Bilindiği üzere, apartman/site yönetimi süreçlerinde çeşitli kişisel veri işleme faaliyetleri gerçekleştirilmektedir. Bu kapsamda bilhassa apartman sakinlerinin aidat/avans/demirbaş gideri ve benzeri borçlarına yönelik duyuru yapılması ve diğer apartman sakinlerinin bilgilendirilmesi amaçlarıyla bu kişilere ait ad, soyadı, daire numarası bilgisi, borcun miktarı, ödeme gecikme süresi, ödeme gecikme dönem sayısı, daire sahiplik/kiracılık bilgisi gibi kişisel veri niteliğini haiz bilgilerin yer aldığı listelerin/dokümanların asansörler, bina girişleri, bina koridorları gibi ortak yerlere asıldığı bilinmekte olup bu hususta kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından ilke kararı alınması gereği hasıl olmuştur.
Bu çerçevede ilgili mevzuat hükümleri incelendiğinde;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 3 üncü maddesinin birinci fıkrasının (d) bendinde “kişisel veri”; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde “kişisel verilerin işlenmesi”; “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ğ) bendinde “veri işleyen”; “Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi”, (h) bendinde “veri kayıt sistemi”; “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi”, (ı) bendinde ise “veri sorumlusu”; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi ” olarak tanımlanmıştır.
• Kanun’un “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Anılan madde hükmünden açıkça anlaşılacağı üzere; kişisel verilerin işlenmesinde her hal ve şartta Kanun’un 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bu kapsamda belirtmek gerekir ki; kişisel verilerin “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” sı ilkesine göre; işlenen kişisel veriler belirlenen amaçların gerçekleştirilmesi için elverişli olmalıdır ve kişisel veri işleme amacının gerçekleştirilmesiyle ilgili olmayan kişisel veriler işlenmemelidir. Ölçülülük ilkesi ise; kişisel veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani kişisel veri işlemenin, amacı gerçekleştirecek ölçüde olması anlamına gelmektedir.
• Kanun’un 5 inci maddesinde ise kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında anılan fıkrada belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu düzenlenmiştir.
• Kanun’un "Veri güvenliğine ilişkin yükümlülükler" başlıklı 12 nci maddesinin birinci fıkrasında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlanmıştır. Bu noktada belirtmek gerekir ki; Kanun’un 12 nci maddesinin birinci fıkrasından kaynaklanan; “...kişisel verilerin hukuka aykırı olarak işlenmesini önlemek... ” yükümlülüğü, işlenen kişisel verilerin türüne göre Kanun’da düzenlenen hukuki sebeplerden herhangi birine dayanılması suretiyle geçerli bir kişisel veri işleme şartına istinaden kişisel verilerin işlenmesini gerektirmekte olup yine aynı fıkradan kaynaklanan “...kişisel verilere hukuka aykırı olarak erişilmesini önlemek... ” yükümlülüğü uyarınca veri sorumlularının işledikleri kişisel verilerin yetkisiz üçüncü kişilerle paylaşılmasını engellemeye yönelik gerekli teknik ve idari tedbirleri almaları gerekmektedir. “Kişisel verilerin muhafazasını sağlamak... ” yükümlülüğü ise kişisel verilerin işlenmesine ilişkin tüm süreçlerde Kanun’a uygunluğun sağlanması ve herhangi bir şekilde Kanun hükümlerine aykırılık teşkil edecek paylaşımların ve erişimlerin önlenmesi anlamına gelmektedir.
EN
TR
Salt metin olarak göster (Kelime işlemcilere uygun görünüm)
