Makaleler

Site Yönetimleri KVKK Uyum Rehberi

Aralık 2020, ERDEMİR&ÖZMEN AVUKATLIK ORTAKLIĞI

Site Yönetimleri KVKK Uyum Rehberi

07.04.2016 tarihinde Resmi Gazete’de yayımlanan 6698 sayılı Kişisel Verilerin Korunması Kanunu‘na (“KVKK”) uyum süreci kapsamında veri işleyen sıfatını haiz tüm kurumların veri işleme süreçlerini gözden geçirmesi ve gerekli organizasyonel, hukuki ve teknik önlemleri alması gerekmektedir.

 

Site Yönetimleri verdikleri hizmet gereği site sakinlerine, ziyaretçilere, tedarikçi firmalara ve site personellerine ait birçok kişisel veri işleme faaliyetinde bulunmaktadır. Bu bağlamda, Site Yönetimlerinin gerek 634 sayılı Kat Mülkiyeti Kanunu’ndan doğan yükümlülükleri gerek vermekte oldukları hizmete ilişkin faaliyetleri göz önünde bulundurulduğunda kişisel veri işleme ve aktarma faaliyetlerinin oldukça yoğun olduğu görülmektedir.

 

Her ne kadar Site Yönetimlerinin tüzel kişiliğe sahip olup olmadığı hususu henüz tartışmalı olsa da Site Yönetimleri kişisel veri işleme faaliyetlerinde veri sorumlusu sıfatını taşıdığından Kişisel Verilerin Korunması Kanunu’na uygunluk sağlama yükümlüğü bulunmaktadır.

 

Bu itibarla işbu bilgi notu ile Site Yönetimlerinin veri işleme süreçlerinin tespiti ile Site Yönetimleri bünyesindeki iş süreçlerinin KVKK’ya uyumlu hale getirilmesi için alınması gereken önlemlere yönelik bilgi verilmesi amaçlanmıştır.

 

Site Yönetim Faaliyetleri Kapsamındaki Kişisel Veri İşleme Süreçleri ve Kanuna Uygunluk Sağlanması Amacıyla Dikkat Edilmesi Gerekenler

 

Güvenlik Kameraları

 

Site Yönetimleri gerek sitenin güvenliğinin sağlanması gerek site personellerinin iş sürecinin denetlenmesi maksadı ile güvenlik kameraları kullanabilmektedir.

 

KVKK’nın ilgili hükmü uyarınca kişisel verilerin işlenebilmesindeki temel kural ilgilisinden açık rıza alınmasıdır. Ancak KVKK’nın 5. maddesinin 2. fıkrasında sayılan istisnalardan birinin bulunması halinde kişisel verilerin ilgililerden açık rıza alınmadan işlenmesi mümkündür. Bu çerçevede site sakinlerinin güvenliğinin sağlanması amacıyla kişilerin özel hayatlarına ilişkin olmayan görüntülerin kaydedilmesinde kişilerden rıza alınmasına gerek bulunmamaktadır. Zira KVKK’nın 5/2-f bendinde ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlularının meşru menfaatleri için ilgilisinden açık rıza almadan kişisel verilerin işlenilmesine imkân tanınmıştır.

 

Site Yönetimleri tarafından sitede güvenlik önlemlerinin alınması amacıyla kamera sisteminin kurulmuş olması kişisel verilerin korunması kapsamında bir aykırılık doğurmayacaktır. Ancak alınan kayıtların belirtilen amaç dışında kullanılmaması ve bu konuda site sakinlerine ve site personellerine gerekli aydınlatmanın yapılmış olması son derece önemlidir.

 

Kamera kayıtlarının ses kaydı almamasına azami dikkat edilmelidir. Zira bu durum kişisel veri işleme ilkelerinde belirtilen “ölçülülük ve sınırlılık” ilkesinin ihlali anlamında gelmektedir. Bunun yanı sıra kamera açılarının kat sakinlerinin bağımsız bölümlerini denetleyecek şekilde konumlandırılmamasına da özen gösterilmelidir.

 

Ofislerde özel yerlerin (giyinme-soyunma, dinlenme yerleri, özel ve bireysel ofisler ve tuvaletler gibi yerler) kamera ile izlenmesi, gizli kameraların kullanılması özel hayatın gizliliğini ihlal edeceğinden Kanun’a aykırılık oluşturacaktır.

 

İşyerine giriş – çıkışın kontrolü, işleyişinin verimliliğinin sağlanması, işin teknik işleyişinin gözlemlenmesi, güvenlik bakımından önem arz eden teknik aletlerin ve işyeri bölümlerinin gözlemlenmesi, işyerinde üçüncü kişilerin suç işlemesinin önlenmesi ve tespit edilmesi, işçinin iş sağlığı ve güvenliği önlemlerine uyumunun denetlenmesi, işçinin işyeri araç ve gereçlerini kurallara uygun kullanımının denetlenmesi, işçinin yaptığı işin kalite ve performansının kontrol edilmesi, işçinin iş sözleşmesinden doğan yükümlülüklerine uyumunun kontrol edilmesi, işçinin sözleşmesel yükümlülük ihlallerinin tespit edilmesi şeklindeki sebeplerden ötürü Site Yönetimlerinin işçileri kamera kaydı alarak denetlemesinde meşru menfaati bulunmaktadır.

 

Ancak önemle belirtmek gerekir ki işyerinde yapılan kamera kaydı ve izlemelerinin sürekli ve salt işçilere odaklanılarak ve sadece onların davranışlarını kayıt altına alacak şekilde yapılması kabul görmemektedir. Nitekim bu durumda ölçülülük ilkesine aykırı şekilde personellerin özel hayatlarına müdahale niteliğinde bir denetim faaliyeti söz konusu olacaktır.

Sonuç olarak, Site Yönetiminin güvenliğin sağlanması ve iş denetimi açısından güvenlik kamerası kaydının alınmasında meşru menfaat gündeme gelecek olduğundan kamera kayıtları ile alakalı olarak personelden ve site sakinlerinden açık rıza alınmasına gerek yoktur. Ancak bu duruma mutlaka aydınlatma metninde yer verilmeli ve kamera ile izlenen kısımlara izleme yapıldığına dair uyarı yazıları asılmalıdır. Site Yönetimi’nin meşru menfaati ile personellerin ve kat sakinlerinin özel hayatına müdahale edilip edilmediği konusunda dengenin kurulması gerekmektedir.

 

Siteye Gelen Ziyaretçilerin Kimlik İbraz Etmesi

 

Siteye girişlerde gelen ziyaretçilerin site içerisine alınması için güvenlik personelleri tarafından isim, soy isim verilerinin işlenmesi, güvenlik kameraları tarafından görüntülerinin kayıt altına alınması gibi kişisel veri işleme faaliyetleri gündeme gelmektedir.

 

Her ne kadar Site Yönetimi’ne gelen ziyaretçilerden veri işleme faaliyetlerine ilişkin açık rıza alınması gerekmese de, aydınlatma yükümlülüğü kapsamında aydınlatma metninin ziyaretçilerin kolaylıkla okuyabileceği bir alanda ibraz edilmesi gerekmektedir. Belirtmek gerekir ki, veri işleme faaliyetinin oldukça sınırlı tutulmasına ve gereğinden fazla veri işleme faaliyetinde bulunulmamasına dikkat edilmesi gerekmektedir.

 

Site Sakinlerine İlişkin Bilgilendirme Formunun Alınması


KVKK’ya göre veri işleme faaliyetlerinin amaçla ve hukuki dayanakla bağlantılı ve yalnızca gerekli verilerin işlenmesi ve veri işlemenin mutlaka “ölçülülük ve sınırlılık” ilkelerine uygun olması gerekmektedir.

 

Site sakinlerinden alınacak bilgilere ilişkin Site Yönetimleri tarafından bu verilerin hangi hukuki dayanak altında işlendiğine veya sözleşme ilişkisi çerçevesinde işlenip işlenmediğine dikkat edilmesi gerekmekte ve site sakinlerine hangi verilerinin işleneceğine, ne şekilde ve ne kadar süre ile muhafaza edileceğine, kimlere aktarım yapılacağına ve site sakinlerinin haklarına ilişkin kapsamlı bir aydınlatma yapılmalıdır.

 

Belirtmek gerekir ki kan grubu, evlilik tarihi, meslek bilgileri gibi verilerin alınması her halükarda KVKK’nın ölçülülük ilkesine aykırılık teşkil edecek olup site yönetim faaliyeti açısından alınmasında haklı bir gerekçe bulunmayan verilerin talep edilmemesi gerekmektedir.

 

Site Sakinlerinin Aidat Borç Bilgilerine İlişkin Yazılar

 

Site Yönetimleri tarafından site sakinlerinin aidat borç bilgilerinin herkesin göreceği şekilde ortak alana asılması KVKK’da belirtilen gerek ölçülülük gerekse de dürüstlük kuralı ilkelerine aykırılık oluşturan kişisel veri işleme faaliyetleridir. Bu itibarla Site Yönetimlerinin gerekli bilgilendirmeyi ilgili site sakinleri ile iletişime geçerek ya da SMS aracılığıyla yapması gerekmektedir. Ancak bu durumda da gerekli bilgilendirmenin ‘ölçülülük ilkesine’ uygun bir şekilde yapılması ve site sakinlerinin sürekli rahatsız edilmemesi gerekmektedir.

 

Site Yönetimlerinin Güvenlik, Temizlik, Yemek, Servis ve Benzeri Hizmetlere İlişkin Tedarikçi Firmalarla Anlaşması

 

Uygulamada güvenlik, temizlik, yemek, servis ve benzeri hizmetler tedarikçi firmalardan temin edilebilmektedir. Bu tip ilişkilerde dikkat edilmesi gereken husus personellere ya da kat sakinlerine ilişkin kişisel verilerin firmalar arasında aktarılıp aktarılmadığıdır. Bu nedenle, bu ilişkilerde imzalanacak sözleşmelere kişisel verilerin korunmasına ve gizlilik ilkelerine ilişkin hükümlerin eklenmesi oldukça önem arz etmektedir. Örneğin Site Yönetimi ile tedarikçi bir firmanın iş ilişkisine girmesi durumunda, taşeron personele ait verilerin Site Yönetimi’ne iletilmesi ve Site Yönetimi tarafından işlenmesi söz konusu olabilecektir. Her ne kadar Site Yönetimleri böyle bir ilişkide veri sorumlusu sıfatını taşımayacak olsa da, veri işleyenlerin kişisel verilerin korunmasına ilişkin teknik ve idari tedbirleri almada veri sorumlularıyla müştereken sorumlu olmalarından dolayı, Site Yönetimleri kendisine aktarılan kişisel verilere ilişkin yeterli güvenlik tedbirlerini almakla yükümlüdür.  

 

Aynı şekilde, alınacak hizmet nedeniyle Site Yönetimi personellerinin bilgilerinin dışarıya aktarılması da gündeme gelebilecektir. Yine burada da dikkat edilmesi gereken husus, konuya ilişkin olarak personellerden KVKK uyarınca açık rıza alınması ve bu konuya ilişkin personellere karşı aydınlatma yükümlülüğünün yerine getirilmesidir. Site Yönetimleri ile kişisel veri aktarımı gündeme gelecek faaliyetlere ilişkin tedarikçi firmalarla yapılan sözleşmelere gizlilik ve kişisel verilerin korunmasına ilişkin hükümlerin eklenilmesine ve sözleşme taraflarının mutabık kalınan taahhütlere uymaya özen göstermesine dikkat edilmelidir.

 

Site Yönetimlerine Ait İnternet Sitelerinde Alınan Kişisel Veriler

 

Site Yönetimlerinin internet sayfasında “iletişim” formu üzerinden şikâyet ve taleplere ilişkin hususların paylaşılması sırasında talep edilen kişisel verilerin gönderilmesi, kişisel veri işleme faaliyeti olarak değerlendirilmektedir.

 

KVKK uyarınca açık rızanın istisnalarından birisi ilgili kişi tarafından alenileştirilmiş kişisel verilerin işlenmesidir. Diğer bir deyişle kişinin, hiçbir talep olmadan tamamen kendi hür iradesiyle beyan ettiği verilerin işlenmesi için veri sahibinden açık rıza alınmasına gerek bulunmamaktadır. Site Yönetimlerinin internet siteleri üzerinden veri sahipleri tarafından paylaşılan veriler alenileştirilmiş olarak kabul edilecekse de bu durumda her ne kadar kişiden açık rıza alınmasına gerek bulunmasa da Site Yönetimleri bünyesinde ilgili kişinin kişisel verileri işleneceğinden Kanun’un 11. maddesi uyarınca aydınlatma yükümlülüğü mutlaka yerine getirilmelidir.

 

Bu hususta internet sitelerinin ilgili kısmına aydınlatma metninin yüklenilmesi ile yükümlülük yerine getirilmiş olacaktır. Aydınlatma metninin “gönder” butonuna tıklanmasından önce pop-up olarak ekranda belirmesi ve kişinin tüm metni aşağıya doğru kaydırdıktan sonra seçilebilecek “okudum ve anladım” seçeneğine tıklamasıyla birlikte kişisel verileri gönderilebilmesi şeklinde bir uygulama yapılması halinde KVKK uyarınca gerekli aydınlatma yükümlülüğü yerine getirilmiş olacaktır.

 

Bununla birlikte, Site Yönetimleri ile sadece iletişime geçmek isteyen kişilerin aktardıkları kişisel verilerin başka amaçlarla kullanılmamasına özen gösterilmelidir. Özellikle Site Yönetimleri ile internet siteleri üzerinden iletişime geçen kullanıcılara pazarlama faaliyetleri kapsamında ticari elektronik ileti gönderilmemelidir. Nitekim açık rıza alınmadan gönderilen kampanya vb. mesajlar, e-postalar vb. veya telefon aramaları KVKK’ya açıkça aykırılık teşkil edeceğinden, idari para cezası ve diğer yaptırımlar gündeme gelebilecektir.

 

Site Sakinlerine Yönelik Yapılan Etkinlik Organizasyonları

 

Site Yönetimlerinin özel günlerde site sakinlerine yönelik gerçekleştirdiği etkinliklerde etkinlik katılımcılarının ad, soy ad bilgilerinin alınması, organizasyon için tedarikçi firmalarla anlaşılması halinde verilerin tedarikçi firmalarla paylaşılması, etkinlik sonrasında internet siteleri ve sosyal medya üzerinden fotoğraf, video kayıtları paylaşımları yapılması gibi veri işleme faaliyetleri söz konusu olmaktadır.

 

Bu durumda kişisel veri işleme faaliyetine ilişkin olarak katılımcılara karşı aydınlatma yükümlülüğü gündeme gelmektedir. Bunun yanı sıra etkinlik katılımcılarının görsel ve işitsel verilerinin internet sitesi, sosyal medya gibi mecralarda paylaşılması halinde ise katılımcılardan açık rızanın alınmış olması ve yalnızca rıza gösteren katılımcılarının görsel ve işitsel verilerinin paylaşılmasına dikkat edilmelidir.

 

Site Yönetimi Personellerine İlişkin Özlük Dosyaları

 

Bilindiği üzere tüm işverenlerin çalıştırdığı her işçi için birer özlük dosyası oluşturma yükümlülüğü bulunmaktadır. Özlük dosyalarının ne kadar süreliğine saklanması gerektiğine ilişkin kanunlarımızda net bir düzenleme olmamakla birlikte; 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu uyarınca işyeri defter ve kayıtlarının takip eden yıldan itibaren 10 yıl süre ile saklanması gerektiği öngörülmüştür. Bu hükümden yola çıkılarak, çalışanların özlük dosyalarının işten ayrıldıkları tarihten itibaren 10 yıl süreyle saklanabileceği söylenebilmektedir.

 

Ancak özlük dosyalarında işverene karşı açılacak işçilik davaları kapsamında gerekli olacak evraklar dışında güncelliğini yitirmiş ve saklanılması meşru menfaat kapsamında değerlendirilemeyecek evrakların işçinin iş akdinin sona ermesinden sonra uzun yıllar saklanması Kişisel Verilerin Korunması Kanununa aykırılık oluşturacağından işbu evrakların ayrılması ve imha edilmesi gerekecektir. Bu durumda özlük dosyaları bakımından bir ayrım yapmak gerekecek olup özgeçmiş, adli sicil, sağlık raporu gibi güncelliğini kısa sürede yitirebilecek ve özel nitelikli kişisel veri niteliği barındıran evrakların imha edilmesine yönelik gerekli işlemlerin yapılması gündeme gelecektir.

 

Sonuç

 

Sonuç olarak, Site Yönetimleri verdikleri hizmet gereği site sakinlerine, ziyaretçilere, tedarikçi firmalara ve site personellerine ait birçok kişisel veri işleme faaliyetinde bulunmaktadır. Bu itibarla KVKK’da öngörülen yüksek idari para cezaları yaptırımlarının gündeme gelmemesi için Site Yönetimlerinin faaliyetleri gereği veri sorumlusu gibi kanundan kaynaklanan tüm sorumluluklara uygun davranması son derece önemlidir. İşbu bilgi notu ile Site Yönetimlerinin kişisel veri işleme faaliyetinin en fazla gündeme geldiği güvenlik kamera kayıtlarının alınması, ziyaretçi bilgilerinin işlenmesi, kat sakinlerine ilişkin alınan verilerin kaydedilmesi, aidat borç bilgilendirmelerinin yapılması, tedarikçi firmalarla anlaşılması, site bünyesinde düzenlenen etkinlik katılımcılarının görsel verilerinin sosyal medyada paylaşılması, Site Yönetimlerinin internet siteleri üzerinden kişisel verilerin paylaşılması, personel özlük dosyalarının oluşturulması konularında KVKK’ya uygunluk sağlanması maksadı ile dikkat edilmesi gereken hususlara ilişkin özet bilgilendirmenin yapılması amaçlanmıştır. 


Benzer Makaleler

Aralık 2020 Tasarrufun İptali Davasına Genel Bakış ile Davaya Konu Olan Sözleşmeler, İşlemler ve Özellikle Hisse Devir İşlemleri
Aralık 2020 Site Ortak Alanlarına Yönelik Yapılacak Tasarruf İşlemleri