Kişisel Verilerin Korunması Kanunu (KVKK), 24 Mart 2016 tarihinde yayınlanmıştı. Kanunda, kişisel verilerin işlenmesinde özel hayatın gizliliği, kişilerin temel hak ve özgürlüklerinin koruması ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri belirtiliyordu. Buna göre; veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
Apartman ve site yönetimi süreçlerinde kat maliklerinin bilgileri işlenmektedir. Ancak KVKK’ya göre yönetilen apartman ve sitede yaşayan bireylerin kişisel verileri koruma altına alınmıştır. Bu doğrultuda KVKK kapsamında kişisel verilerin korunmasından sorumlu olabilmek için gerçek veya tüzel kişi olmak gerekmektedir. Tüzel kişi olmayan kat maliklerinin veri sorumlusu olmayacağı ise bir karışıklık yaratmaktaydı. Kişisel Verilerin Korunması Kurumu’nun 22.07.2020 tarihli ve 2020/560 sayılı Kararı’nda ise, bu konu hakkında daha geniş kapsamlı bir açıklamaya yer verildi. Site yönetimlerinde Kişisel Verilerin Korunması Kanunu’na göre veri sorumlusunun veri işleme amacı ve yöntemini, toplanacak veri türlerini, ilgili kişi gruplarını, verileri saklama sürelerini belirleyen kişi olduğu ifade edilmiştir. Yönetici ise, bazı durumlarda veri kayıt sistemlerinin kurulması ve yönetilmesi hususlarında sorumluluk almış olacaktı. Bu sebeple kesin bir ayrım yapmak doğru olmamaktadır.
Yöneticinin kişisel verilerin işlenmesinden doğan sorumluluğu sıfatına göre belirlenmektedir. Yöneticinin veri işlemesi durumunda, kendisinin yetkilendirildiği ve veri sorumlusu adına işlediği kişisel veriler bakımından, hukuka aykırı olarak işlenmesini ve erişilmesini önlemek adına gerekli güvenliği sağlamak için, her türlü tedbirleri almakta veri sorumlusu ile birlikte sorumludur. Bu sebeple, yönetici yukarıda belirtilenler bakımından kat malikleri kurulu ile birlikte müştereken sorumlu olacaktır.
Kişisel Verilerin Korunması Kanunu’nda Site Yönetimi
Kat malikleri kurulunun tüzel kişiliği haiz olmaması dolayısıyla 6698 sayılı Kanun’un 3’üncü maddesindeki veri sorumlusu tanımının içerdiği kriterlerin tamamını taşımadığının görüldüğü, zira anılan tanımdan hareketle veri sorumlusu sıfatının bir gerçek yahut tüzel kişiye ait olabileceği sonucunun çıktığı, kat malikleri kurulunun tüzel kişiliğinin bulunmadığı hususunun çeşitli Yargıtay kararlarında da açıkça ifade edildiği (Yargıtay 1. Hukuk Dairesi T. 29.03.2004, E. 2004/3091, K. 2004/3556: “Davada gerçek ve tüzel kişiler ya da bunların yasal temsilcileri taraf olma ehliyetine sahiptir. Apartman kat malikleri kurulunun (Yönetiminin) tüzel kişiliği ve bu nedenle taraf ehliyeti yoktur.” Yargıtay 1. Hukuk Dairesi E. 2007/10090, K. 2007/11914: “Davada gerçek ve tüzel kişiler ya da bunların yasal temsilcileri taraf olma ehliyetine sahiptir. Apartman kat malikleri kurulunun (Yönetimin) tüzel kişiliği bu nedenle taraf ehliyeti yoktur.”) belirtilmiştir. Ancak, durum böyle olsa dahi 634 sayılı Kanun’un 35’inci maddesinde, yöneticinin, ana gayrimenkulün tamamını ilgilendiren tebligatı kabul etme yetkisi olduğunun belirtildiği ve kat malikleri kurulunun vekili olarak görev yapan yöneticinin bir gerçek kişi yahut bu konuda hizmet sunan şirketlerden profesyonel hizmet satın alınması durumunda ise tüzel kişi olabileceği bilgisi yer almaktadır.
Bununla birlikte, her ne kadar yönetici kat malikleri kurulunun verdiği kararlarlara bağlı olup bu kararlara uygun hareket etmek zorunda olsa da, her somut olay bakımından yöneticinin yahut yönetim kurulunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir rol üstlenmiş olması halinde aykırı durumların çıkabileceği, örneğin, bir site yönetiminin ayrı bir tüzel kişilik tarafından yürütülüyor olması durumunda, kişisel verilerin işlenmesi noktasında bu tüzel kişiliğin de veri sorumlusu olabileceği ifade edilmiştir.
Tüm bu açıklamalar doğrultusunda; Kanun’un “veri sorumlusu”na ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiği; bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği değerlendirilmekle beraber, uygulamada istisnai durumların da ortaya çıkabileceği gözetilerek nihai olarak kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için; her somut hadise açısından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, bulunduran ve yöneten birimlerin tespit edilmesinin gerektiği açıklamalarına yer verilmiştir.
