SİTE YÖNETİMLERİ KVKK KAPSAMINDA VERİ SORUMLUSU MUDUR?
Günümüzde binlerce kişiye ev sahipliği yapan siteler gittikçe yaygınlaşmaktadır. Bu sitelerin yaygınlaşması, birçok hukuki sorunu beraberinde getirmektedir. Bu sorunlardan birisi site yönetimlerinin KVKK kapsamında veri sorumlusu sayılıp sayılmayacağıdır.
2016 yılında yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanununun 3.maddesinin 1.fıkrasının d bendinde kişisel veri kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmıştır. Yargıtay’a göre kişisel veri herkes tarafından bilinmeyen, kolaylıkla ulaşılabilmesi mümkün olmayan kişiyi belirlenebilir kılan ve toplumda yer alan diğer bireylerden ayıran gerçek kişiye ait tüm verilerdir. Kurumlara ait veriler kişisel veri olarak kabul edilmezler.
Kişisel veriler kanunun izin verdiği bazı durumlarda yetkili kişilerce işlenebilmektedir. Verileri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Veri sorumlusu ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.
Kişisel Verilerin Korunması Kanununda veri sorumlusunun yetkileri ve görevleri düzenlenmiştir. Bu görevlerden başlıcaları şunlardır :
1.Verilerin işlenme sebeplerinin ortadan kalkması durumunda verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi.
2.Aydınlatma yükümlülüğünün yerine getirilmesi.
3.Veri yükümlülüğüne ilişkin önlemleri alma.
Veri sorumlusunun kanuna aykırı hareket etmesi durumunda ise idari para cezaları uygulanmaktadır. Bu nedenle site yönetimlerinin veri sorumlusu olarak kabul edilip edilmemesi önem arz etmektedir.
Kanuna bakıldığında veri sorumlusunun gerçek ya da tüzel kişi olabileceği ifade edilmiştir. Ancak Kişisel Verileri Korunma Kurulu 22/07/2020 tarihli 2020/560 sayılı kararında site yönetimlerinin veri sorumlusu olarak kabul edilebileceğine karar vermiştir. Verilen karar şu şekildedir :
‘‘…gerek veri sorumlusunun 6698 sayılı Kanun’da yer alan tanımının gerekse 634 sayılı Kanun’da yer alan düzenlemelerin bir arada değerlendirilmesinden; kat mülkiyetine konu olan gayrimenkulün bütünü için kararlar alan, işlerin nasıl yürütüleceğini belirleyen birimin kat malikleri kurulu olduğu, bununla birlikte; kat malikleri kurulunun tüzel kişiliği haiz olmaması dolayısıyla 6698 sayılı Kanun’un 3’üncü maddesindeki veri sorumlusu tanımının içerdiği kriterlerin tamamını taşımadığının görüldüğü, zira anılan tanımdan hareketle veri sorumlusu sıfatının bir gerçek yahut tüzel kişiye ait olabileceği sonucunun çıktığı, kat malikleri kurulunun tüzel kişiliğinin bulunmadığı hususunun çeşitli Yargıtay kararlarında da açıkça ifade edildiği (Yargıtay 1. Hukuk Dairesi T. 29.03.2004, E. 2004/3091, K. 2004/3556: “Davada gerçek ve tüzel kişiler ya da bunların yasal temsilcileri taraf olma ehliyetine sahiptir. Apartman kat malikleri kurulunun (Yönetiminin) tüzel kişiliği ve bu nedenle taraf ehliyeti yoktur.” Yargıtay 1. Hukuk Dairesi E. 2007/10090, K. 2007/11914: “Davada gerçek ve tüzel kişiler ya da bunların yasal temsilcileri taraf olma ehliyetine sahiptir. Apartman kat malikleri kurulunun (Yönetimin) tüzel kişiliği bu nedenle taraf ehliyeti yoktur.”
Ancak, durum böyle olsa bile 634 sayılı Kanun’un 35’inci maddesinde, yöneticinin, ana gayrimenkulün tamamını ilgilendiren tebligatı kabul etme yetkisi olduğunun belirtildiği ve kat malikleri kurulunun vekili olarak görev yapan yöneticinin bir gerçek kişi yahut bu konuda hizmet sunan şirketlerden profesyonel hizmet satın alınması durumunda ise tüzel kişi olabileceği,
Bununla birlikte, her ne kadar yönetici kat malikleri kurulunun verdiği kararlarla bağlı olup bu kararlara uygun hareket etmek zorunda olsa da, her somut olay bakımından yöneticinin yahut yönetim kurulunun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan bir rol üstlenmiş olması halinde ayrıksı durumların çıkabileceği, örneğin, bir site yönetiminin ayrı bir tüzel kişilik tarafından yürütülüyor olması durumunda, kişisel verilerin işlenmesi noktasında bu tüzel kişiliğin de veri sorumlusu olabileceği,
Tüm bu açıklamalar doğrultusunda; Kanun’un “veri sorumlusu”na ilişkin getirdiği tanımın, hayatın olağan akışına uygunluğunun sağlanması ve pratikte ortaya çıkan sorunların çözülebilmesi adına geniş yorumlanması gerektiği; bu kapsamda her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği değerlendirilmekle beraber, uygulamada istisnai durumların da ortaya çıkabileceği gözetilerek nihai olarak kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için; her somut hadise açısından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesinin gerektiği değerlendirmelerine yer verilmiştir.’’
Verilen bu karar site yönetimleri açısından oldukça önemli bir karardır. Özellikle kanunların öngördüğü durumlarda verileri işleyen site yönetimlerinin Kişisel Verilerin Korunması Kanununa aykırı hareket etmemesi gerekmektedir. Aksi durumda;
Aydınlatma yükümlülüğüne uyulmamasında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
Veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesinde 15.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezasına çarptırılırlar.
Stajyer Avukat Sema Nur Deveci Ustundağ
Avukat Hüseyin Acar
Reşit Hukuk&Danışmanlık