Apartman/Site Sakinlerine Ait Borç Bilgilerinin Ortak Yerlere Asılması Hakkında İlke Kararı Yayınlandı

Kişisel Verileri Koruma Kurulu'nun (“Kurul”) 18 Şubat 2026 tarihli ve 2026/348 sayılı ilke kararı, 31 Mart 2026 tarihli ve 33210 sayılı Resmi Gazete’de yayımlanmıştır. 

"Toplu Yapılarda Apartman/Site Sakinlerine Ait Borç Bilgilerinin Ortak Yerlere Asılması Hakkında İlke Kararı" başlıklı bu düzenleme ile uygulamada sıkça karşılaşılan ve kişisel verilerin hukuka aykırı şekilde ifşa edilmesine neden olan bir alışkanlığa son vermeyi hedeflemektedir. İlke kararı ile; aidat, avans ve demirbaş borç listelerinin asansör, bina girişi ve koridor gibi ortak alanlara asılmasının Kanun'un veri güvenliği yükümlülüklerine açıkça aykırılık teşkil ettiği tespit edilmiş olup; bu uygulamalara ivedilikle son verilerek mevcut listelerin ortak alanlardan kaldırılması gerektiği sonucuna varılmıştır. 

1. Bilgilendirme Hakkı ve Sınırları 

634 sayılı Kat Mülkiyeti Kanunu uyarınca, apartman ve sitelerde ortak giderlerin karşılanması tüm kat maliklerinin sorumluluğundadır. Yöneticilerin bu ödemeleri toplama, gelir-gider hesabı verme ve malikleri bilgilendirme yükümlülüğü bulunmaktadır. Bu kapsamda, borçlu kişilere ait ad, soyadı, daire numarası, borç miktarı, gecikme süresi ve kiracı/ev sahibi bilgisi gibi kişisel verilerin diğer kat malikleriyle paylaşılması; 6698 sayılı Kişisel Verilerin Korunması Kanun’un ("Kanun") 5. maddesinin 2. fıkrasının (a) bendindeki "kanunlarda açıkça öngörülmesi" ve (e) bendindeki "bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması" şartlarına dayanmaktadır. 

Ancak Kurul, kanunlardan kaynaklanan bir bilgilendirme yükümlülüğü yerine getirilirken dahi Kanun’un 4. maddesinde düzenlenen "genel ilkelere" uygun hareket edilmesi ve söz konusu kişisel verilere konuyla alakası bulunmayan/yetkisiz üçüncü kişilerin erişiminin engellenmesi gerektiğini vurgulamaktadır.

2. Uygulamada Sıkça Yapılan Hatalar ve Kurul'un Tespitleri

Kurul, apartman/site yönetimleri tarafından gerçekleştirilen ve veri güvenliğini tehlikeye atan mevcut uygulamalara dair şu hukuki tespitlerde bulunmuştur: 

• İsim Yazmasa da İhlal Sayılır: Söz konusu listelerde kişilerin ad ve soyadı bilgileri bulunmasa dahi, ilgili daire numaralarından bu kişilerin kimliklerinin belirlenebilmesi mümkündür. Bu nedenle sadece daire numaralarıyla ilişkilendirilmiş borç bilgileri asılması da "kişisel veri" niteliği taşımaktadır. 

• Hukuki Dayanak Eksikliği: Borç listelerinin/dokümanların asansörler, bina girişleri, bina koridorları gibi ortak yerlere asılması suretiyle gerçekleştirilen kişisel veri işleme faaliyeti, Kanun’un 5. maddesinde yer alan hiçbir işleme şartına dayanmamaktadır. 

• Muhatabı Belirsiz İfşa: Toplu yapıların ortak alanları; o yapıda ikamet etmeyen misafirlerin, kargo personellerinin, kuryelerin ve apartman sakinleri tarafından hiç tanınmayan üçüncü kişilerin de sıklıkla bulunduğu alanlardır. Bu verilerin bahsi geçen alanlara asılması, kişisel verilerin muhatabı belirli olmayan bir kesime hukuka aykırı olarak ifşa edilmesine sebebiyet vermektedir. 

• Veri Güvenliği İhlali: Bu durum, Kanun’un 12. maddesinde düzenlenen veri güvenliğinin sağlanmasına yönelik gerekli teknik ve idari tedbirlerin alınması yükümlülüğüne açıkça aykırılık teşkil etmektedir.

3. Alınması Gereken Önlemler ve İzin Verilen Yöntemler

Kurul, söz konusu ihlallerin önüne geçmek ve veri güvenliğini sağlamak adına apartman/site yönetimleri için aşağıdaki önlem ve yöntemleri yasal zorunluluk haline getirmiştir: 

• Ortak yerlere asılan bu tür duyurulara ivedilikle son verilmeli ve mevcut dokümanlar/listeler ortak alanlardan kaldırılmalıdır. 

• Söz konusu bilgilendirmelerin Kanun'un 12. maddesine uygun yapılabilmesi için; kapalı e-posta yahut mesajlaşma grupları veya bu hizmete özgülenmiş uygulamalar gibi, üçüncü kişi konumunda bulunan yetkisiz kişilerin erişiminin söz konusu olmayacağı kapalı usuller/yöntemler kullanılmalıdır. 

• Belirtilen hususlara uygun hareket etmediği tespit edilen ilgili veri sorumluları yani yöneticiler hakkında, Kanun’un 18. maddesi (b) bendi gereğince idari para cezası tesis edilecektir. 

Sonuç olarak; 2026/348 sayılı ilke kararı, apartman ve site yönetimlerinin yürüttüğü olağan bütçe süreçlerinde kişisel veri güvenliğinin sınırlarını net olarak çizmesi ve apartman sakinlerinin verilerinin haksız ifşasının önüne geçmesi nedeniyle, tüm yöneticiler tarafından uyum süreçlerinde temel bir rehber olarak benimsenmeli ve ivedilikle uygulamaya geçirilmelidir.