Kişisel Verileri Koruma Kurumu (KVKK), apartman ve site yönetimlerinin aidat, avans ve benzeri borç bilgilerini ortak alanlarda duyurmasına ilişkin önemli bir ilke kararı aldı. Kurul, sakinlere ait borç bilgilerinin bina girişi, asansör ve koridor gibi herkesin erişebileceği alanlarda paylaşılmasının kişisel verilerin korunması mevzuatına aykırılık oluşturduğunu belirtti.
Resmî Gazete’de yayımlanan 2026/348 sayılı ilke kararına göre, apartman ve site yönetimi süreçlerinde kişisel veri işleme faaliyetleri yürütülse de bu faaliyetlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda yer alan genel ilkelere uygun olması gerekiyor. Kurul, borç bilgilerine ilişkin duyurularda ad, soyad, daire numarası, borç tutarı, ödeme gecikme süresi ve daire sahiplik ya da kiracılık bilgisi gibi verilerin ortak alanlarda paylaşılmasının, veri minimizasyonu ve ölçülülük ilkeleriyle bağdaşmadığını vurguladı.
Kararda, Kat Mülkiyeti Kanunu çerçevesinde kat maliklerinin ortak giderlere katılma yükümlülüğünün bulunduğu ve yöneticilerin de bu süreçte sorumluluk taşıdığı hatırlatıldı. Ancak KVKK, alacağın temini ve bilgilendirme amacı bulunsa bile, kullanılan yöntemin hukuka uygun olması gerektiğine dikkat çekti. Buna göre, borç bilgisinin ilgili kişilere duyurulması için seçilecek yöntem, gereğinden fazla kişisel veri içermemeli ve yetkisiz üçüncü kişilerin erişimine açık olmamalı.
Kurul, uygulamada sıkça görülen borç listelerinin apartmanların ortak alanlarına asılması yönteminin, yalnızca borçlu kişileri değil, ilgili binada yaşayan ya da yaşamayan çok sayıda kişinin erişimine açık olması nedeniyle veri güvenliği yükümlülüğünü de ihlal ettiğini belirtti. Özellikle ortak alanlarda yer alan listelerin ziyaretçiler, kargo görevlileri, kurye çalışanları ve diğer üçüncü kişiler tarafından görülebilmesinin, kişisel verilerin hukuka aykırı şekilde ifşasına yol açabileceği ifade edildi.
Bu kapsamda Kurul, ortak alanlara asılan kişisel veri içeren duyuru ve listelerin kaldırılması, bu tür uygulamalara son verilmesi ve kat maliklerine yapılacak bilgilendirmenin yalnızca ilgili kişilerin erişebileceği kapalı e-posta sistemleri, mesajlaşma grupları ya da benzeri güvenli yöntemlerle gerçekleştirilmesi gerektiği sonucuna vardı. Kararda ayrıca, veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında idari para cezası uygulanabileceği vurgulandı.