Sitelerde Borç Listelerinin Asılması KVKK Açısından Hukuka Aykırı Bulundu

Sitelerde ve apartmanlarda aidat borç listelerinin ortak alanlara asılması, yaygın bir yönetim pratiği olmakla birlikte, Kişisel Verilerin Korunması Kanunu kapsamında ciddi hukuki riskler barındırır. 2026 tarihli Kurul kararı, bu tür paylaşımların yalnızca bir bilgilendirme değil, kişisel verilerin belirsiz kişilere ifşası anlamına geldiğini açıkça ortaya koymuştur. Bu çerçevede, borç bilgisi gibi kişisel verilerin ölçüsüz şekilde paylaşılması veri ihlali sayılabilir ve hem idari yaptırımlara hem de tazminat sorumluluğuna yol açabilir. Bu nedenle site ve apartman yönetimlerinin, tahsilat süreçlerini hukuka uygun yöntemlerle yürütmesi ve veri işleme faaliyetlerini KVKK ilkeleri doğrultusunda yeniden değerlendirmesi gerekmektedir.

Toplu yapılarda borç listelerinin ortak alanlara asılması, yalnızca bir “yönetim kolaylığı” değildir; doğrudan kişisel veri işleme ve hatta çoğu durumda veri ihlali niteliği taşıyan bir uygulamadır. Geleneksel apartman yönetimi refleksiyle yapılan bu tür paylaşımlar, aslında 6698 sayılı Kanun’un öngördüğü veri güvenliği ve ölçülülük ilkeleriyle ciddi şekilde çatışır. Bu nedenle mesele, sadece aidat tahsilini hızlandırmak değil; kişisel verilerin hukuka uygun şekilde işlenip işlenmediğinin değerlendirilmesidir.

Nitekim 31 Mart tarihli Resmi Gazete’de yayımlanan Kişisel Verileri Koruma Kurulu’nun 2026 tarihli ilke kararı, bu yerleşik uygulamayı açık şekilde hedef almış ve ortak alanlara asılan borç listelerinin hukuki sınırlarını yeniden çizmiştir. Bu yazıda, söz konusu kararın dayandığı hukuki yaklaşım, uygulamadaki hatalı varsayımlar ve bundan sonra apartman/site yönetimlerinin nasıl hareket etmesi gerektiği analitik bir çerçevede ele alınacaktır.

Apartman Yönetim Pratiği ile Kişisel Veri Hukuku Arasındaki Görünmeyen Çatışma

Apartman ve site yönetimlerinde borç listelerinin asılması, uzun yıllardır neredeyse sorgulanmadan uygulanan bir yöntemdir. Aidatını ödemeyenlerin isimlerinin, daire numaralarının ve borç tutarlarının bina girişlerine, asansörlere veya ilan panolarına asılması, çoğu yönetici tarafından “şeffaflık” ve “tahsilat baskısı” aracı olarak görülür. Bu yaklaşım, özellikle büyük sitelerde ödeme disiplinini sağlamak amacıyla pratik bir çözüm gibi değerlendirilir. Ancak hukuki açıdan bakıldığında, bu uygulamanın temelinde ciddi bir yanlış varsayım bulunmaktadır: borç bilgisinin herkesle paylaşılabileceği düşüncesi.

Oysa kişisel veri hukuku bakımından mesele, bilginin doğru olup olmaması değil; bu bilginin kimlerle ve hangi yöntemle paylaşıldığıdır. Bir kişinin aidat borcu, gecikme durumu veya ödeme alışkanlığı, doğrudan o kişiyi belirlenebilir kılan ve ekonomik durumuna ilişkin veri içeren bir bilgidir. Dolayısıyla bu tür veriler, 6698 sayılı Kanun kapsamında açıkça “kişisel veri” niteliği taşır. Bu noktada, apartman yönetiminin yaptığı işlem basit bir duyuru değil; belirli bir amaca yönelik veri işleme ve çoğu durumda veri ifşasıdır.

Ancak uygulamada asıl sorun, bu veri işleme faaliyetinin fark edilmeden yapılmasıdır. Yönetimler çoğu zaman kendilerini bir “veri sorumlusu” olarak konumlandırmaz ve yaptıkları işlemin KVKK kapsamına girdiğini değerlendirmez. Bu nedenle de hangi verinin paylaşılabileceği, hangi sınırların aşılmaması gerektiği veya veriye kimlerin erişebileceği gibi kritik sorular hiç sorulmadan hareket edilir. Sonuç olarak, hukuken oldukça hassas olan bir alan, tamamen alışkanlık ve pratiklik üzerinden yönetilmeye çalışılır.

Tam da bu noktada Kurul’un 2026 tarihli ilke kararı, uygulamadaki bu görünmeyen çatışmayı açık hale getirmiştir. Karar, apartman yönetimlerinin alışılmış yöntemlerinin veri koruma hukuku karşısında neden sürdürülemez olduğunu ortaya koymakta ve aslında uzun süredir göz ardı edilen bir gerçeği netleştirmektedir. Bu çerçevede, asıl kritik mesele KVKK’nın bu tür veri işleme faaliyetlerine hangi sınırları getirdiği ve bu sınırların uygulamada neden yanlış yorumlandığıdır.

KVKK Çerçevesinde Veri İşleme Sınırları ve Yanlış Yorumlanan Hukuki Dayanaklar

Kişisel Verilerin Korunması Kanunu, veri işleme faaliyetini tamamen yasaklayan bir sistem kurmaz; aksine belirli şartlar altında veri işlenmesine izin verir. Ancak bu izin, sınırsız bir hareket alanı anlamına gelmez. Kanun’un 4. maddesinde yer alan genel ilkeler—özellikle “belirli, açık ve meşru amaç”, “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ve “gerektiği kadar veri işleme”—uygulamanın sınırlarını çizer. Bu ilkeler, sadece verinin neden işlendiğini değil, aynı zamanda nasıl işlendiğini de denetler. Dolayısıyla bir bilginin paylaşılmasının hukuka uygun sayılabilmesi için hem amaç hem yöntem birlikte değerlendirilmelidir.

Bu noktada apartman yönetimlerinin en sık başvurduğu hukuki gerekçe, “bir hakkın tesisi, kullanılması veya korunması” kapsamında veri işlenebileceği yönündeki istisnadır. Nitekim aidat alacağının tahsili, hukuken korunabilir bir menfaattir ve bu kapsamda belirli verilerin işlenmesi mümkündür. Ancak uygulamada yapılan temel hata, bu gerekçenin sınırsız bir paylaşım yetkisi verdiğinin varsayılmasıdır. Oysa bu istisna, yalnızca gerekli ve ölçülü veri işleme faaliyetlerini kapsar; verinin herkesin erişimine açık şekilde ifşa edilmesini değil.

Bu ayrımın önemli olmasının sebebi hakkın korunması amacıyla veri işlenmesi ile bu verinin kontrolsüz şekilde üçüncü kişilere açılması arasında ciddi bir fark olmasıdır. Aidat borcunun tahsili için ilgili kişiye bildirim yapılması, icra takibi başlatılması veya sınırlı bir grup içinde bilgilendirme yapılması hukuken mümkün olabilir. Ancak aynı bilginin bina girişine asılarak, o yapıda yaşayan ya da yaşamayan herkesin erişimine sunulması artık ölçülülük ilkesini aşan bir durum haline gelir. Bu noktada veri işleme faaliyeti, amacını aşarak bağımsız bir ihlal riskine dönüşür.

Uygulamada bir diğer yanlış yorum ise “herkes zaten bu bilgiyi biliyor” yaklaşımıdır. Oysa kişisel veri hukukunda bilginin yaygın olarak biliniyor olması, onun serbestçe paylaşılabileceği anlamına gelmez. Kanun, verinin kim tarafından, hangi kapsamda ve hangi yöntemle işlendiğine odaklanır. Bu nedenle gayrimenkul mülk yönetimi hizmetinin, mevcut uygulamaları alışkanlık üzerinden değil; veri işleme şartları ve sınırları çerçevesinde yeniden değerlendirmesi gerekir. Nitekim Kurul kararının da ortaya koyduğu üzere, asıl sorun çoğu zaman veri işlenmesi değil; bu işlemenin sınırlarının yanlış çizilmesidir.

Kurul Kararının Yaklaşımı ve “İfşa” Kavramının Yeniden Tanımlanması

Kişisel Verileri Koruma Kurulu’nun 2026 tarihli kararı, apartman ve site yönetimlerinde yerleşmiş olan uygulamayı doğrudan hedef almakla kalmamış, aynı zamanda “ifşa” kavramını uygulama düzeyinde yeniden tanımlamıştır. Kararda temel olarak, aidat borçlarına ilişkin bilgilerin ortak alanlara asılmasının, yalnızca bir bilgilendirme faaliyeti olarak değerlendirilemeyeceği açıkça ortaya konulmuştur. Bu tür paylaşımların, verinin belirli bir kişi grubuyla sınırlı kalmadan belirsiz sayıda kişinin erişimine açılması sonucunu doğurduğu vurgulanmıştır. Dolayısıyla mesele, içeriğin doğruluğu değil; erişim alanının kontrolsüzlüğüdür.

Kurul’un yaklaşımında dikkat çeken en önemli unsur, “belirsiz kişilere erişim” kriteridir. Bir apartman panosuna asılan borç listesi, yalnızca kat maliklerine değil; ziyaretçilere, kargo görevlilerine, kiracılara ve hatta bina ile ilgisi olmayan üçüncü kişilere dahi fiilen açık hale gelir. Bu durum, veri işleme faaliyetini kapalı bir çevrede yürütülen bir bilgilendirme olmaktan çıkarıp, kontrolsüz bir veri yayılımına dönüştürür. Bu nedenle Kurul, bu tür uygulamaları veri güvenliği yükümlülüğünün ihlali kapsamında değerlendirmektedir.

Bu yaklaşım, veri güvenliği kavramının yalnızca teknik tedbirlerle sınırlı olmadığını da göstermektedir. Çoğu yönetim, veri güvenliğini yalnızca sistemsel önlemlerle ilişkilendirirken, Kurul kararı bu yükümlülüğün aynı zamanda organizasyonel ve yöntemsel boyutları olduğunu açıkça ortaya koymaktadır. Verinin nerede, nasıl ve kimlerin erişimine açık şekilde paylaşıldığı, en az teknik koruma kadar önemlidir. Bu çerçevede, ortak alanlara veri asılması, basit bir yöntem tercihi değil; doğrudan veri güvenliği ihlali olarak değerlendirilmektedir.

Sonuç olarak karar, apartman yönetimlerinin yıllardır sürdürdüğü bir uygulamayı hukuki açıdan geçersiz hale getirmekle kalmamış; aynı zamanda veri işleme ile veri ifşası arasındaki çizgiyi netleştirmiştir. Bu ayrımın doğru anlaşılmaması halinde, en basit görünen yönetim işlemleri dahi ciddi hukuki sonuçlar doğurabilir. Bu nedenle bir sonraki aşamada, bu kararın uygulamada nasıl bir dönüşüm zorunluluğu yarattığını ve yönetimler açısından hangi riskleri beraberinde getirdiğini değerlendirmek gerekir.

Site Yönetimleri İçin Riskler ve Hukuka Uyum

Kurul’un ortaya koyduğu yaklaşım, apartman ve site yönetimleri açısından yalnızca teorik bir değerlendirme değildir; doğrudan uygulamayı değiştiren bir kırılma noktasıdır. Artık borç listelerinin ortak alanlara asılması, “alışılmış bir yöntem” olarak değil, açık bir veri ihlali riski taşıyan işlem olarak değerlendirilmektedir. Bu değişim, özellikle yönetici ve yönetim kurullarının sorumluluğunu daha görünür hale getirmiştir. Çünkü veri işleme faaliyetinin hukuka aykırı yürütülmesi durumunda, sorumluluk doğrudan bu kararları alan kişiler üzerinde yoğunlaşır.

Bu noktada en önemli risk, idari para cezalarıyla sınırlı değildir. Kişisel verisi ifşa edilen kat malikleri veya kiracılar, aynı zamanda maddi ve manevi tazminat talebinde bulunabilir. Özellikle borç bilgisinin üçüncü kişiler tarafından öğrenilmesi, kişinin ekonomik itibarı üzerinde etkili olabilecek bir durumdur ve bu tür ihlaller yargı önünde daha geniş sonuçlar doğurabilir. Uygulamada çoğu yönetim bu riski göz ardı etmekte, ancak bir şikâyet süreci başladığında sürecin kontrolü hızla kaybedilebilmektedir.

Bununla birlikte, hukuka uygun alternatif yöntemlerin varlığı bu riski daha da kritik hale getirir. Aidat borçlarının takibi ve tahsili için kapalı iletişim sistemleri, bireysel bildirimler, şifreli dijital platformlar veya yalnızca ilgili kişiye yönelik bildirim mekanizmaları kullanılabilir. Ayrıca alacak tahsili için hukuki yollara başvurmak da hem veri güvenliğini sağlar hem de tahsilat amacını ortadan kaldırmaz. Dolayısıyla sorun, bilginin paylaşılması değil; bu paylaşımın yöntemi ve kapsamıdır. Yanlış yöntem tercih edildiğinde, basit bir yönetim işlemi doğrudan hukuki sorumluluk doğuran bir eyleme dönüşebilir.

Sonuç olarak, Kurul kararı sonrasında eski uygulamaların aynı şekilde sürdürülmesi artık hukuken savunulabilir değildir. Yönetimlerin, veri işleme faaliyetlerini yeniden yapılandırması ve özellikle “kim, hangi veriye, hangi kapsamda erişebilir” sorusunu sistematik şekilde değerlendirmesi gerekir. Aksi halde, küçük görünen bir uygulama dahi ciddi yaptırımlarla karşılaşabilir. Bu nedenle toplu yapı yönetimlerinin, veri koruma yükümlülüklerini bir gayrimenkul avukatı ile baştan doğru kurgulaması ve süreci bilinçli şekilde yönetmesi kritik önem taşımaktadır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.