Kişisel Verileri Koruma Kurulu tesis yönetim şirketlerini, site yönetimlerini ve yönetim yazılımı şirketlerini yakından ilgilendiren çok güncel bir kararı kamuoyu ile paylaştı. Site yönetimi veya yönetim şirketleri kat maliki ve kiracıların kişisel verilerini “açık rıza” gerekmeksizin site yönetim işlerine ilişkin amaçlarla işleyebilir, bu amaçla kullanılan bir site yönetim yazılımına veya bu amaçla kullanılan mobil uygulamaya aktarabilir!
Aşağıdaki Kişisel Verileri Koruma Kurulu kararının detaylarını incelemeden önce kararın bir yanlış anlamaya mahal vermemesi için kararda belirtilen durumu özetleyelim. 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında kişisel veriler, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmakta olup kişilerin isim, soy ismi ve telefon numaraları da kişisel veridir.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 5 uyarınca kişisel veriler kural olarak ilgili kişinin açık rızası ile işlenebilmektedir. Bununla birlikte, açık rızanın istisnaları takip eden ikinci fıkrada belirtilmiştir. Bu çerçevede; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenmesi mümkündür. Burada sayılan istisna halleri, kişisel verilerin aktarımı bakımından da geçerlidir. Bu kapsamda, kişisel verilerin Apsiyon veya benzeri programlara sağlanan yönetim hizmetleri çerçevesinde girilmesi, KVVK kapsamındaki tanımı ile “aktarılması” yukarıda sayılan istisnalar kapsamında değerlendirilecektir.
Apartman veya toplu yapı yönetimleri veya genel kurulları, toplu yapı temsilciler kurulları veya toplu yapı yönetim kurulları ile akdedilmiş sözleşmeler kapsamında Site Yönetim Şirketleri (“veri sorumlusu”) site yönetim işlerine ilişkin amaçlarla kişisel veri işlerlerse ve/veya yazılım kullanımı ile aktarırlarsa açık rıza gerekmeyecektir. Kanaatimizce, eğer açık rıza gerekeceğine dair Kişisel Verileri Koruma Kurulu’nun bir öngörüsü olsa idi, “aşağıdaki kararda açıkça yönetim işlerinden ayrı bir amaca hizmet etme” ifadesi geçmezdi.
Apartman ve site yönetimleri, yöneticileri Kişisel Verileri Koruma Kanunu açısından sorumlu mu?
Apartman ve Site Yönetimlerinde KVKK (Kişisel Verilerin Korunması Kanunu)
Apartman ve site yönetimlerinin bu kişisel bilgileri toplaması 1774 Sayılı Kimlik Bildirme Kanunu’na (“KBK”) ve “Kimlik Bildirme Kanununun Uygulanması İle İlgili Yönetmeliği” (“KBKUY”)’ne yine 7201 Sayılı Tebligat Kanunu’na göre yasal yükümlülükleridir.
Bununla beraber 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında toplanan bu bilgilerin apartman ve site yönetimleri tarafından kişisel veri olduğunun kabul edilmesi gerekmektedir. Bu bilgilerin hukuka aykırı olarak yayılması, WhatsApp gruplarında ilan edilmesi, bina giriş panolarına asılması, satılması 5237 Sayılı Türk Ceza Kanunu (“TCK”) m. 136 kapsamında suç teşkil edebilecektir. Aidat borç listelerindeki isim, soy ismi ve borç miktarı ile blok, daire numarası ve benzeri bilgiler “kişisel veri” kapsamına girmektedir.
TCK’nın “Verileri hukuka aykırı olarak verme veya ele geçirme” başlıklı 136/1 maddesi: “Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.” düzenlemesi yer almaktadır. Bu kapsamda; kişisel verilerin hukuka aykırı olarak işlenmesi hem cezai hem de idari yaptırımla karşılaşılmasına neden olabilecektir.
Kişisel Verileri Koruma Kurulu kararına yansıyan olayda, bir sitede ikamet eden kişi oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiğini belirtilerek KVKK kapsamında gerekli yaptırımın uygulanması talep edilmiştir. Konu Kişisel Verileri Koruma Kurulu bünyesinde tartışılmış ve 13/04/2021 tarihli ve 2021/359 numaralı kararında irdelenmiştir.
Kişisel Verileri Koruma Kurulu tarafından konuya ilişkin olarak başlatılan inceleme çerçevesinde ilgili sitenin yönetim işlemlerini yürüten şirket (“Site Yönetim Hizmeti Sunan Şirket”) ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketin (“Uygulama Hizmeti Sunan Şirket”) savunmaları istenilmiştir. Yönetim Hizmeti Sunan Veri Sorumlusu Sıfatını Haiz Şirket ile Uygulama Hizmetini Sunan Veri İşleyen Sıfatını Haiz Şirket’in savunmalarında “her ne kadar Yönetim Hizmeti Sunan Şirket kişisel verileri ikinci uygulama ile paylaşmadığını ifade etmiş ise de Uygulama Hizmetini Sunan Şirket, Yönetim Hizmeti Sunan Şirket için ikinci uygulamaya yetki tanındığı ve kullanıcı bilgilerinin ikinci uygulama ile paylaşıldığını ifade etmiştir.
Karara konu olayda özetle; Uygulama Hizmeti Sunan Şirket tarafından, hali hazırda işlediği kişisel verileri Yönetim Hizmeti Sunan Şirketin onayıyla başka bir uygulamaya aktararak yeni uygulamaya giriş için ilgili kişilere SMS göndermiş ve ilgili kişi de açık rızasının bulunmadığı gerekçesiyle Kurul’a başvurmuştur.
Yönetim Hizmeti Sunan Şirket hakkında idari para cezası kesilmesinin gerekçesi, ikinci uygulamaya katılımın site yönetim işlerinden ayrı bir amaca hizmet etmesi ve bu uygulamaya katılımın isteğe bağlı olması şeklinde belirtilmiştir. Anılan sebeple de KVKK’nın m.5/2’de sayılan istisnalara dayanarak açık rıza almaksızın veri işlemenin mümkün olamayacağı, ikinci uygulama ile kişisel verilerin paylaşılmasının açık rıza alınmasına tabi olduğu ve ancak ilgili kişilerin açık rızalarının alınmadığı tespit edildiğinden veri sorumlusu olan Yönetim Hizmeti Sunan Şirket hakkında 100.000,00 TL idari para cezası uygulanmasına karar verilmiştir.
Hem site yönetimi ile Yönetim Hizmeti Sunan Şirket arasındaki sözleşme kapsamında Yönetim Hizmeti Sunan Şirketin üçüncü kişilerle sözleşme yapabiliyor olması hem de Yönetim Hizmeti Sunan Şirketin ile Uygulama Hizmeti Sunan Şirket arasındaki sözleşmede Yönetim Hizmeti Sunan Şirketin veri sorumlusu olduğunun belirtilmiş olması sebebiyle Yönetim Hizmeti Sunan Şirketin veri sorumlusu sıfatını haiz olduğu kabul edilir.
Site yönetimi kişisel verilerin işlenmesine ilişkin yetkisini açıkça devretmese bile, yönetim şirketleri kişisel verilerin işleyişine ilişkin koşullara kendisi karar veriyor ve/veya kendisi kişisel verileri ilgilendiren sözleşmeler yapıyorsa, yönetim şirketi veri sorumlusu kabul edilebilecektir.
Uygulama Hizmetini Sunan Şirketin, Yönetim Hizmeti Sunan Şirketin verdiği yetki kapsamında onun adına veri işleme faaliyetini gerçekleştirdiği için veri işleyen sıfatını haiz olduğu kabul edilir. Bu durumda, Uygulama hizmeti sunan şirket veri sorumlusu olmadığından site sakinlerinden açık rıza alma ve aydınlatma yapma yükümlülükleri eğer Site Yönetim Şirketi veri sorumlusu ise yönetim şirketinde, site yönetim şirketi yoksa veya yukarıdaki sözleşme ilişkisi bulunmuyorsa veri sorumlusu site yönetimi olacağından site yönetiminde olacaktır.
Kişisel Verileri Koruma Kurulu, 22.07.2020 tarihli ve 2020/560 sayılı Kararı ile “veri sorumlusu”na ilişkin tanımın, pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiğini ve bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceğini belirtmiştir. Bununla birlikte, aynı kararda, kat malikleri kurulunun veri sorumlusunun yükümlülüklerinin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceğini değerlendirmiş ve her halükarda, kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için, her somut olay bakımından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesinin gerektiğine karar vermiştir. Bu çerçevede, Site Yönetimleri; veri sorumlusu sıfatını haiz olabilir ve Yönetim Hizmeti Sunan Şirketler ise; site genel kurulu veya yönetim kurulu / temsilciler kurulu veya toplu yapı yönetim kurulu ile akdedilmiş sözleşmeler kapsamında veri sorumlusu sıfatını haiz olabilirler.
Her durumda, Site Yönetimleri ve/veya Yönetim Hizmeti Sunan Şirketlerin, Uygulama Hizmeti Sunan Şirketler ile aralarında kişisel verilerin işlenmesine ilişkin hususları da içeren bir hizmet sözleşmesi bulunması önerilmektedir. 634 sayılı Kat Mülkiyeti Kanunu’ndan (“KMK”) kaynaklı borç ve yükümlülüklerin gerekliliklerinin ifası için sitede ikamet eden kişilerin verilerinin işlenmesi zorunlu olup bu kapsamda yaşayan sakinlerde açık rıza aranması söz konusu değildir. Bununla birlikte, site yönetimi uygulama platformlarındaki site sakinlerine ait kişisel verilerin kendi açık rızaları olmadan indirim, kampanya, hizmet sunum veya başka amaçlı olarak başka uygulamalara, yazılımlara aktarımlarının yapılmaması gerekmektedir.
Site Yönetimleri ve Site Yönetim Şirketleri kullandıkları “site yönetim yazılımı”nı sağlayan Uygulama Hizmetini Sunan Şirketler ile sözleşmelerinde veri aktarımları hususuna dikkat etmeli, yazılım veya uygulamanın emsalleri ile düşük bedel veya ücretsiz sunulması durumunda “verilerin aktarımının” Uygulama Hizmetini Sunan Şirketlere gelir amaçlı yapılıp yapılmadığını araştırmalıdırlar. Veri İşleyen Sıfatını Haiz Uygulama Hizmetini Sunan Şirketler, site sakinlerinin uygulamaya kendileri kaydolup uygulamayı kullanmadan ve site sakinlerine ait kişisel verileri kendi açık rızaları olmadan indirim, kampanya, hizmet sunum veya başka amaçlı olarak başka uygulamalara, yazılımlara aktarmamalıdırlar.
Site Yöneticisi Kiracının Aidat Borcunu Ev Sahibi ile Paylaşabilir Mi?
1.802.000 TL Ceza! (Apartman ve Sitelerde KVKK)
Sonuç olarak; kurulun önceki kararlarında veri sorumlusu olarak kabul edilen site yönetiminin bu kapsamda, site sakinlerinin “kişisel verilerinin” “açık rıza gerekmeksizin” Apsiyon veya benzeri programlara girilmesi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”)’daki tanımı ile aktarılması, yukarıda sayılan 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) m. 5/2 uyarınca istisnalar kapsamında değerlendirileceği hususunun da yakın zamanda açıklığa kavuşturulacağı kanaatindeyiz.
Kurul Kararına Ulaşmak İçin: “İlgili kişinin kişisel verilerinin site yönetim hizmetini sağlayan veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 13/04/2021 tarihli ve 2021/359 sayılı Karar Özeti
Kararın tam metnini aşağıdan okuyabilirsiniz.
Karar Tarihi: 13/04/2021
Karar No: 2021/359
Konu Özeti: İlgili kişinin kişisel verilerinin ikamet ettiği sitede yönetim hizmetleri veren veri sorumlusu şirket tarafından bir mobil uygulama ile hukuka aykırı olarak paylaşılması. İlgili kişinin Kuruma intikal eden şikayetinde özetle; oturduğu sitenin yönetiminden sorumlu şirketin kendisine ait telefon numarasını yönetim hizmetleri kapsamında kullanılan bir mobil uygulama ile rızası dışında paylaştığı ve ilgili uygulamadan kendisine bilgi mesajı gönderildiği belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli yaptırımların uygulanması talep edilmiştir. Konuya ilişkin olarak başlatılan inceleme çerçevesinde ilgili sitenin yönetim işlemlerini yürüten şirket (Site Yönetim Hizmeti Sunan Şirket) ile aktarım yapılan uygulama ile ilgili hizmeti sunan şirketin (Uygulama Hizmeti Sunan Şirket) savunmaları istenilmiştir. Bu kapsamda Yönetim Hizmeti Sunan Şirketten alınan cevabi yazıda özetle;