Makaleler

Site Yönetimlerinin Kişisel Verilerin Korunması Kanunundan Doğan Temel Yükümlülükleri

2020, Erdemir&Özmen Avukatlık Ortaklığı

Site Yönetimlerinin Kişisel Verilerin Korunması Kanunundan Doğan Temel Yükümlülükleri

Site Yönetimleri verdikleri hizmet gereği site sakinlerine, ziyaretçilere, tedarikçi firmalara ve site personellerine ait birçok kişisel veri işleme faaliyetinde bulunmaktadır. Bu çerçevede, Site Yönetimi hizmetlerinden faydalanan, Site Yönetimi ile ilişkili tüm şahıslara ait her türlü kişisel verinin 6698 sayılı Kişisel Verilerin Korunması Kanunu‘na (“Kanun”) uygun olarak işlenmesi ve saklanması amacıyla Site Yönetimlerinin uyması gereken yükümlülükler bulunmaktadır. 

Kişisel veri, Kanun’un 3. Maddesinde kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Bu doğrultuda Site Yönetimleri de ilişki içerisinde bulundukları kişilerin başta kimlik bilgileri ve iletişim bilgileri olmak üzere kişisel verilerini toplamakta ve işlemektedir. Site Yönetimleri bu faaliyetlerini gerçekleştirirken mevzuat kapsamında çeşitli gerekliliklere uymalıdır. 

Kişisel Verilerin Korunması Kanunu’nun 4. maddesinde veri sorumlularının kişisel verilerin işlenmesinde uymaları zorunlu kılınmış olan ilkeler gösterilmiştir. İlgili madde uyarınca veri sorumluları kişisel verilerin işlenmesinde, 

  • Hukuka ve dürüstlük kurallarına uyma, 
  • Doğru ve gerektiğinde güncel tutma, 
  • Belirli, açık ve meşru amaçlar için işleme, 
  • Kişisel verinin işlendiği amaçla bağlantılı, sınırlı ve ölçülü olma, 
  • İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza etme 

ilkelerine uymakla yükümlüdürler. 

Site Yönetimlerinin veri işleyen veya veri sorumlusu olup olmadığı hususu henüz tartışmalı olsa da Site Yönetimleri tarafından yürütülen faaliyet gereği veri sorumlusu gibi kanundan kaynaklanan tüm sorumluluklara uygun davranması gerektiği kanaatindeyiz.  

Kişisel Verilerin İşlenmesinde İlgililerden Açık Rıza Alınması 

Veri sorumlularının Kanun’dan doğan en önemli yükümlülüklerinden biri, gerekli hallerde kişisel verisi işlenecek olan veri sahiplerinden, kişisel verilerin işlenmesine yönelik açık rıza almalarıdır. Açık rızanın veri sahibinin özgür iradesi dâhilinde, veri işleme faaliyeti gerçekleştirilmeden önce alınmış olması gerekmektedir. Açık rıza alınmasında bir şekil kuralı olmamakla birlikte, ispat kolaylığı açısından uygulamada yazılı olarak bu beyanın alınması tercih edilmektedir. 

Bunun sonucu olarak veri sorumlularının ilgililerden açık rıza alırken, açık rızayı herhangi bir şarta veya koşula bağlamaması gerektiği kabul edilmektedir. 

Kanun’un 5. maddesine göre kural olarak kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak ilgili maddenin ikinci fıkrasında bu kuralın istisnası gösterilmiştir. Buna göre;

  • Kanunlarda açıkça öngörülüyorsa, 
  • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunluysa, 
  • Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekliyse,  
  • Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunluysa, 
  • İlgili kişinin kendisi tarafından kişisel verileri alenileştirilmişse,
  • Bir hakkın tesisi, kullanılması veya korunması için veri işleme zorunluysa veya 
  • İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesi gerekiyorsa 

ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür.

Açık rıza alınmasına ilişkin zorunluluk, özel nitelikli kişisel veriler için de geçerlidir. Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak tanımlanmıştır. Kural olarak Kanun’un 6. maddesinde gösterilen sınırlı sayıdaki özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.  

Ancak 5. maddede olduğu gibi özel nitelikli kişisel verilerin açık rıza aranmadan işlenmesine yönelik istisna 6. maddenin devamında gösterilmiş olup, bu düzenlemeye göre sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir.  

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir. 

Aydınlatma Yükümlülüğü 

Tüm veri sorumluları, kişisel verilerin elde edilmesi işlemlerine başlamadan önce ilgili kişileri bilgilendirmekle yükümlüdür. Söz konusu yükümlülük kapsamında ilgili kişiler; 

  • Veri sorumlusunun ve varsa temsilcisinin kimliği,
  • Kişisel verilerin hangi amaçla işleneceği, 
  • İşlenen kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceği, 
  • Kişisel veri toplamanın yöntemi ve hukuki sebebi ve 
  • Kanun’un 11. maddesinde sayılan haklar 

konularında bilgilendirilmelidir.

Aydınlatma metinlerinin yukarıda belirtilen konuları içerecek şekilde oluşturulması halinde veri sahiplerinin verilerinin işlenmesinden, elde edilmesinden önce veri sahibine ulaştırılması gerekmektedir.  

Kişisel Verileri Silme, Yok Etme veya Anonim Hale Getirme 

Kanun’a göre veri sorumlularının bir diğer yükümlülüğü, bünyelerinde işledikleri kişisel verileri zamanı geldiğinde silmek, yok etmek veya anonim hale getirmektir. Kanun’un 7. maddesinde belirtilen kurala göre, Kanun’a uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinmeli, yok edilmeli veya anonim hale getirilmelidir.                                                                

Veri Güvenliğine İlişkin Yükümlülük 

Kanun’un 12. maddesine göre kişisel veri işleme faaliyetleri yürüten bütün veri sorumluları; 

  • Kişisel verilerin hukuka aykırı işlenmesini önlemek, 
  • Kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve 
  • Kişisel verilerin muhafazasını sağlamak 

amacıyla uygun güvenlik düzeyini sağlayacak her türlü teknik ve idari tedbirleri almak zorundadır. 

Site Yönetimlerinin çalışanlarına ait özlük dosyalarının kilitli dolaplar içerisinde tutuluyor olması, iş telefonlarının şifrelenmiş olması, bilgisayarlarda anti virüs programlarının bulunması, Site Yönetimi bilgisayarlarına izinsiz erişimin önlenmesi vb. gibi tedbirlerin alınması ile veri güvenliğine ilişkin yükümlülükler yerine getirilmiş olacaktır. 

Veri güvenliğine ilişkin alınan teknik ve idari tedbirlere rağmen işlenen kişisel verilerin Kanun’a aykırı şekilde başkaları tarafından elde edilmesi halinde ise veri sorumlularının bu durumu en kısa sürede ilgilisine ve Kişisel Verileri Koruma Kurulu’na bildirmesi gerekmektedir.  

Site Yönetim Faaliyetleri Kapsamındaki Kişisel Veri İşleme Süreçleri

Güvenlik ve İş Denetimi Amaçlarıyla Kamera Kaydının Alınması  

Kişisel verilerin işlenebilmesindeki temel kural, veri sahibinden açık rızanın alınması olsa da yukarıda detaylı olarak açıkladığımız üzere Kanun’un 5/2 fıkrasında sayılan istisnalardan birinin bulunması halinde kişisel verilerin ilgili kişilerden açık rıza almadan işlenmesi mümkündür.  

Site Yönetimlerinde gerek güvenlik gerekse de personellerinin iş denetimlerinin yapılması amacıyla güvenlik kamerasının konulmasına yönelik meşru menfaati bulunmaktadır. Bunun yanında Site Yönetimleri ile gerek konut sakinleri gerekse de Site Yönetimi personeli veya Site Yönetimi’nin iş bağlantıları arasında sözleşme ilişkisi mevcuttur. Ayrıca Site Yönetimleri’nin kimi zaman kanuni yükümlülükleri gereği de kişisel verileri işlemesi gerekmektedir. Bu kapsamda işleme faaliyetlerinin olması halinde, ilgili kişilerden açık rıza alınmasına gerek kalmayabilir Ancak bu durumlarda da mutlaka aydınlatma metni ilgili kişilere sunulmalı ve kamera ile izlenen kısımlara, izleme yapıldığına dair uyarı yazısı asılmalıdır.  

Kamera kayıtlarının yalnızca güvenlik ve iş denetimi amacıyla alınması, kişilerin özel hayatına müdahale edecek şekilde belirtilen amaçlar dışında kullanılmaması, personeller açısından ise mesai saatleri dışını da kapsayacak şekilde kayıt alınmaması gerekmektedir.  

Ayrıca, kameraların ses kaydı almamasına ve gizli kameranın kullanılmamasına dikkat edilmelidir. Aksi takdirde bu durum Kişisel Veri İşleme İlkelerinde belirtilen “ölçülülük ve sınırlılık” ilkesinin ihlali anlamına gelecek ve Kanuna aykırılık oluşturacaktır. 

Siteye Gelen Ziyaretçilerin Kimlik İbraz Etmesi

Siteye gelen ziyaretçilerin isim bilgilerinin site sakini ile teyitleşmek ve site güvenliğini sağlamak amacıyla elde edilmesi, bu kişilerin güvenlik kameraları ile görüntülerinin kayıt altında tutulması bu süreçteki veri işleme faaliyetlerini oluşturmaktadır.  

Her ne kadar güvenlik amacıyla meşru menfaat bulunması nedeniyle siteye gelen ziyaretçilerden veri işleme faaliyetlerine ilişkin açık rıza alınması gerekmese de aydınlatma yükümlülüğü kapsamında ilgili kişilerin bilgilendirilmesi gerekecektir.  

Site Sakinlerinin Aidat Borç Bilgilerine İlişkin Bilgilendirme Yazılarının Ortak Alanlarda İbrazı  

Site Yönetimleri tarafından site sakinlerinin aidat borç bilgilerinin herkesin göreceği şekilde ortak alanlarda ibrazı Kanunda belirtilen gerek ölçülülük gerekse de dürüstlük kuralı ilkelerine aykırılık oluşturan kişisel veri işleme faaliyetleridir. Bu itibarla Site Yönetimlerinin gerekli bilgilendirmeyi ilgili site sakinleri ile doğrudan iletişime geçerek ya da SMS aracılığıyla yapması daha uygun olacaktır. Ancak bu durumda da gerekli bilgilendirmenin ‘ölçülülük ilkesine’ uygun bir şekilde yapılması ve site sakinlerinin sürekli rahatsız edilmemesi gerekmektedir.

Site Sakinlerinden Alınan Formun ve Belgelerin İncelenmesi  

Sitelerde ikamet etmeye başlayan kat sakinlerinden alınan bilgi formları aracılığıyla kişisel veri işleme faaliyeti gündeme gelmektedir.

Kişisel veriler, amaçla bağlantılı olarak ve yalnızca gerekli verilerin işlenmesi hususuna dikkat edilerek alınmalı ve “ölçülülük ve sınırlılık” ilkesini aşacak şekilde olmamasına dikkat edilmelidir. Yine alınan formlarda da aydınlatma yükümlülüğü yerine getirilmelidir.

Site Yönetimleri Çalışan Adaylarına Ait Özgeçmişlerin İşlenmesi Süreci  

Özgeçmişler, işe alım sürecinde kullanması ve değerlendirmesi gereken evraklar olduğu için, çalışanların özgeçmişlerinin işveren tarafından saklanması meşru menfaat ve sözleşmenin kurulması için gerekli olması kapsamında değerlendirilebilir.  

Ancak dikkat edilmelidir ki, özgeçmişlerde bulunan veriler güncelliğini kısa sürede yitirebilecek nitelikte veriler olduğundan bu belgelerin uzun süre saklanılmaması ve imha edilmesi gerekmektedir. Görüşmesi olumsuz geçen adayların özgeçmişleri ise ivedilikle imha edilmelidir.  

Site Çalışanlarının Özlük Dosyaları  

Bilindiği üzere tüm işverenlerin çalıştırdığı her işçi için birer özlük dosyası oluşturma yükümlülüğü bulunmaktadır. Özlük dosyalarının ne kadar süreliğine saklanması gerektiğine ilişkin kanunlarımızda net bir düzenleme olmamakla birlikte; 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu uyarınca işyeri defter ve kayıtlarının takip eden yıldan itibaren 10 yıl süre ile saklanması gerektiği öngörülmüştür. Bu hükümden yola çıkılarak, çalışanların özlük dosyalarının işten ayrıldıkları tarihten itibaren 10 yıl süreyle saklanabileceği yorumu yapılabilir.  

Ancak özlük dosyalarında işverene karşı açılacak işçilik davaları kapsamında gerekli olacak evraklar dışında güncelliğini yitirmiş ve saklanılması meşru menfaat veya kanuni yükümlülük kapsamında değerlendirilemeyecek evrakların işçinin iş akdinin sona ermesinden sonra uzun yıllar saklanması Kişisel Verilerin Korunması Kanununa aykırılık oluşturacağından işbu evrakların ayrılması ve imha edilmesi gerekecektir. 

Sonuç olarak, Site Yönetimleri verdikleri hizmet gereği site sakinlerine, ziyaretçilere, tedarikçi firmalara ve site personellerine ait birçok kişisel veri işleme faaliyetinde bulunmaktadır. Bu itibarla Site Yönetimlerinin veri sorumlusu veya veri işleyen olup olmadığı hususu henüz tartışmalı olsa da Site Yönetimlerinin yürütülen faaliyet gereği veri sorumlusu gibi kanundan kaynaklanan tüm sorumluluklara uygun davranması gerekmektedir.

Benzer Makaleler

2020 Sosyal Medyanın Düzenlenmesine İlişkin Kanun Teklifi
2020 Corona Virüs Tedbirleri Kapsamında Kişisel Verileri Koruma Kurulu’nun 23.06.2020 Tarihli ve 2020/482 Sayılı Kararı