimenkul yönetim şirketi çoğunlukla veri sorumlusu konumundadır; kamera sistemini işleten güvenlik firması, IT altyapısını sağlayan yazılım şirketi veya muhasebe hizmetleri sunan dış kaynak ise veri işleyen sayılır. Her iki tarafın yükümlülükleri farklılaşır ancak nihai sorumluluk büyük ölçüde veri sorumlusunun üzerinde kalır. Dolayısıyla dış hizmet aldığınız her tedarikçiyle KVKK uyumlu bir sözleşme yapmanız da yasal zorunluluktur.

Kanunun getirdiği ilkeler arasında en sık ihlal edilen ikisi "amaç sınırlılığı" ve "veri minimizasyonu"dur. Amaç sınırlılığı, topladığınız verinin yalnızca belirtilen amaç için kullanılabileceği anlamına gelir. Örneğin kira tahsilatı için aldığınız banka hesap bilgisini kiracıya pazarlama e-postası göndermek amacıyla kullanamazsınız. Veri minimizasyonu ise sadece o amaca gerçekten gerek duyulan veriyi toplamanızı şart koşar; "ileride işimize yarar" gerekçesiyle fazladan veri depolamak başlı başına bir ihlal zemini oluşturur.

Ticari Yapılarda Hangi Kişisel Veriler İşlenir?

Ticari gayrimenkul yönetiminde işlenen kişisel veri türleri

Ticari bir yapıda yönetim birimi çok çeşitli kategorilerde kişisel veri işler. Bu verilerin farkında olmak, uyum sürecinin ilk ve en kritik adımıdır. Varlığından haberdar olmadığınız bir veriyi koruyamazsınız; koruyamadığınız veri ise hem bireyler için hak ihlali oluşturur hem de yönetim için ciddi bir hukuki risk doğurur.

Kiracılara ait veriler bu kategorinin en kapsamlısıdır. Kira sözleşmesinde yer alan TC kimlik numarası, adres, e-posta, telefon, vergi kimlik numarası; ödeme geçmişi ve banka bilgileri; işletme ruhsatı kopyaları; imzacı yetkililerin kimlik fotokopileri bunların yalnızca bir kısmıdır. AVM'lerde kiracıların mağaza ciro beyanları da sıkça alınır; bu beyanlar tüzel kişiye ait olsa dahi içinde gerçek kişilere ait imza, unvan gibi veriler barındırabilir.

Ziyaretçi ve müşteri verileri, özellikle AVM ve rezidans projelerinde önemli bir boyut oluşturur. Ücretsiz Wi-Fi hizmeti için toplanan e-posta adresleri, sadakat kartı kayıtlarında yer alan doğum tarihleri, araç park sistemlerinin tuttuğu plaka verileri, güvenlik kameralarının kaydettiği görüntüler; bunların tamamı kişisel veri kapsamındadır. Kamera görüntüleri özellikle kritik bir alt başlıktır: saklama süresinin belirlenmesi, kayıtlara kimlerin erişebildiği ve silinme protokollerinin yazılı hale getirilmesi zorunludur.

Çalışan verileri de bu tablonun ayrılmaz bir parçasıdır. Güvenlik personelinin mesai kayıtları, teknik ekibin zimmet belgeleri, yönetim ofisinde çalışan idari personelin özlük dosyaları; bunlar iş hukuku ve KVKK'nın kesiştiği hassas bir alandır. Üçüncü taraf firma çalışanlarının bina giriş kartları için alınan fotoğraf ve kimlik bilgileri de veri sorumlusunun sorumluluğu altında değerlendirilebilir. Bu nedenle tedarikçi firmalarla yapılan sözleşmelere KVKK hükümlerine atıf yapan ve veri güvenliği yükümlülüklerini düzenleyen maddeler eklenmesi kritik önem taşır.

Veri Envanteri ve VERBİS Kaydı

Ticari gayrimenkul yönetiminde veri envanteri ve VERBİS kaydı süreci

KVKK uyumunun en somut ve ölçülebilir adımlarından biri Veri Sorumluları Sicil Bilgi Sistemi'ne, yani VERBİS'e kayıttır. Kural olarak yıllık çalışan sayısı 50'yi veya yıllık mali bilanço toplamı 25 milyon TL'yi aşan veri sorumlularının VERBİS'e kaydolması zorunludur. Büyük ölçekli AVM yönetim şirketleri ve kurumsal gayrimenkul yönetim firmaları bu eşiği kolaylıkla aşar; dolayısıyla bu firmalar için VERBİS kaydı tartışmasız bir yükümlülüktür. Küçük ölçekli yönetim ofisleri için eşik değerlerinin dikkatle kontrol edilmesi gerekir.

VERBİS kaydından önce yapılması gereken en önemli iş, kapsamlı bir veri envanteri çıkarmaktır. Veri envanteri, kurumunuzun hangi kişisel verileri topladığını, bu verileri hangi amaçla işlediğini, hangi hukuki dayanağa göre işlediğini, verilerin kimlerle paylaşıldığını, hangi ülkelere aktarıldığını ve ne kadar süre saklandığını sistematik biçimde belgeleyen bir kayıttır. Bu envanter aynı zamanda iç denetimler ve olası bir Kişisel Verileri Koruma Kurulu (KVKK Kurulu) soruşturmasında birincil savunma aracınız olacaktır.

Veri envanteri hazırlarken departman bazlı bir yaklaşım benimsemek işinizi kolaylaştırır. Güvenlik birimi, teknik hizmetler, kiracı ilişkileri, muhasebe ve insan kaynakları her birinin ayrı veri akışları vardır. Her departmandan sorumlu kişiyle yürütülen yapılandırılmış görüşmeler, gözden kaçırılan veri işleme süreçlerini gün yüzüne çıkarır. Örneğin, güvenlik departmanının kamera arşivlerini dışarıya manuel USB ile aktardığını ancak bunu herhangi bir protokole bağlamadığını ancak bu görüşmelerle öğrenebilirsiniz.

Envanter tamamlandıktan sonra her veri kategorisi için saklama süreleri belirlenmelidir. Türk hukukunda çeşitli kanunlar farklı saklama süreleri öngörür; Türk Ticaret Kanunu bazı ticari belgeleri 10 yıl saklamanızı gerektirirken KVKK amaç ortadan kalktığında silmeyi emreder. Bu iki yükümlülüğün çakıştığı noktalarda hukuki danışmanlık alarak saklama takvimi oluşturmak, hem uyum hem de risk yönetimi açısından doğru yaklaşımdır.

Aydınlatma Yükümlülüğü ve Rıza Mekanizmaları

Ticari gayrimenkul yönetiminde aydınlatma yükümlülüğü ve rıza alma süreci

KVKK'nın en temel yükümlülüklerinden biri, kişisel verisi işlenen bireyi bu işlem hakkında "aydınlatmak"tır. Aydınlatma, verinin kim tarafından, hangi amaçla, hangi hukuki dayanağa göre işlendiğini; kimlere aktarılabileceğini ve ilgili kişinin sahip olduğu hakları açıklayan bir bilgilendirme metninin usulüne uygun şekilde sunulmasını ifade eder. Ticari gayrimenkul bağlamında bu yükümlülük farklı noktalarda farklı biçimlerde hayata geçirilmelidir.

Kiracı sözleşmeleri aydınlatma metninin en kritik geçtiği belgelerdir. Kira sözleşmesine ek olarak veya sözleşmenin ayrılmaz parçası olarak sunulan aydınlatma metni, kiracının imzaladığı belgede yer almalı ya da imzalanmadan önce okunduğuna dair kayıt tutulmalıdır. Sözlü aydınlatma sonradan kanıtlanamaz; bu nedenle yazılı ve tarihli kayıtlar tutmak esastır. Bazı yönetim şirketleri aydınlatma metnini dijital kiracı portalları üzerinden sunar ve "okudum, anladım" onayını elektronik olarak arşivler; bu hem pratik hem de hukuki açıdan güçlü bir yöntemdir.

Kamera sistemleri için özel bir aydınlatma yükümlülüğü söz konusudur. Kameranın bulunduğu alanın girişine, ilgili kişilerin kolayca görebileceği şekilde, kameraya ilişkin temel bilgileri içeren görsel uyarı yerleştirilmesi zorunludur. Bu uyarının yalnızca "Güvenlik Kamerası" yazmasından öteye geçmesi gerekir; veri sorumlusunun kim olduğu ve daha fazla bilgi için nereden ulaşılabileceği de belirtilmelidir. Açık alan kameralarıyla kapalı alan kameraları arasındaki ayrımın da iyi yönetilmesi gerekir; tuvaletler, soyunma odaları ve benzeri mahremiyetin ön planda olduğu alanlar hiçbir koşulda kameraya alınamaz.

Rıza mekanizması ise aydınlatmadan farklı ve daha dar bir kavramdır. KVKK bazı veri işleme faaliyetleri için açık rıza şartı ararken diğerleri için "sözleşmenin kurulması veya ifası" ya da "meşru menfaat" gibi farklı hukuki dayanaklar öngörür. Örneğin kira sözleşmesinin kurulması için zorunlu olan kiracı kimlik verilerini sözleşme dayanağıyla işleyebilirsiniz; ancak aynı kiracıya ticari e-posta göndermeyi planlıyorsanız bunun için açık rıza almanız gerekir. Rıza alındıktan sonra kiracının bu rıcayı dilediği zaman geri çekebileceği unutulmamalıdır; geri çekme imkânını kolaylaştıracak mekanizmalar önceden kurulmuş olmalıdır.

Güvenlik Kameraları ve Biyometrik Erişim Sistemleri

Ticari yapılarda güvenlik kamerası ve biyometrik erişim sistemi KVKK uyumu

Güvenlik kameraları ticari gayrimenkul yönetiminin neredeyse her boyutunda karşımıza çıkar ve KVKK açısından en tartışmalı alanlardan birini oluşturur. Kamera görüntüleri kişisel veri sayıldığından bu verilerin işlenmesi için hukuki dayanak belirlenmesi, saklama süresinin sınırlı tutulması ve erişim kontrollerinin titizlikle kurgulanması şarttır. Ticari bir yapıda kameralar genellikle "meşru menfaat" veya "sözleşmeden doğan güvenlik yükümlülüğü" dayanaklarıyla işletilir; bu dayanakların da belgelenmiş bir meşruiyet değerlendirmesine oturtulması gerekir.

Saklama süresi belirlerken hem güvenlik gereksinimlerini hem de veri minimizasyonu ilkesini gözetmek gerekir. Sektörde yaygın olan 15-30 günlük saklama süresi çoğu senaryo için hukuki açıdan savunulabilir bir noktadır; ancak bunun üstüne çıkılacaksa somut gerekçelerin belgelenmesi beklenir. Önemli bir güvenlik olayı yaşandıysa ilgili görüntüler savcılık veya mahkemeye sunulmak üzere ayrı bir güvenli ortamda muhafaza edilebilir; bu durumda da süreç kayıt altına alınmalıdır.

Biyometrik erişim sistemleri ise farklı bir kategoride değerlendirilir. Parmak izi, retina taraması veya yüz tanıma sistemleri "özel nitelikli kişisel veri" kapsamına girer. KVKK, özel nitelikli verilerin işlenmesi için çok daha katı kurallar öngörür. Bu tür bir sistem kurmadan önce Kişisel Verileri Koruma Kurulu'nun belirlediği teknik ve idari tedbirlere uyum sağlanması, açık rıza alınması ve çoğu durumda sisteme bağlı kişilere alternatif erişim yöntemi sunulması gerekir. Bir ofis binasında tüm çalışanların parmak iziyle giriş zorunluluğuna tabi tutulması hukuki riskler barındırabilir; bu nedenle biyometrik sistemler devreye alınmadan önce mutlaka uzman görüşü alınmalıdır.

Erişim günlükleri de bu başlık altında ele alınması gereken bir veri türüdür. Kimin, ne zaman, hangi alana girip çıktığını kaydeden sistemlerin tuttuğu veriler kişisel veri niteliği taşır. Bu verilere kimlerin erişebildiğinin rol bazlı yetkilendirme sistemiyle sınırlandırılması, günlüklerin yetkisiz değiştirilmesini önleyecek teknik tedbirlerin alınması ve belirli bir süreden sonra otomatik silme sürecinin devreye girmesi iyi uygulama örnekleridir.

Kiracı ve Müşteri Haklarının Yönetimi

Ticari gayrimenkul yönetiminde kiracı ve müşteri KVKK hakları yönetimi

KVKK, kişisel verisi işlenen bireylere çeşitli haklar tanır. Bu hakların etkin biçimde kullandırılması, yönetim şirketleri açısından hem yasal bir yükümlülük hem de kurumsal bir güven meselesidir. İlgili kişinin başvurusu üzerine 30 günlük yasal yanıt süresini aşmak, Kişisel Verileri Koruma Kurulu'na şikayet yolunu açar ve idari para cezasını gündeme getirir.

İlgili kişi olarak tanımlanan kiracı, müşteri veya ziyaretçi şu hakları kullanabilir:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme hakkı
  • İşlenmişse buna ilişkin bilgi talep etme hakkı
  • İşlenme amacını ve amaca uygun kullanılıp kullanılmadığını öğrenme hakkı
  • Yurt içinde veya dışında aktarıldığı üçüncü kişileri öğrenme hakkı
  • Eksik veya yanlış işlenmesi halinde düzeltilmesini isteme hakkı
  • Kanunun öngördüğü şartlar çerçevesinde silinmesini talep etme hakkı
  • Düzeltme veya silme işlemlerinin üçüncü kişilere bildirilmesini isteme hakkı
  • Otomatik sistemler aracılığıyla analiz edilmesi sonucu aleyhine bir sonuç çıkmasına itiraz etme hakkı
  • Kanuna aykırı işlenmesi nedeniyle zarara uğraması halinde zararın giderilmesini talep etme hakkı

Bu hakların kullanılabilmesi için başvuru kanallarının açık ve erişilebilir olması gerekir. Yönetim ofisi adresine yazılı başvuru, kayıtlı elektronik posta (KEP) ya da sisteme tanımlı e-posta adresi üzerinden yapılan başvurular geçerli kabul edilir. Önemli olan nokta, gelen başvuruların takip edileceği, yetkilendirileceği ve yanıtlanacağı bir iç sürecin kurulmuş olmasıdır. Başvuru hiçbir zaman "alındı kaydı olmadan" dolaşımda kalmamalıdır.

Büyük yapılarda kiracı portalları veya yönetim yazılımları bu hakların kullanımı için pratik bir köprü sunabilir. Dijital platform üzerinden başvuru formu, otomatik alındı bildirimi ve süreç takip ekranı hem kiracı deneyimini güçlendirir hem de yönetim şirketinin yasal süreci zamanında tamamlama disiplinini korur. Rezidans yönetim sistemleri ve AVM yönetim yazılımları bu tür işlevleri giderek daha fazla bünyelerine katmaktadır.

Veri İhlali Yönetimi ve Bildirim Yükümlülüğü

Ticari gayrimenkul yönetiminde veri ihlali bildirimi ve müdahale süreci

Kişisel veri ihlali; işlenen verilerin yetkisiz kişilerce elde edilmesi, ifşa edilmesi, değiştirilmesi veya imha edilmesi anlamına gelir. Ticari gayrimenkulde bu tür ihlaller tahmin edilenden çok daha yaygındır: kamera sistemlerinin siber saldırıya uğraması, kiracı dosyalarının bulunduğu bilgisayarın çalınması, e-posta yanlış adrese gönderilmesi ya da yazılım güncellemesinin unutulması sonucu açık kalan bir sistem portu bunların sadece birkaç örneğidir.

KVKK kapsamında bir veri ihlali tespit edildiğinde veri sorumlusunun 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirimde bulunma yükümlülüğü doğar. Bu süre son derece kısadır; dolayısıyla ihlal anında ne yapılacağını önceden belirleyen yazılı bir olay müdahale planının hazır olması gerekir. Müdahale planı olmayan bir kuruluş, kritik ilk saatleri ne yapacağını tartışarak tüketir; bu da hem ihlal kapsamını genişletir hem de bildirim yükümlülüğünün gecikmesine yol açar.

İhlalin ilgili kişiler açısından yüksek risk yaratması durumunda, yani ifşa olan veriler finansal kayba veya kimlik hırsızlığına yol açabilecek nitelikteyse, yalnızca Kurul'a değil etkilenen kişilerin tamamına da ayrıca bildirim yapılması gerekir. Bu bildirimin içeriğinin, zamanlamasının ve yapılış biçiminin de kanunun öngördüğü standartlara uygun olması beklenir.

Önemli Uyarı: Bir veri ihlali yaşandığında "kendiliğinden düzelir" ya da "kimse fark etmez" beklentisiyle beklemek en riskli tutumdur. İhlallerin büyük çoğunluğu iç bildirim ya da kaza eseri dış keşifle ortaya çıkar; Kurul'a zamanında bildirim yapmayan veri sorumlularına uygulanan idari para cezaları ihlalin bizzat kendisi için öngörülen cezalardan çok daha yüksek olabilir. Bu nedenle şüphe anında derhal hukuk danışmanınıza ve bilgi güvenliği ekibinize başvurun. Bu makale genel bilgi amaçlıdır; somut durumlarda mutlaka uzman avukata danışın.

Teknik ve İdari Tedbirler

Ticari gayrimenkul yönetiminde teknik ve idari KVKK güvenlik tedbirleri

KVKK uyumu yalnızca hukuki belgelerle sağlanamaz; teknik altyapının da kanunun beklentileriyle örtüşmesi gerekir. Kişisel Verileri Koruma Kurulu'nun yayımladığı rehber dokümanlar ve kararlar, veri sorumlularından beklenen teknik ve idari tedbirleri somutlaştırmaktadır. Ticari gayrimenkul yönetiminde bu tedbirlerin nasıl hayata geçirileceğine ilişkin aşağıdaki tablo temel bir rehber niteliği taşır.

Tedbir Kategorisi Örnek Uygulama Öncelik Düzeyi
Erişim Kontrolü Rol bazlı yetkilendirme, güçlü parola politikası, çok faktörlü kimlik doğrulama Kritik
Şifreleme Kişisel veri içeren dosyaların şifrelenmesi, SSL/TLS ile iletim güvenliği Kritik
Günlük Yönetimi Erişim loglarının tutulması ve periyodik incelenmesi Yüksek
Yedekleme Düzenli yedekleme, yedeklerin şifreli saklanması Yüksek
Yazılım Güvenliği Güncel yamalar, güvenlik açığı taramaları Yüksek
Fiziksel Güvenlik Sunucu odası erişim kısıtlaması, kilitli dolap politikası Orta
Personel Eğitimi KVKK farkındalık eğitimi, gizlilik taahhütnameleri Orta
Tedarikçi Yönetimi KVKK uyumlu sözleşmeler, tedarikçi denetimi Orta

İdari tedbirler kapsamında dikkat edilmesi gereken ilk konu gizlilik taahhütnameleridir. Kişisel verilere erişimi olan tüm çalışanların, özellikle kiracı ilişkileri, muhasebe ve güvenlik departmanlarının, gizlilik taahhütnamesi imzalaması sağlanmalıdır. Bu belge hem çalışanın sorumluluğunun bilincinde olmasını sağlar hem de olası bir ihlalde kurumun özeni belgelemiş olduğunu kanıtlar.

Personel eğitimi KVKK uyumunun en sık ihmal edilen boyutudur. Teknik sistemler ne kadar iyi kurulursa kurulsun, sosyal mühendislik saldırıları veya bilgisizlikten kaynaklanan hatalar en büyük ihlal nedenlerini oluşturur. Yıllık veya dönemsel KVKK farkındalık eğitimlerinin, yeni işe alınan personel için işe başlamadan önce zorunlu hale getirilmesinin ve bu eğitimlerin kayıt altına alınmasının kurumsal uyum kültürü açısından büyük değeri vardır.

Yaptırımlar ve İdari Para Cezaları

KVKK ihlalinde ticari gayrimenkul yönetimine uygulanabilecek yaptırımlar ve para cezaları

KVKK ihlalleri ciddi idari ve hukuki sonuçlar doğurabilir. Kişisel Verileri Koruma Kurulu, ihlal türüne ve boyutuna göre farklı miktarlarda idari para cezası uygulama yetkisine sahiptir. Yıllar içinde bu cezalar hem daha düzenli hem de daha yüksek miktarda uygulanmaya başlamış; ticaret mahkemeleri de KVKK ihlalinden kaynaklanan tazminat davalarına giderek daha yoğun biçimde konu olmuştur.

Ceza miktarları kanunun ilgili maddesine ve ihlal ağırlığına göre değişir. Aydınlatma yükümlülüğünün yerine getirilmemesi, rıza alınmaması, veri güvenliği tedbirlerinin alınmaması ve Kurul kararlarına uyulmaması ayrı ayrı ceza öngörülen başlıklardır. Kurul cezaları gerçek ve tüzel kişiler için farklı üst limitlere tabi olup her yıl yeniden değerleme katsayısıyla güncellenir; bu nedenle güncel rakamlar için resmi Kurul kaynaklarına başvurulması önerilir.

İdari yaptırımların ötesinde KVKK ihlali; kiracıların güvenini zedeleyebilir, mağaza sözleşme yenilemelerinde olumsuz bir etken haline gelebilir ve kurumsal yatırımcılara yönelik durum tespiti (due diligence) süreçlerinde kritik bir risk kalemi olarak öne çıkabilir. Büyük fonların ve kurumsal yatırımcıların portföyüne almayı değerlendirdiği ticari gayrimenkuller için KVKK uyumu artık finansal değerleme sürecinin bir bileşeni haline gelmiştir. Bu açıdan bakıldığında uyum yatırımı, yalnızca bir ceza önleme aracı değil aynı zamanda varlık değerini koruyan stratejik bir karar olarak değerlendirilmelidir.

Yabancı ortaklı ya da uluslararası kiracıları olan ticari yapılar için Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) ile uyum gereksinimi de gündeme gelebilir. Özellikle AB'de yerleşik kiracıların çalışanlarının veya müşterilerinin verilerini işleyen yönetim birimleri, KVKK'ya ek olarak GDPR kapsamını da incelemelidir. Bu iki düzenleme birçok konuda örtüşse de belirli farklılıklar taşır; çift uyum gerektiren senaryolar için hukuk danışmanlığı zorunludur.

KVKK Uyum Takvimi: Adım Adım Yol Haritası

Ticari gayrimenkul yönetimi için KVKK uyum takvimi ve adım adım yol haritası

KVKK uyumuna nereden başlayacağını bilmemek, pek çok ticari gayrimenkul yönetim şirketinin hareketsiz kalmasının başlıca nedenidir. Oysa süreç doğru adımlarla yönetildiğinde birkaç ay içinde güçlü bir uyum altyapısı kurulabilir. Aşağıdaki yol haritası küçük ve orta ölçekli ticari yapı yönetim birimlerine sistematik bir başlangıç noktası sunar; büyük ve karmaşık yapılar için daha ayrıntılı bir proje planlaması gerekebilir.

Birinci aşamada mevcut durumun tespiti yapılır. Hangi verilerin işlendiği, hangi sistemlerin kullanıldığı ve mevcut politikaların ne ölçüde yeterliliği değerlendiren bir boşluk analizi (gap analysis) gerçekleştirilir. Bu aşama dışarıdan bağımsız bir KVKK danışmanıyla yürütüldüğünde çok daha nesnel sonuçlar verir.

İkinci aşamada veri envanteri çıkarılır ve VERBİS kaydı yapılır. Yukarıda ayrıntılı ele alındığı üzere bu, sürecin en emek yoğun adımıdır ve doğru yapıldığında geri kalan tüm adımların temelini oluşturur.

Üçüncü aşamada politikalar ve belgeler hazırlanır: gizlilik taahhütnameleri, aydınlatma metinleri, rıza formları, saklama ve imha politikası, veri ihlali müdahale planı ve tedarikçi sözleşme ekleri bu kapsamda üretilmesi gereken temel dokümanlardır.

Dördüncü aşamada teknik tedbirler hayata geçirilir: erişim kontrolü, şifreleme, yedekleme ve günlük yönetimi sistemleri kurulur ya da güncellenir. Beşinci ve son aşamada personel eğitimleri verilir ve periyodik iç denetimlerin takvimi belirlenir. Uyum bir kez tamamlanıp unutulabilecek bir proje değil; düzenli bakım gerektiren yaşayan bir süreçtir. Kanun değişiklikleri, Kurul kararları ve iş süreçlerindeki dönüşümler uyum çalışmalarını sürekli güncel tutmayı zorunlu kılar.

Ticari yapı yönetiminizde dijitalleşme artıyorsa site yönetim yazılımı seçiminde de KVKK uyumunu bir değerlendirme kriteri olarak öne alın. Yazılımın verileri nerede sakladığı, hangi güvenlik sertifikalarına sahip olduğu, tedarikçinin KVKK kapsamında veri işleyen sıfatını kabul eden bir sözleşme imzalamaya hazır olup olmadığı kritik sorulardır.

Sık Sorulan Sorular

Ticari gayrimenkul yönetiminde KVKK ile ilgili sık sorulan sorular
Küçük ölçekli ticari bir yapı yönetimi de VERBİS'e kayıt olmak zorunda mı?
VERBİS kaydı yükümlülüğü, yıllık çalışan sayısı 50'yi veya yıllık mali bilanço toplamı 25 milyon TL'yi aşan veri sorumlularına uygulanır. Bu eşiğin altındaki küçük ölçekli yönetim birimleri VERBİS'e kayıt olmak zorunda değildir; ancak KVKK'nın diğer yükümlülükleri (aydınlatma, güvenlik, ilgili kişi hakları) tüm ölçeklerdeki veri sorumlularını kapsar. Kendi ölçeğinizi değerlendirirken güncel eşik değerlerini ve Kurul açıklamalarını takip etmenizi öneririz.
Kira sözleşmesindeki kiracı bilgilerini reklam veya pazarlama amacıyla kullanabilir miyim?
Hayır, kullanamazsınız. Kira sözleşmesinin kurulması ve ifası için toplanan bilgiler yalnızca o amaçla kullanılabilir; bu KVKK'nın amaç sınırlılığı ilkesinin doğrudan bir gereğidir. Kiracıya ticari elektronik ileti göndermek için ayrıca açık rıza almanız ve bu rızanın Elektronik Ticaretin Düzenlenmesi Hakkında Kanun'a uygun biçimde kayıt altına alınması gerekir. Rıza alınmadan yapılan ticari iletişimler hem KVKK hem de ETK kapsamında yaptırım riski taşır.
AVM içindeki güvenlik kamerası görüntüleri ne kadar süre saklanabilir?
KVKK, belirli sektörler için sabit bir saklama süresi öngörmez; veri minimizasyonu ve amaç sınırlılığı ilkeleri doğrultusunda kamera görüntülerinin amaca ulaşmak için gerekli olduğu süre kadar saklanması gerekir. Sektörde yaygın kabul gören 15-30 günlük süre, olağan güvenlik ihtiyacı için genellikle yeterli ve savunulabilir kabul edilmektedir. Ancak bu sürenin üzerine çıkılacaksa somut bir gerekçe belgelenmeli ve VERBİS kaydında bu saklama süresi teyit edilmelidir. Her durumda hukuki danışmanlık alınması önerilir.
Dış kaynaklı güvenlik veya temizlik firmasının çalışanlarının verilerinden kim sorumlu?
Bu çalışanlar hukuken dış firmanın işçisi olsa da bina yönetiminin onların bina erişim kartı kayıtları, giriş-çıkış logları ve benzeri verilerini işlemesi halinde bina yönetimi bu veriler bakımından veri sorumlusu veya veri işleyen sıfatı kazanabilir. Bu durumu netleştirmenin yolu, dış hizmet firmasıyla yapılan sözleşmeye KVKK hükümleri eklenmesidir: hangi tarafın hangi verileri işlediği, güvenlik yükümlülüklerinin nasıl paylaşıldığı ve bir ihlal halinde kimin ne yapacağı yazılı olarak belirlenmelidir. Somut durumunuz için mutlaka hukuki danışmanlık alın.

Ticari gayrimenkul yönetiminizde KVKK uyumu için doğru yazılım altyapısını arıyorsanız, veri güvenliği odaklı site yönetim yazılımı çözümlerimizi inceleyin. Kiracı bilgilerinin güvenli saklanması, erişim yetkisi yönetimi ve dijital belge arşivi gibi uyum süreçlerinizi destekleyen özellikler tek platformda bir araya geliyor.

Yönetimi dijitalleştirmeye hazır mısınız?

SiteYönetim ile aidat, muhasebe, genel kurul ve arıza takibini tek platformda yönetin. 14 gün ücretsiz deneyin.

Ücretsiz Başlayın
Tüm yazılara dön