Site ve apartman yönetimlerinde yıllardır yapılan bir yanlış, bugün artık “alışkanlık” diye savunulamayacak kadar açık hale geldi. Bir daire sakininin adı, soyadı, daire numarası ve borç miktarı yazılıp asansöre, bina girişine ya da koridora asılıyorsa burada basit bir duyuru yoktur. Burada kişisel veri ifşası vardır.
Kişisel Verileri Koruma Kurumu, 31 Mart 2026 tarihinde yayımladığı kamuoyu duyurusuyla, 18.02.2026 tarihli ve 2026/348 sayılı ilke kararını açıkladı. Kurul açık biçimde, apartman ve site sakinlerine ait borç bilgilerinin ortak alanlara asılmasını hukuka aykırı veri işleme pratiği olarak değerlendirdi. Özellikle ad-soyad, daire numarası, borç tutarı, gecikme süresi ve benzeri bilgilerin ortak alanlarda ilan edilmesi artık tartışmalı değil; açık bir KVKK sorunu olarak ortada duruyor.
Apartman borç listesini asmak neden KVKK’ya aykırıdır?
Çünkü aidat veya gider borcu bilgisi, kişiyi belirli veya belirlenebilir kılan unsurlarla birlikte paylaşıldığında kişisel veri haline gelir. Yönetimin amacı “diğer kat maliklerini bilgilendirmek” olsa bile, bu amaç kişisel verilerin herkese açık şekilde teşhir edilmesini meşru hale getirmez. Kurumun duyurusunda da özellikle, ad, soyad, daire numarası, borç miktarı, gecikme süresi, kiracı ya da malik bilgisi gibi verilerin asansör, bina girişi ve koridor gibi ortak yerlere asılmasının sorunlu olduğu vurgulandı.
KVKK idari para cezasının muhatabı kim olur?
İşin en kritik noktası burada başlıyor. Apartman ve site yönetimlerinde veri işleme faaliyeti, bireysel yöneticinin şahsi alanından çok yönetim organizasyonu içinde yürütülür. Bu yüzden KVKK bakımından muhatap çoğu durumda yönetim yapısının kendisi, yani veri sorumlusu sıfatını taşıyan yapı olur. KVKK’nın 18. maddesi, veri sorumlusunun yükümlülüklerine aykırılık halinde idari para cezası uygulanabileceğini düzenler. Kurum da 18. madde kapsamında idari para cezalarının veri sorumlularına yöneldiğini açıkça belirtmektedir.
Bu çerçevede, apartman/site yönetiminde borç listesinin hukuka aykırı şekilde ilan edilmesi nedeniyle bir idari para cezası doğarsa, cezanın doğrudan yöneticiye değil, veri sorumlusu konumundaki yönetim yapısına yönelmesi gündeme gelir. Pratik sonuç şudur: Bu yük, nihayetinde kat maliklerinin ortak mali alanına dokunur.
Yönetici “ben sadece duyuru yaptım” diyerek sorumluluktan kurtulur mu?
Hayır. Kat Mülkiyeti Kanunu m.38’e göre yönetici, kat maliklerine karşı aynen bir vekil gibi sorumludur. Bu hüküm, yöneticinin sıradan bir ilan memuru değil, hukuka uygun hareket etmek zorunda olan bir yönetim temsilcisi olduğunu gösterir.
Borçlar hukuku bakımından da tablo değişmez. Vekilin, üstlendiği işi sadakat ve özenle yürütme borcu vardır. Öğreti ve uygulamada bu yükümlülük, vekalet verenin menfaatlerini koruyacak dikkat düzeyi olarak kabul edilir. Yani yönetici, “herkes böyle yapıyordu” savunmasına sığınamaz. Ortak alana borç listesi asmak, bugün artık açık risk taşıyan ve hukuka aykırılığı bilinebilir bir davranıştır.
Kat malikleri ödedikleri cezayı yöneticiye rücu edebilir mi?
Evet, kusurlu eylem yöneticiden kaynaklanıyorsa rücu talebi gündeme gelir. Çünkü zarar, yöneticinin görevini özenle yerine getirmemesi sonucu doğmuştur. Kat malikleri kurulu veya ceza yükünü fiilen taşıyan maliklerin, kusurlu yöneticinin davranışı ile oluşan zarar arasında bağ kurabildiği ölçüde, genel sorumluluk ilkeleri çerçevesinde yöneticiye dönmesi mümkündür.
Burada mantık çok nettir: Cezayı doğuran hukuka aykırılık, yöneticinin kişisel veri ifşası niteliğindeki kusurlu işleminden kaynaklanıyorsa, bu bedelin tüm maliklerin üzerinde kalması son söz değildir. Malikler, kendi adlarına doğan bu zararı kusurlu yöneticiye yüklemek isteyebilir.
Yönetici ibra edilmişse yine de sorumluluğu devam eder mi?
İbra, yöneticiyi her durumda otomatik biçimde koruyan sihirli bir kalkan değildir. Özellikle kişisel kusur, özen borcunun ihlali ve açık hukuka aykırılık içeren işlemler bakımından, somut olayın özelliklerine göre yöneticinin sorumluluğu yine tartışılabilir. Bu nedenle “genel kurulda ibra oldum, artık benden hiçbir şey istenemez” yaklaşımı güvenli bir alan oluşturmaz. Bu nokta uygulamada da önem taşır.
Site yönetimleri artık ne yapmalı?
Borç bilgisini ortak alana asmak yerine, kişiye özel ve kontrollü bildirim yöntemleri kullanılmalıdır. Kapalı tebligat, bireysel mesaj, e-posta, güvenli yönetim uygulaması veya yalnızca ilgili kişiye yönelik bildirim gibi yöntemler tercih edilmelidir. Amaç borcun tahsili olabilir. Kişisel veriyi ifşa etmek bu amacın zorunlu yolu değildir.
Kısacası mesele artık sadece “ayıp olur mu” meselesi değil. Bu, doğrudan kişisel veri hukuku, yönetici sorumluluğu ve kat maliklerinin cebine yansıyabilecek bir idari yaptırım meselesidir. Bugün panoya asılan liste, yarın tüm maliklerin ödediği bir cezaya dönüşebilir.
O noktadan sonra da soru değişir: Borçlu kimdi değil, bu hatanın bedelini neden herkes ödedi?
