Kişisel Verileri Koruma Kurulu -Kurul- 22.07.2020 tarih ve 2020/560 sayılı kararında kat malikleri kurulunun veri sorumlusu sayılabilmesine yönelik önemli tespitlerde bulundu. İlgili kararda Kurul, 634 sayılı Kat Mülkiyeti Kanunu’nun -634 sayılı Kanun- kat malikleri kuruluna verdiği yetkilerin kapsamını 6689 sayılı Kişisel Verilerin Korunması Kanunu -KVK Kanunu- çerçevesinde değerlendirerek kat malikleri kurulunun, tüzel kişiliği haiz olmamasına rağmen, pratik faydaları gözeterek veri sorumlusu olarak kabul edilebileceğini belirtti.
Kişisel Verileri Koruma Kurumu’nun internet sitesinden yayımlanan karar özeti ile 634 sayılı Kanun hükümlerine yer verilerek kat mülkiyetine konu olan gayrımenkulün bütünü için alınan kararlarda belirleyici olan tarafın kat malikleri kurulu olduğu, yöneticinin yalnızca kararların uygulayıcısı konumunda bulunduğu ifade edilmiştir.
Kararın devamında KVK Kanunu m. 3’te yer alan açık tanım uyarınca veri sorumlusunun[1] gerçek veya tüzel kişi olması gerektiği, kat malikleri kurulunun ise tüzel kişiliğinin bulunmadığı göz önüne alınmış ve bu anlamda kat malikleri kurulunun veri sorumlusu tanımının içerdiği kriterlerin tamamını taşımadığı belirtilmiştir. Nitekim öğretide KVK Kanunu m. 3 hükmüne göre veri sorumlusunun gerçek ve tüzel kişi olması gerektiği gözetilerek “bina yönetimi gibi oluşumlarda veri sorumlusunun oluşumu oluşturan kişiler olduğu” ifade edilmiştir[2].
Ancak Kurul tarafından kararda veri sorumlusuna ilişkin bu tanımın hayatın olağan akışına uygunluğun ve pratikte yaşanan sorunların çözümünün sağlanabilmesi için geniş yorumlanması gerektiği şeklinde bir görüş belirtilmiştir. Bu kapsamda Kurul “her ne kadar tüzel kişiliği haiz olmasa da kural olarak apartman, site ve benzeri yapılar bakımından veri sorumlusu olarak kat malikleri kurulunun kabul edilebileceği, kat malikleri kurulunun ise Kanun’un veri sorumlusuna yüklediği yükümlülüklerin yerine getirilmesi bakımından bir kişiyi görevlendirebileceği, görevlendirilen bu kişinin yönetici olmasının mümkün olduğu gibi başka bir kat malikinin yahut iradi temsilcinin de olabileceği değerlendirilmekle beraber, uygulamada istisnai durumların da ortaya çıkabileceği gözetilerek nihai olarak kişisel veri işleme faaliyetinde veri sorumlusu sıfatını haiz olanların belirlenmesi için; her somut hadise açısından kişisel veri işlenmesine ilişkin kararları alan, veri kayıt sistemlerini kuran, uhdesinde bulunduran ve yöneten birimlerin tespit edilmesinin gerektiği” tespitlerinde bulunmuştur.
Kurul bu kararla tüzel kişiliği haiz olmayan kat malikleri kurulunun kural olarak veri sorumlusu olarak kabul edileceğini, ancak uygulamada istisnai durumların ortaya çıkabileceğini, bu sebeple veri sorumlusunun belirlenmesi için her somut olayın KVK Kanunu çerçevesinde özel olarak değerlendirilmesi gerektiği vurgulanmıştır.
Veri sorumlusu kavramına ilişkin mehaz hukukta yer alan düzenlemeye bakıldığında Avrupa Veri Koruma Tüzüğü’nde veri sorumlusu “yalnız başına veya başkalarıyla birlikte kişisel verilerin işlenmesine ilişkin amaçlar ve yöntemleri belirleyen gerçek veya tüzel kişi, kamu kuruluşu, kurumu veya diğer herhangi bir organ” olarak tanımlanmıştır[3]. Görüldüğü üzere bu düzenlemede veri sorumlusu gerçek veya tüzel kişi ile sınırlı olarak tanımlanmamış, KVK Kanunu’ndan daha geniş bir tanım yapılmıştır.
Kurul tüzel kişiliği haiz olmayan bir yapının veri sorumlusu olabileceğine hükmetmiş olması mehaz düzenlemelere uygun olmakla birlikte, KVK Kanunu’nda yer alan açık tanımın dışına çıkılmıştır. Söz konusu karar Kurulun pratikte yaşanan sorunların çözümü için geniş yorum yapılması yaklaşımını ortaya koyması açısından dikkat çekici olmuştur.
Sonuç olarak kat malikleri kurulunun veya görevlendirilen yöneticinin veri sorumlusu sıfatından kaynaklanan yükümlülüklerini yerine getirmesi, aksi eylem ve işlemler için KVK Kanunu’na aykırılığın gündeme gelebileceği belirtilmelidir.
[1] Veri sorumlusu kavramına ilişkin ayrıntılı bilgi için bkz. Yılmaz, Süleyman/ Çavuşoğlu, Gökçe: Kişisel Verileri Koruma Hukuku, Ankara 2020, s. 51 vd.
[2] Dülger, Murat Volkan: Kişisel Verilerin Korunması Hukuku, Hukuk Akademisi, 2. Baskı, s.118.
[3] bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1374-1-1.
