6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), kişisel veriyi, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi şeklinde tanımlamıştır. Veri sorumlusu ise, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlanmıştır.
Her ne kadar Kanun’da veri sorumlusunun gerçek veya tüzel kişi olabileceğinden bahsedilse de, Kişisel Verileri Koruma Kurulu aksi yönde görüş belirtmektedir. Kurul, 2020/560 sayılı kararında Kat malikleri kurulunun veri sorumlusu olarak kabul edilebileceği sonucuna varmıştır. Kararın özeti şu şekildedir:
“….yöneticinin, ana gayrimenkulün tamamını ilgilendiren tebligatı kabul etme yetkisi olduğunun belirtildiği ve kat malikleri kurulunun vekili olarak görev yapan yöneticinin bir gerçek kişi yahut bu konuda hizmet sunan şirketlerden profesyonel hizmet satın alınması durumunda ise tüzel kişi olabileceği,
Bununla birlikte, her ne kadar yönetici kat malikleri kurulunun verdiği kararlarla bağlı olup bu kararlara uygun hareket etmek zorunda olsa da, her somut olay bakımından yöneticinin yahut yönetim kurulunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir rol üstlenmiş olması halinde ayrıksı durumların çıkabileceği, örneğin, bir site yönetiminin ayrı bir tüzel kişilik tarafından yürütülüyor olması durumunda, kişisel verilerin işlenmesi noktasında bu tüzel kişiliğin de veri sorumlusu olabileceği,
Tüm bu açıklamalar doğrultusunda; Kanun’un “veri sorumlusu”na ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiği; bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği değerlendirilmekle beraber, uygulamada istisnai durumların da ortaya çıkabileceği gözetilerek nihai olarak kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için; her somut hadise açısından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesinin gerektiği”.
Türkiye’deki genel uygulama göz önüne alındığında, Site Yönetimleri sitenin büyüklüğü nispetinde birçok hizmet vermekte, bu hizmetlerin gereği olarak site sakinlerine, ziyaretçilere, tedarikçi firmalara ve sitede istihdam edilen personele ait birçok kişisel veri işleme faaliyetinde bulunmaktadır. Bu çerçevede, site yönetimi hizmetlerinden faydalanan ve site yönetimi ile iş – hizmet ilişkisi içinde bulunan tüm gerçek kişilere ait her türlü kişisel verinin Kanun’a uygun olarak işlenmesi ve saklanması amacıyla site yönetimlerinin uyması gereken yükümlülükler bulunmaktadır. Zira site yönetimleri, muhatap olduğu kişilerin başta kimlik ve iletişim bilgileri olmak üzere araç plakası, yakıt sarfiyatı, fatura, tebligat, kamera kaydı gibi birçok kişisel verisini toplamakta ve işlemektedir.
Bu kapsamda veri sorumlusu sıfatını haiz olan site yönetimleri KVKK madde 4 uyarınca aşağıda sayılan ilkelere uymakla yükümlüdür:
- Hukuka ve dürüstlük kurallarına uyma,
- Doğru ve gerektiğinde güncel tutma,
- Belirli, açık ve meşru amaçlar için işleme,
- Kişisel verinin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olma,
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme.
Öte yandan site yönetiminin veri işleme faaliyeti öncesinde ilgili kişilerden açık rıza alması, aydınlatma yükümlülüğünü yerine getirmesi, veri güvenliğine ilişkin teknik ve idari tedbirleri alması, Kanun’a uygun olarak işlenmiş olsa bile, işlenmesini gerektiren sebeplerin ortadan kalkması halinde işlenen kişisel verileri resen veya ilgili kişinin talebi üzerine silmesi, yok etmesi veya anonim hale getirmesi gerekmektedir.
Sonuç olarak; site yönetimlerinin, yürüttükleri faaliyetler icabı veri sorumlusu olarak kabul edileceklerini göz önünde bulundurarak, Kanundan kaynaklanan tüm sorumluluklara uygun davranmaları gerekmektedir.