Kurul değerlendirmesinde, söz konusu listelerde yer alan ad, soyadı, daire numarası, borç miktarı, ödeme gecikme süresi ve benzeri bilgilerin kişisel veri niteliği taşıdığı vurgulandı. Bu bilgilerin belirli olmayan bir kesime açık şekilde paylaşılmasının, 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırı olduğu ifade edildi. Açıklamada, kişisel verilerin işlenmesinde kanuni dayanakların bulunmasının yeterli olmadığı, aynı zamanda veri güvenliğinin sağlanmasının da zorunlu olduğu kaydedildi.
Ortak alanlarda paylaşımın hukuki değerlendirmesi
KVKK, apartman ve site yönetimlerinde aidat borçlarının duyurulmasının belirli koşullarda hukuki dayanağa sahip olabileceğini belirtti. Kat Mülkiyeti Kanunu kapsamında, ortak giderlerin tüm kat maliklerinin sorumluluğunda olduğu ve bu borçların takibi için bilgilendirme yapılabileceği ifade edildi. Ancak bu bilgilendirmelerin, yetkisiz kişilerin erişimine açık şekilde yapılmasının hukuka uygun olmadığı vurgulandı.
Kurul, ortak alanlara asılan listelerin muhatabı belirsiz bir kitleye hitap ettiğini ve bu durumun kişisel verilerin ifşası anlamına geldiğini belirtti. Bu nedenle söz konusu uygulamanın, Kanun’un veri güvenliğine ilişkin hükümlerine aykırılık teşkil ettiği bildirildi.
Alternatif bilgilendirme yöntemleri önerildi
Kararda, apartman ve site yönetimlerinin bilgilendirme yükümlülüğünü yerine getirirken farklı yöntemler kullanması gerektiği ifade edildi. Buna göre, aidat borçlarına ilişkin bilgilerin kapalı e-posta sistemleri, mesajlaşma grupları veya özel uygulamalar aracılığıyla yalnızca ilgili kişilerin erişebileceği şekilde paylaşılması gerektiği belirtildi. Bu yöntemlerin, üçüncü kişilerin erişimini engelleyecek nitelikte olması gerektiği vurgulandı.
Mevcut uygulamaların kaldırılması istendi
Resmi Gazete’de yayımlanan ilke kararında, halihazırda bina ve site ortak alanlarında asılı bulunan aidat borcu listelerinin derhal kaldırılması gerektiği ifade edildi. Ayrıca, bu tür uygulamaların ivedilikle sonlandırılması ve veri güvenliğine uygun yeni yöntemlerin hayata geçirilmesi gerektiği bildirildi.
Kurul, veri sorumlularının gerekli teknik ve idari tedbirleri almaması durumunda, ilgili kişiler hakkında Kanun’un 18’inci maddesi kapsamında işlem yapılabileceğini de açıkladı.
