Veri ihlali durumunda yönetimin sorumluluğu hem hukuki hem de idari boyutlar taşır: apartman veya site yönetimi, sakinlere ait kişisel verileri işleyen bir veri sorumlusu sıfatıyla 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamındadır ve ihlal anından itibaren en geç 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapmak zorundadır.
Apartman ve Site Yönetimi Neden Veri Sorumlusudur?

Bir apartman ya da toplu yapı sitesi yönetimi, günlük işleyişi sırasında onlarca hatta yüzlerce kişiye ait kişisel veriyi toplar, saklar ve işler. Bu veriler yalnızca isim ve soyisimden ibaret değildir; malik ve kiracı TC kimlik numaraları, iletişim bilgileri, araç plakaları, banka hesap numaraları, güvenlik kamerası kayıtları, ziyaretçi logları ve hatta bazı durumlarda sağlık veya engel durumu bilgilerini kapsar.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 3. maddesinde veri sorumlusu; "kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi" olarak tanımlanmaktadır. Apartman yöneticisi aidat tahsilatı için banka bilgisi topladığında, kapıda kimlik fotokopisi aldığında ya da güvenlik kamerası görüntüsü kaydettiğinde bu tanımın tüm koşullarını yerine getirmektedir.
Yönetim kurulunun tüzel kişiliği olmadığı durumda —örneğin kat malikleri kurulu tarafından seçilmiş bireysel yönetici— veri sorumlusu sıfatı fiilen bu kişiye ya da yönetim kuruluna geçer. Bir yönetim şirketi devreye girdiğinde ise ilişki veri sorumlusu-veri işleyen şeklinde şekillenir ve yönetim şirketi ile kat malikleri kurulu arasında yazılı bir sözleşme yapılması zorunlu hale gelir. Bu ayrımı baştan netleştirememek, ihlal anında kimin sorumlu tutulacağı konusunda ciddi belirsizliklere ve çifte risk altına girmeye yol açar.
Kısacası, yönetimin "biz küçük bir yapıyız" ya da "sadece aidat takibiyiz" demesi yasal bir muafiyet sağlamaz. Kanun küçük ölçekli yapıları da kapsamakta olup veri sorumluluğu, işlenen veri miktarından bağımsız olarak başlamaktadır.
Veri İhlali Nedir ve Hangi Durumlar İhlal Sayılır?

KVKK'nın 12. maddesi ve Kişisel Verileri Koruma Kurumu'nun rehber dokümanları çerçevesinde veri ihlali; işlenen kişisel verilerin kazara veya hukuka aykırı biçimde imha edilmesi, kaybolması, değiştirilmesi, yetkisiz açıklanması ya da yetkisiz erişime konu olması anlamına gelir. Bu tanım son derece geniş bir alanı kapsar ve apartman yönetimleri için pratikte karşılaşılan ihlal senaryoları oldukça çeşitlidir.
En sık rastlanan ihlal türlerine bakıldığında şu tablo ortaya çıkar: Yöneticinin e-posta hesabının ele geçirilmesi ve sakinlerin iletişim bilgileriyle aidat bilgilerinin sızdırılması; güvenlik kamerası sistemine dışarıdan yetkisiz erişim; apartman ilan panosuna isim, daire numarası ve borç bilgisi içeren listenin herkesin görebileceği şekilde asılması; kiracı değişikliğinde eski kiracıya ait dosyaların imha edilmeden yeni yöneticiye devredilmesi; ya da bina yönetim yazılımına zayıf şifre nedeniyle izinsiz giriş.
Dikkat edilmesi gereken önemli bir nokta şudur: İhlal her zaman siber saldırı değildir. Yöneticinin eski bir telefondaki whatsapp grubunu silmeden cihazı satması, kâğıt formları açık alanda bırakması ya da çöpe atması da veri ihlali niteliği taşır. Fiziksel ve dijital ortamların her ikisi de kanun kapsamındadır.
Bir başka hassas alan da güvenlik kamerası kayıtlarıdır. Görüntü verisi açıkça kişisel veri sayılmakta, kayıt süresi ve erişim yetkisi belirsiz bırakıldığında ise ihlal riski katlanmaktadır. Yönetimin kameralar için ayrı bir aydınlatma yükümlülüğü bulunduğunu ve bu yükümlülüğün yerine getirilip getirilmediğinin ihlal değerlendirmesinde dikkate alındığını göz ardı etmemek gerekir.
72 Saat Bildirim Yükümlülüğü ve Süreci

KVKK'nın 12. maddesinin 5. fıkrası; veri sorumlusunun, kişisel verilerin ihlal edildiğini öğrenmesinden itibaren en kısa sürede ve her halükarda 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirmesini zorunlu kılmaktadır. Bu 72 saatin dolmadan önce bildirim yapılamaması durumunda gecikmeli bildirime gerekçe eklenmesi gerekmektedir ve bu durum başlı başına ek yaptırım riski doğurabilir.
Bildirim, Kurum'un resmi web portalı üzerinden çevrimiçi olarak yapılmaktadır. Bildirimde şunların yer alması beklenir: İhlalin ne zaman fark edildiği ve tahminen ne zaman başladığı; hangi kategoride ve yaklaşık kaç kişinin etkilendiği; ihlale konu veri türleri; ihlalin olası sonuçları; alınan veya alınmakta olan önlemler; iletişim için veri sorumlusu temsilcisinin bilgileri. Apartman yönetimi bireysel bir yöneticiden oluşuyorsa bu bilgileri tek kişi dolduracak; bir yönetim şirketi söz konusuysa şirket temsilcisi sorumlu olacaktır.
Bildirim yükümlülüğünün yanı sıra etkilenen veri sahiplerinin de —yani sakinlerin— bilgilendirilmesi zorunludur. Bu bildirim "en kısa sürede" yapılmalı ve sakin açısından hangi risklerin doğduğunu, ne gibi önlemler alındığını açık bir dille anlatmalıdır. Bu bildirimi yapmamanın ya da geciktirmenin ayrı bir ağırlaştırıcı unsur teşkil ettiği unutulmamalıdır.
Yöneticiler pratikte ihlali fark etmekte gecikebilir: Güvenlik kamerasına ay önce sızıldığı ya da e-posta hesabının haftalardır takip edildiği sonradan ortaya çıkabilir. Bu durumda öğrenme anı, ihlalin başlangıcı değil, bildirim süresinin başladığı andır. Bununla birlikte Kurul, gecikmeli farkındalıklarda yönetimin makul önlemleri alıp almadığını da değerlendirmektedir.
İdari Para Cezaları ve Yaptırımlar

KVKK'nın 18. maddesi, veri güvenliği yükümlülüklerini yerine getirmeyen ya da ihlal bildirimini yapmayan veri sorumlularına idari para cezası uygulanacağını açıkça düzenlemektedir. Bu cezalar her yıl yeniden değerleme oranında güncellenmekte olup oldukça yüksek seviyelere ulaşabilmektedir. Apartman yönetimi gibi görece küçük yapılar için bile ciddi mali yük oluşturabilecek tutarlardan söz edilmektedir.
Yaptırımlar salt para cezasıyla sınırlı değildir. Kurul, gerekli görmesi halinde kişisel verilerin silinmesine, yok edilmesine ya da anonim hale getirilmesine karar verebilir; veri işleme faaliyetlerinin durdurulmasını talep edebilir. Bu tür kararlar bir apartman yönetimi için dijital sistemlerin kapanması, tahsilat süreçlerinin aksaması anlamına gelebilir ve yöneticinin kat malikleri nezdindeki sorumluluğunu da tetikler.
Dikkat çeken bir husus şudur: Kurul, ihlalin varlığından bağımsız olarak ihlal öncesi alınan önlemleri ve teknik-idari tedbirlerin yeterliliğini değerlendirmektedir. Yani ihlal yaşanmamış olsa bile yeterli teknik tedbir almayan ya da personelini eğitmeyen veri sorumlusu denetim sonucunda cezaya muhatap olabilir. Bu gerçek, uyum çalışmalarını "ihlal olunca yaparız" ertelemesinin ne denli riskli olduğunu açıkça göstermektedir.
Öte yandan bireysel yöneticinin kişisel sorumluluğu da gündeme gelebilir. Yönetim kurulu kararlarında imzası bulunan, veri güvenliği önlemlerini almayan ya da bilerek sakinlerin verilerini üçüncü taraflarla paylaşan bir yönetici; kat malikleri tarafından tazminat davası, Kurul tarafından ise bireysel yaptırımla karşılaşabilir.
Yöneticinin Hukuki Tazminat Sorumluluğu

KVKK'nın 11. maddesi çerçevesinde veri ihlalinden zarar gören her sakin, veri sorumlusundan zararının tazminini talep etme hakkına sahiptir. Bu hak, Türk Borçlar Kanunu'nun genel haksız fiil hükümleriyle de desteklenmektedir. Dolayısıyla ihlal nedeniyle sakinlerden birinin kimlik bilgileri üçüncü şahısların eline geçmiş ve bu kişi maddi ya da manevi zarara uğramışsa, yönetim doğrudan tazminat yükümlüsü olabilir.
Tazminat davalarında ispat yükü meselesi önem taşır. Sakin, zararını ve ihlalle bu zarar arasındaki illiyet bağını ispat etmekle yükümlüdür. Ancak yönetim, gerekli teknik ve idari tedbirleri aldığını ispat edemezse bu durumun aleyhine değerlendirilmesi kuvvetle muhtemeldir. Mahkemeler KVKK hükümleri ışığında veri sorumlusunun özen yükümlülüğünü yerine getirip getirmediğini sorgularken aksini ispat yükünü yönetime yüklemektedir.
Somut bir senaryo düşünelim: Apartman yöneticisi, site sakinlerine ait banka hesap numarası ve aidat borç bilgilerini içeren bir Excel tablosunu yanlışlıkla apartmanın genel WhatsApp grubuna gönderir. Hatta bu bilgiler istemeden dışarıya sızar. Bu durumda etkilenen sakinlerin hem Kurul'a şikâyet hem de ayrı bir tazminat davası açma yolu açık olacaktır. Yöneticinin dosyayı kasıtlı paylaşmamış olması, ihmalin varlığını ortadan kaldırmaz.
634 sayılı Kat Mülkiyeti Kanunu açısından değerlendirildiğinde de yöneticinin sorumluluğu genişlemektedir. Kanun, yöneticinin ana taşınmazı özenle yönetmekle yükümlü olduğunu hüküm altına almaktadır; bu özen yükümlülüğü günümüzde dijital varlıkları ve kişisel verileri de kapsamaktadır. Kat malikleri kurulu, veri ihlali nedeniyle yöneticiyi görevden alabilir ve uğranılan zararlar için hesap sorabilir.
Teknik ve İdari Tedbirler: Yönetimin Yapması Gerekenler

KVKK'nın 12. maddesine göre veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, verilere hukuka aykırı erişimi engellemek ve verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Apartman ve site yönetimleri için bu yükümlülük somut adımlara dönüştürülebilir.
Teknik tedbirler arasında şunlar sayılabilir: Kullanılan yazılım ve sistemlere güçlü ve düzenli değiştirilen şifreler atanması; kişisel veri içeren belgelerin şifreli ya da erişim kısıtlı ortamlarda saklanması; güvenlik kamerası sistemine erişim yetkilerinin kayıt altına alınması; eski veya güncellenmeyen yazılımların kullanılmaması; veri yedeklemelerinin düzenli ve güvenli şekilde yapılması. Özellikle apartman yönetim programı gibi dijital platformlar kullanılıyorsa bu platformların KVKK uyumlu olduğunun tedarikçiden yazılı olarak teyit edilmesi kritik önem taşır.
İdari tedbirler de en az teknik tedbirler kadar belirleyicidir. Hangi personelin hangi verilere erişebildiğini belgeleyen bir veri envanteri oluşturulması; kapıcı ya da güvenlik görevlisi gibi üçüncü kişilerle yaptırılan sözleşmelere gizlilik maddesi eklenmesi; sakinlerin verilerini nasıl işlediğinizi açıklayan aydınlatma metninin oluşturulması ve görünür bir yerde yayınlanması önemli idari adımlar arasındadır. Bir yönetim şirketiyle çalışılıyorsa KVKK'nın gerektirdiği veri işleme sözleşmesinin imzalanması zorunludur.
Önemli Uyarı: Kişisel Verileri Koruma Kurumu'na kayıt yükümlülüğü 2018 yılında yürürlüğe giren Veri Sorumluları Sicili Bilgi Sistemi (VERBİS) kapsamında değerlendirilmektedir. Yıllık çalışan sayısı ve işlenen veri hacmine göre belirlenen eşiğin üzerinde kalan apartman yönetimleri için VERBİS kaydı zorunlu olabilir. Kendi durumunuzun bu eşiği aşıp aşmadığını bağımsız bir hukuk danışmanına teyit ettirmeniz tavsiye edilir.
İhlal Sonrası Kriz Yönetimi: Adım Adım Süreç

Bir veri ihlali anında panik, belirsizlik ve aceleci kararlar büyük tehlikeler barındırır. Yönetimin önceden belirlenmiş bir eylem planına sahip olması, hem yasal yükümlülüklerin zamanında yerine getirilmesini hem de zararın sınırlandırılmasını sağlar. İhlal anında izlenecek adımlar belirli bir sırayla uygulanmalıdır.
İlk adım olarak ihlal derhal teyit edilmeli ve boyutu anlaşılmaya çalışılmalıdır: Hangi veriler etkilendi? Kaç kişi etkilendi? İhlal hâlâ devam ediyor mu? Bu aşamada sisteme erişimi geçici olarak kesmek, şifreleri değiştirmek ya da etkilenen cihazı ağdan izole etmek gibi önlemler ihlalin yayılmasını engeller. Mümkünse etkilenen sistemlerin ve loğların yedeği alınmalı, delil zinciri korunmalıdır.
İkinci adım 72 saat süresinin takibidir. Öğrenme anından itibaren saat başlar; bu süre içinde KVKK portalında bildirim tamamlanmalıdır. Bildirim yapılırken mevcut bilgilerin tamamına henüz ulaşılamamış olsa bile mevcut bilgilerle bildirim yapılması, sonradan güncellenmesi kabul edilebilirdir. Bildirimi yapmak için "tam bilgiye sahip olana kadar bekleyeyim" yaklaşımı yasal süreyi kaçırmanıza neden olur.
Üçüncü adım etkilenen sakinlerin bilgilendirilmesidir. Bildirim yazısı; ihlalin ne olduğunu, hangi verilerinin etkilendiğini, bunun olası sonuçlarını ve sakinlerin kendilerini korumak için ne yapmaları gerektiğini (örneğin banka bilgileri sızdıysa bankalarını aramaları) net bir dille açıklamalıdır. Panik yaratmayan ama açık olan bir iletişim tonu hem hukuki hem etik açıdan doğrudur.
Dördüncü adım olayı kayıt altına almak ve tekrarlanmaması için sistemi gözden geçirmektir. Hangi açıktan ihlal gerçekleşti, nasıl önlenecek, hangi süreç değiştirilecek sorularına yanıt arayan bir iç rapor hazırlanmalıdır. Bu rapor gelecekte Kurul denetimiyle karşılaşıldığında iyi niyetin ve uyum çabasının somut kanıtı olarak işlev görecektir.
Güvenlik Kameraları ve Özel Veri Kategorileri

Güvenlik kamerası kayıtları, apartman ve site yönetimlerinin en sık ve en bilinçsizce işlediği kişisel veri türüdür. Kişisel Verileri Koruma Kurumu'nun yayımladığı "Kapalı Devre Kamera Sistemleri Hakkında Rehber" açıkça ortaya koymaktadır ki yönetimin kamera konuşlandırırken ve kayıtları saklarken uyması gereken kapsamlı kurallar mevcuttur.
Öncelikle kameralar yalnızca belirlenmiş meşru amaç için —güvenlik, suç önleme gibi— kullanılabilir; bu amaca hizmet etmeyen alanlara (örneğin daire kapıları yakını, merdiven boşluğu) yönlendirilemez. Kayıt süreleri gereksiz yere uzatılamaz; Kurul rehberinde ortalama 1-2 haftalık saklama süresi meşru kabul edilmekte, daha uzun süreler için gerekçe aranmaktadır. Kayıtlara kimlerin eriştiği log olarak tutulmalı, yetkisiz personelin erişiminin önüne geçilmelidir.
Kamera sistemlerinin ihlale konu olması —örneğin sisteme dışarıdan girilmesi ya da görüntülerin yetkisiz kişilere aktarılması— ciddi sonuçlar doğurur. Sakinlerin görüntüleri ifşa olan bir alanda yaşadığı düşünüldüğünde ortaya çıkacak manevi zarar tazminatı talepleri son derece yüksek olabilir. Üstelik yöneticinin kişisel sorumluluğu ile kat malikleri kurulunun kolektif sorumluluğu iç içe geçer.
Özel nitelikli kişisel veriler ise ayrı bir başlık altında ele alınmalıdır. Bir sakin engel durumunu, sağlık bilgisini ya da dini kimliğini yönetimle herhangi bir nedenle (örneğin asansör önceliği ya da ortak alan kullanımı için) paylaşmışsa bu veriler özel nitelikli kategorisine girer ve çok daha sıkı bir koruma rejimi uygulanır. Bu verilerin işlenmesi ancak açık rıza veya kanunda belirtilen istisnalar kapsamında mümkündür; ihlal halinde olağan veri ihlallerine kıyasla çok daha ağır sonuçlar gündeme gelir.
Yönetim Şirketleri ve Dış Hizmet Alımında Sorumluluk

Birçok büyük site ve rezidans, yönetim işlerini uzman bir yönetim şirketine devreder. Bu ilişki KVKK çerçevesinde "veri sorumlusu - veri işleyen" ilişkisi olarak nitelendirilir. Kat malikleri kurulu ya da yönetim kurulu veri sorumlusu olmayı sürdürürken yönetim şirketi veri işleyen sıfatını alır. Bu ayrım yalnızca akademik değil, pratik öneme sahiptir.
KVKK'nın 12. maddesinin 2. fıkrası uyarınca veri sorumlusu; veri işleyenin, gerekli güvenlik önlemlerini almasını temin etmekle ve denetimini yapmakla yükümlüdür. Başka bir deyişle yönetim şirketinin ihlal yapması halinde kat malikleri kurulu "biz vermemiştik, şirket yaptı" diyerek sorumluluktan kurtulamaz. Öte yandan yönetim şirketiyle imzalanacak hizmet sözleşmesine KVKK uyum maddelerinin, veri güvenliği yükümlülüklerinin ve ihlal halinde bildirim sorumluluklarının net biçimde eklenmesi gerekir.
Pratik açıdan bakıldığında yönetim şirketiyle sözleşme yapılırken şu soruların yanıtlanması şart olmalıdır: Şirket hangi verileri işleyecek ve bu veriler nerede saklanacak? Şirketin VERBİS kaydı var mı? Bir alt yüklenici (örneğin bulut depolama sağlayıcısı) kullanılıyorsa bu da sözleşmede belirtilecek mi? İhlal durumunda şirket kaç saat içinde kat malikleri kurulunu bildirecek? Rezidans yönetim sistemi kullanan büyük yapılarda bu soruların yazılı yanıtları sözleşmenin ayrılmaz bir parçası haline gelmelidir.
Yönetim şirketlerinin kendi çalışanları da ayrı bir risk noktasıdır. Şirkette çalışan personelin hizmet sona erdiğinde sistem erişimlerinin kapatılıp kapatılmadığı, eski çalışanların elinde sakin verisi kalıp kalmadığı; bu konular hem şirket sözleşmesinde hem de periyodik denetimlerde gündeme taşınmalıdır.
Uyum Çalışmalarında Pratik Başlangıç Noktaları

KVKK uyumu büyük bir proje gibi görünebilir; ancak apartman ve site yönetimleri için atılacak temel adımlar bellidir ve bütçe gerektirmeksizin önemli bir mesafe kat etmek mümkündür. Uyum çalışmalarını başlatmak için aşağıdaki unsurlar öncelikli olmalıdır.
- Veri Envanteri: Hangi verilerin, hangi yolla, nerede saklandığını ve ne kadar süre tutulduğunu belgeleyin.
- Aydınlatma Metni: Sakinlere verilerini nasıl işlediğinizi açıklayan, kapıya asılabilecek ya da e-postayla iletebileceğiniz sade bir metin hazırlayın.
- Erişim Kısıtlaması: Kişisel veri içeren dosya ve sistemlere yalnızca ihtiyaç duyan kişilerin erişebildiğinden emin olun.
- Güçlü Şifre ve İki Faktörlü Doğrulama: Yönetim yazılımı, e-posta hesabı ve güvenlik kamerası sistemlerinde zorunlu kılın.
- Kâğıt Belge İmhası: Eski aidat tahsilat fişlerini, kimlik fotokopilerini ve benzer belgeleri çapraz kesimine sahip bir imha makinesinde yok edin.
- Yönetim Şirketi Sözleşmesini Gözden Geçirin: KVKK maddelerinin yoksa ekleyin, varsa güncel olup olmadığını kontrol edin.
- İhlal Eylem Planı: Kim kimi arayacak, hangi adım hangi sırayla atılacak; bunu bir sayfa halinde belgeleyin ve yönetim kurulunun tamamı bu belgeyi okusun.
Bunların yanı sıra site yönetim yazılımı seçimi de uyum açısından kritik bir karardır. KVKK uyumluluğunu belgeleyen, verilerinizi yurt içi sunucularda saklayan ve veri güvenliği protokollerini sözleşmeyle taahhüt eden bir platformla çalışmak, yöneticinin ihlal sonrası "gerekli önlemleri aldım" savunmasını güçlendirir.
Uyumu sürdürülebilir kılmak için yıllık gözden geçirme alışkanlığı edinmek önemlidir. Sakin değişimleri, personel rotasyonları, yazılım güncellemeleri veya kamera sistemi yenilemeleri sonrasında veriye dokunulan her noktanın yeniden değerlendirilmesi gerekebilir. Bu bir kerelik yapılan bir çalışma değil, sürekli bir dikkat gerektiren bir süreçtir.
| Yükümlülük | Süre / Sıklık | Sorumlu |
|---|---|---|
| KVKK ihlal bildirimi (Kurul'a) | İhlali öğrendikten itibaren en fazla 72 saat | Yönetici / Yönetim kurulu |
| Etkilenen sakinlere bildirim | En kısa sürede (72 saatten sonra bile olabilir) | Yönetici / Yönetim kurulu |
| Kamera kayıt süresi | Genellikle 1-2 hafta (gerekçesiz uzatma riskli) | Yönetici / Güvenlik firması |
| Aydınlatma metninin güncellenmesi | Veri işleme amacı değiştiğinde | Yönetici |
| Veri envanteri gözden geçirme | Yılda en az 1 kez | Yönetici / Yönetim şirketi |
| Şifre / erişim denetimi | 6 ayda bir veya personel değişikliğinde | Yönetici |
Sık Sorulan Sorular

Küçük bir apartman yöneticisi de KVKK kapsamında mıdır?
İhlali 72 saat içinde bildiremezsem ne olur?
Kat malikleri kurulu yöneticinin veri ihlali nedeniyle aleyhine dava açabilir mi?
WhatsApp gibi uygulamalar üzerinden sakin bilgisi paylaşmak sorun yaratır mı?
Apartman veya sitenizin veri güvenliği süreçlerini dijital ortamda yönetmek, hem KVKK uyumu hem de kayıt düzeni açısından kritik avantajlar sağlar. Apartman yönetim programı ile sakin bilgilerini erişim kısıtlı, günlüğü tutulan ve yedeklenen bir ortamda saklayabilir; ihlal riskini önemli ölçüde azaltabilirsiniz. Bu makale genel bilgi amaçlıdır; somut hukuki değerlendirme için bir avukata ya da KVKK uzmanına danışmanız önerilir.