Bina Yönetiminde Kişisel Veri: Yöneticinin Yasal Sorumlulukları
Bina yöneticisi sakinlerin kişisel verisini toplarken (sayaç, kimlik, telefon, mali bilgi) yasal olarak hangi sorumlulukları üstleniyor? VERBIS, aydınlatma, ihlal bildirimi ve idari para cezaları kapsamlı rehber.
Bina ve site yönetimleri kişisel veriyi düşündüğünden çok daha fazla işliyor: sakin kimlik bilgileri, telefon, mali ödeme geçmişi, sayaç tüketim verileri, kapı kamerası kayıtları, bazen sağlık bilgisi (engelli sakin için ek hizmet kayıtları). KVKK gözünden bunların çoğu kişisel veri, yöneticinin yasal sorumluluğu altında.
Bu yazıda bina yöneticisinin tam olarak hangi yükümlülüklere tabi olduğunu, VERBIS kaydının ne zaman gerektiğini, idari para cezalarını ve uyum için pratik kontrol listesini açıklıyoruz.
Hangi veri “kişisel veri” kapsamına girer?
Yönetimin elindeki veriler ve KVKK statüsü:
| Veri | Statü | Hassasiyet |
|---|---|---|
| Sakin adı, soyadı | Kişisel veri | Standart |
| Daire numarası | Kişisel veri (eşleşince) | Standart |
| TC Kimlik no | Kişisel veri | Yüksek (özellikle korunmalı) |
| Telefon, e-posta | Kişisel veri | Standart |
| Tapu / kira sözleşmesi | Kişisel veri | Yüksek (mali bilgi) |
| Aidat ödeme geçmişi | Kişisel veri | Standart |
| Sayaç tüketim verisi | Kişisel veri (kombinasyonlu) | Standart |
| Kapı kamera kayıtları | Kişisel veri (yüz tanınıyorsa) | Özel nitelik |
| Sağlık bilgisi | Kişisel veri | Özel nitelik (özel rıza) |
| Araç plakası | Kişisel veri (kombinasyonlu) | Standart |
“Özel nitelikli” verilerin (sağlık, biyometrik) işlenmesi için açık rıza gerekir; sakine yazılı onay imzalattırılır.
Veri sorumlusu kimdir?
KVKK terminolojisinde:
- Veri sorumlusu: Kişisel veriyi işleme amacını ve vasıtalarını belirleyen kişi/kuruluş.
- Veri işleyen: Veri sorumlusunun namına veriyi işleyen 3. taraf.
Apartman yönetim kurulu = veri sorumlusu.
Profesyonel yönetim şirketi = aynı zamanda veri sorumlusu (kendi adına çalıştığında) veya veri işleyen (yönetim kurulunun emanetçisi olarak).
mReader veya benzeri yazılım = araç, ilgili tarafların kullandığı altyapı. Yazılım sağlayıcı veri sorumlusu değildir (veriye erişmiyorsa).
VERBIS kaydı zorunluluğu
VERBIS = Veri Sorumluları Sicili. Belirli kapsamda işlem yapan veri sorumlularının kayıt olması zorunlu.
Kim VERBIS’e kayıt olmak zorunda?
Türkiye merkezli gerçek kişi veri sorumluları:
- Yıllık 100+ kişi bilgisi işliyorsa, VEYA
- Yıllık ciro 100 milyon TL üzerindeyse, VEYA
- Belirli sektörde faaliyet gösteriyorsa (sağlık, finans, vb.)
Apartman yönetim kurulu için durum
Tipik bir 50-200 daireli apartmanın yönetim kurulu:
- 100’den az kişiyle ilgili veri (genellikle)
- Ciro/işlem sınırları altında
- Hassas sektör değil
→ VERBIS kaydı zorunlu değil (çoğu apartman için).
Profesyonel yönetim şirketleri için
Birden fazla siteyi yöneten profesyonel şirketler:
- 5+ site × 100 daire = 500+ kişi → VERBIS zorunlu
- Mali işlemler nedeniyle ciro yüksek olabilir
→ Genelde VERBIS kaydı zorunlu.
VERBIS kaydı online: https://verbis.kvkk.gov.tr — kayıt ücretsiz, doldurulması 2-3 saatlik iş.
Aydınlatma yükümlülüğü
VERBIS’ten bağımsız, tüm veri sorumluları aydınlatma yapmak zorunda. Yani 50 daireli apartmanın yönetim kurulu da aydınlatma metni hazırlamak zorunda.
Aydınlatma metni içeriği (KVKK 10. madde):
- Veri sorumlusu kimliği
- Hangi veriler işleniyor
- Hangi amaçla işleniyor
- Hukuki dayanak (rıza, kanuni zorunluluk, sözleşme, vb.)
- Verinin kime aktarıldığı (yönetim, denetçi, savcılık, vb.)
- Toplama yöntemi (web form, kapı kamera, sayaç sistemi)
- Sakinin hakları
Şablon ve örnek metin için KVKK uyumlu sayaç okuma yazımıza bakabilirsiniz.
İdari yaptırımlar
KVKK 18. madde idari para cezalarını listeler:
| İhlal | Ceza (2026 değeri, yıllık güncellenir) |
|---|---|
| Aydınlatma yükümlülüğüne uymama | 47.000 - 943.000 ₺ |
| Veri güvenliği tedbirleri almama | 141.000 - 9.430.000 ₺ |
| Kurul kararına uymama | 188.000 - 9.430.000 ₺ |
| VERBIS kayıt yükümlülüğünü ihlal | 75.000 - 3.770.000 ₺ |
Pratikte yönetim kuruluna ne tür ceza yansır?
Apartman yönetim kurulu kararıyla site yönetilirken bir sakin KVK Kurulu’na şikayette bulunursa:
- Kurul incelemeye başlar
- Yönetim kurulundan savunma istenir
- İhlal tespit edilirse para cezası kesilir
- Ceza yönetim kuruluna uygulanır (kurumsal kişilik, kat malikleri kurulu adına)
- Pratikte aidat artışı veya yedek akçeden ödeme
Türkiye’de apartman yönetimi seviyesinde yüksek meblağlı KVKK cezası emsali az ama 2024 sonrası artış trendi var. İhtiyat şart.
Pratik uyum kontrol listesi
Bina yöneticisi için 12 maddelik kontrol listesi:
[ ] 1. Hangi kişisel verileri topluyoruz, listele
[ ] 2. Toplama amacını her kalem için yaz
[ ] 3. Hukuki dayanak (rıza/kanun/sözleşme) belirle
[ ] 4. Aydınlatma metni hazırla, sakinlerle paylaş (ilan panosu,
genel kurul, web sitesi)
[ ] 5. Saklama süreleri belirle (ör. sayaç verisi 5 yıl)
[ ] 6. Erişim yetkilerini sınırla (sadece gerekli kişiler)
[ ] 7. Veri güvenliği tedbirleri al:
- Şifrelenmiş saklama
- Yedekleme
- Yetkilendirme
- Fiziksel güvenlik (yönetim odası kilitli)
[ ] 8. Üçüncü taraflarla paylaşımı sözleşmeyle düzenle
(denetçi, mali müşavir, sayaç okuma servisi)
[ ] 9. VERBIS kayıt zorunluluğu var mı kontrol et
[ ] 10. Veri ihlali durumunda 72 saat içinde Kurum'a bildirme
prosedürü hazır olsun
[ ] 11. Sakin başvurularına 30 gün içinde cevap verme prosedürü
[ ] 12. Yıllık özden değerlendirme — yıl sonu denetimVeri ihlali olursa ne yapmalı?
Senaryo: yönetim ofisinden bilgisayar çalındı, içinde sakin verileri var.
Yapılacaklar:
- 72 saat içinde KVK Kurumu’na bildirim (https://www.kvkk.gov.tr)
- Etkilenen sakinleri bilgilendirme (en kısa sürede)
- Bilişim suçu olduğundan emniyete bildirim
- Olayı yazılı tutanağa geçirme (gelecek denetim için)
Bildirim içeriği:
- Olay tarihi ve nasıl gerçekleştiği
- Etkilenen veri kategorileri
- Etkilenen kişi sayısı
- Olası sonuçlar
- Alınan tedbirler
mReader gibi yerel + şifreli saklama yapan sistemlerde fiziksel cihaz çalınsa bile veriye erişim çok zor (şifreleme nedeniyle). Bu durum bildirimde “alınan tedbirler” altında bahsedilir, ceza riskini düşürür.
Sakin haklarına nasıl cevap verilir?
KVKK 11. madde sakin haklarını listeler:
- Veri işleniyor mu öğrenme
- Bilgi alma
- Düzeltme isteme
- İmha isteme
- Aktarıldığı 3. tarafları öğrenme
Sakin başvurursa:
- Yazılı veya elektronik ortamda alınır (KEP, e-posta, dilekçe)
- 30 gün içinde ücretsiz cevap verilir
- Belge talep ederse 10 sayfaya kadar ücretsiz, fazlası için ücret alınabilir
mReader’ın denetim izi modülü bu cevaplama sürecini hızlandırır — “Daire 3’in son 12 ay sayaç verisini gösterin” sorusu birkaç saniyede üretilir.
Sonuç
Bina yöneticisi, küçük bir apartmanın yönetimi olsa bile KVKK kapsamında veri sorumlusu rolünü üstlenir. Sorumluluklar net: aydınlatma, güvenlik, saklama süresi, ihlal bildirimi. VERBIS kaydı çoğu apartmanda zorunlu değil ama profesyonel yönetim şirketleri için zorunlu.
Yerel + şifreli saklama yapan sistemler (mReader gibi) KVKK uyumunu doğal olarak sağlar; bu da yöneticinin yasal riskini önemli ölçüde azaltır.
Yasal uyum konusunda detay için iletişim formundan ulaşın.