Kişisel Verileri Koruma Kurulu (Kurul), toplu konut alanlarında yıllardır süregelen bir uygulamaya son noktayı koydu. 31 Mart 2026 tarihli ve 33210 sayılı Resmî Gazete’de yayımlanan 2026/347 sayılı İlke Kararı ile apartman ve site sakinlerinin borç bilgilerinin ortak alanlara asılması hukuka aykırı bulundu.

Kurul Kararının Özeti: Borç Listeleri Neden Asılamaz?

Kurul, apartman/site yönetimlerinin aidat, avans veya demirbaş borcu bulunan kişilerin bilgilerini (ad-soyad, daire no, borç miktarı vb.) asansör, bina girişi ve koridor gibi ortak alanlara asmasını mercek altına almıştır. Yapılan değerlendirme neticesinde bu uygulamanın KVKK 12. maddesindeki “veri güvenliği” yükümlülüklerini ihlal ettiği sonucuna varılmıştır.

Kararın Temel Gerekçeleri:

• Yetkisiz Erişim Riski: Ortak alanlar; misafirler, kargo personeli ve kuryeler gibi site sakini olmayan üçüncü kişilerin de erişimine açıktır. Listelerin bu kişilerce görülmesi, kişisel verilerin muhatabı olmayan bir kesime ifşası anlamına gelir.
• Belirlenebilirlik: Listede ad-soyad yazmasa bile, daire numarası üzerinden kişinin kimliğinin belirlenebilmesi, bu bilgiyi “kişisel veri” kategorisinde tutmaya devam eder.
• Ölçülülük İlkesine Aykırılık: Bilgilendirme yükümlülüğü yerine getirilirken, gereğinden fazla verinin yetkisiz kişilere sunulması, KVKK’nın 4. maddesindeki “sınırlı ve ölçülü olma” ilkesine aykırıdır.

---

Yeni Dönemde Aidat Borçları Nasıl Duyurulacak?

Kurul, kat maliklerinin yöneticileri denetleme hakkı ile borçluların mahremiyeti arasında bir denge kurulması gerektiğini belirtmiştir. Karar uyarınca, yöneticiler bilgilendirme yaparken şu yöntemleri tercih etmelidir:

1. Kapalı Gruplar: Sadece site sakinlerinin dahil olduğu kapalı e-posta grupları.
2. Mesajlaşma Uygulamaları: Üçüncü kişilerin erişemeyeceği şifreli mesajlaşma grupları.
3. Özel Yazılımlar: Sadece ilgili kat malikinin kendi kullanıcı adıyla giriş yapabildiği site yönetim uygulamaları.

---

Veri Sorumluları (Yöneticiler) İçin Eylem Planı

Apartman ve site yöneticileri, Kanun’un 12. maddesi kapsamında gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bu kapsamda:

• Derhal Kaldırın: Ortak alanlarda (asansör, pano, koridor) bulunan tüm borç listeleri ve dökümanlar ivedilikle kaldırılmalıdır.
• Yöntem Değiştirin: Duyurular için sadece ilgililerin erişebileceği, kapalı devre yöntemler uygulanmalıdır.
• Yöneticinin Sorumluluğu: 634 sayılı Kat Mülkiyeti Kanunu uyarınca yönetici, kat maliklerine karşı bir vekil gibi sorumludur ve kişisel verileri koruma ödevi bu sorumluluğun bir parçasıdır.

---

2026 Yılı Güncel Para Cezası Riski

Bu İlke Kararı’na aykırı hareket eden, yani borç listelerini asmaya devam eden veri sorumluları hakkında KVKK 18. maddesi uyarınca idari para cezası uygulanacaktır.

• Veri Güvenliği Yükümlülüklerini İhlal (2026 Yılı Tahmini): 127.350 TL – 8.490.089 TL
• Kurul Kararlarına Aykırılık: 212.250 TL – 8.490.089 TL

Kişisel verilerin hukuka uygun işlenmesi ve mahremiyetin korunması sadece şirketlerin, üniversitelerin, hastanelerin veya kamu kurumlarının değil, her apartman yönetiminin yasal zorunluluğudur.

---

Resmî Gazete Metni: 2026/348 Sayılı İlke Kararı

Aşağıda, 31 Mart 2026 tarihli ve 33210 sayılı Resmî Gazete’de yayımlanan Kurul Kararı’nın tam metni yer almaktadır:
https://www.resmigazete.gov.tr/eskiler/2026/03/20260331-7.pdf

31 Mart 2026 SALI | Resmî Gazete | Sayı : 33210

KURUL KARARI

Kişisel Verileri Koruma Kurumundan:

Toplu Yapılarda Apartman/Site Sakinlerine Ait Borç Bilgilerinin Ortak Yerlere Asılması Hakkında İlke Kararı

Karar No: 2026/348

Karar Tarihi: 18/02/2026

Bilindiği üzere, apartman/site yönetimi süreçlerinde çeşitli kişisel veri işleme faaliyetleri gerçekleştirilmektedir. Bu kapsamda bilhassa apartman sakinlerinin aidat/avans/demirbaş gideri ve benzeri borçlarına yönelik duyuru yapılması ve diğer apartman sakinlerinin bilgilendirilmesi amaçlarıyla bu kişilere ait ad, soyadı, daire numarası bilgisi, borcun miktarı, ödeme gecikme süresi, ödeme gecikme dönem sayısı, daire sahiplik/kiracılık bilgisi gibi kişisel veri niteliğini haiz bilgilerin yer aldığı listelerin/dokümanların asansörler, bina girişleri, bina koridorları gibi ortak yerlere asıldığı bilinmekte olup bu hususta kamuoyunun bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından ilke kararı alınması gereği hasıl olmuştur.

Bu çerçevede ilgili mevzuat hükümleri incelendiğinde;

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 3 üncü maddesinin birinci fıkrasının (d) bendinde “kişisel veri”; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır.

Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinde kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ancak maddede sayılan şartlardan birinin varlığı hâlinde ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükme bağlanmıştır.

Kanun’un 4 üncü maddesinde ise kişisel verilerin işlenmesinde;

• Hukuka ve dürüstlük kurallarına uygun olma,
• Doğru ve gerektiğinde güncel olma,
• Belirli, açık ve meşru amaçlar için işlenme,
• İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
• İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uyulmasının zorunlu olduğu düzenlenmiştir.

Öte yandan, Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler” başlıklı 12 nci maddesinin birinci fıkrasında veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu belirtilmiştir.

Toplu yapılarda apartman/site sakinlerine ait borç bilgilerinin (ad, soyadı, daire numarası, borç miktarı vb.) yer aldığı listelerin asansörler, bina girişleri gibi ortak yerlere asılması suretiyle üçüncü kişilerin (ziyaretçiler, kuryeler, kargo görevlileri vb.) erişimine açılması;

1. Kişisel verilerin hukuka aykırı olarak ifşa edilmesine yol açabileceği,
2. Veri güvenliğine ilişkin gerekli teknik ve idari tedbirlerin alınmaması anlamına geleceği,
3. Kişisel verilerin işlenmesinde gözetilmesi gereken “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine aykırılık teşkil edeceği değerlendirilmektedir.

Bu itibarla;

• Toplu yapılarda sakinlerin borç bilgilerini içeren listelerin ortak alanlara asılmasına ivedilikle son verilmesine,
• Bu tür listelerin/dokümanların ortak yerlerden ivedilikle kaldırılmasına,
• Kat maliklerine yönelik yapılacak bilgilendirmeler için Kanun’un 12 nci maddesine uygun ve sadece ilgililerin erişebileceği (kapalı devre sistemler, SMS, e-posta, kapalı zarf vb.) başkaca bir usulün/yöntemin uygulanmasına,

gerektiği sonucuna varılmıştır.

Belirtilen hususlara uygun hareket edilmediğinin tespiti hâlinde ilgili veri sorumluları hakkında Kanun’un 18 inci maddesi gereğince işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine ve bu kapsamda Kanun’un 15 inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınmasına oy birliği ile karar verilmiştir.

---

Av.Özgür Eralp

www.ozgureralp.com

---