İş Yerlerinde Güvenlik Kamerası KullanımıUygulamalar Rehberi

İş yerlerinde güvenlik kameralarının kullanımı, hem fiziksel güvenliğin sağlanması hem de iş sağlığı ve güvenliği süreçlerinin denetlenmesi açısından kritik bir araçtır. Ancak bu sistemler, çalışanların, ziyaretçilerin ve müşterilerin kişisel verilerini (görüntü ve bazı durumlarda ses kayıtları) doğrudan işlediği için 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında ciddi hukuki ve teknik yükümlülükler doğurur.

KVKK Kişisel Verileri Koruma Kurulu’nun yayımladığı ilke kararları ve kamuoyu duyuruları, kamera sistemlerinin “güvenlik” bahanesiyle sınırsız bir izleme aracına dönüşmesini engellemeyi amaçlar. Bu rehberde, iş yerlerinde kamera izleme faaliyetlerinin hukuki sınırlarını, bilgi güvenliği standartları (ISO 27001, ISO 27701 vb.) çerçevesinde alınması gereken teknik tedbirleri ve sahadan örnek uygulamaları kapsamlı bir şekilde ele alacağız.

1. Kamera ile İzleme Faaliyetinin Temel İlkeleri

Kurul kararları ve KVKK Madde 4 uyarınca, iş yerinde kamera sistemi kurulurken şu temel ilkelere harfiyen uyulması zorunludur:

• Hukuka ve Dürüstlük Kurallarına Uygunluk: İzleme faaliyeti, meşru bir amaca hizmet etmeli ve gizli/fark ettirmeden (casus kamera vb. yöntemlerle) yapılmamalıdır.
• Belirli, Açık ve Meşru Amaçlar İçin İşlenme: Kameralar yalnızca bina güvenliği, üretim hattı güvenliği veya iş kazalarını önleme gibi somut amaçlarla kullanılmalıdır. Çalışanların performansını ölçmek veya masasında ne yaptığını izlemek gibi amaçlar hukuka aykırıdır.
• İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma: “Ölçülülük” ilkesi, kamera denetimlerindeki en kritik noktadır. Güvenlik amacı, daha az veri işleyerek (örneğin kamerasız bir kartlı geçiş sistemiyle) sağlanabiliyorsa, kamera kullanımı ölçüsüz kabul edilebilir. Aynı şekilde, bir koridoru izlemek yeterliyken, kameranın doğrudan bir çalışanın bilgisayar ekranına odaklanması ölçülülük ilkesinin ihlalidir.
• İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme: Kamera kayıtları sonsuza dek saklanamaz. Sektörel bir yasal zorunluluk (örneğin bankalar veya akaryakıt istasyonları için özel yasalar) yoksa, kayıtların amacına uygun makul bir süre sonunda (genellikle 15-30 gün) otomatik olarak silinmesi gerekir.

2. İzleme Yapılabilecek ve Kesinlikle Yasak Olan Alanlar

Kamera sistemlerinin nereye konumlandırılacağı, KVKK uyumunun kalbidir. İşverenin yönetim hakkı, çalışanın özel hayatının gizliliği sınırında biter.

Kesinlikle İzlenemeyecek Alanlar (Kırmızı Çizgiler)

Kişilerin mahremiyet beklentisinin yüksek olduğu alanlarda güvenlik kamerası bulundurulamaz. Bu alanlarda yaşanabilecek hırsızlık veya güvenlik riskleri, kapı giriş/çıkışlarına kamera konularak veya farklı yöntemlerle çözülmelidir.

• Tuvaletler ve lavabolar
• Soyunma odaları ve kabinler
• Emzirme odaları
• Mescitler ve ibadet alanları
• Sadece çalışanların dinlenmesi için ayrılmış kapalı mola odaları (Ölçülülük ilkesi gereği, bu alanlarda kamera bulunması ciddi yaptırım sebebidir).

Kısıtlı ve Dikkatli İzlenmesi Gereken Alanlar

• Ofis Çalışma Alanları (Açık Ofisler): Doğrudan çalışanların ekranlarını, klavyelerini veya yüzlerini sürekli “zoom” yapacak şekilde izleyen kameralar hukuka aykırıdır. Amaç ofis güvenliğiyse, kameralar genel giriş-çıkışları ve geniş açıları görmelidir.
• Yemekhaneler: Güvenlik amacıyla geniş açılı izleme yapılabilir ancak masalardaki sohbetleri duyacak şekilde ses kaydı alınması ölçüsüzlük olarak değerlendirilir.

3. Ses Kaydı Meselesi: Kameralarda Mikrofon Kullanımı

KVKK Kurulu’nun kararlarında en çok ceza kesilen ihlallerden biri, kameraların görüntü ile birlikte ses kaydı da almasıdır.

Görüntü kaydı ile sağlanabilecek bir güvenlik önleminin (örneğin hırsızlığı önleme), ses kaydı alınarak genişletilmesi kanunun “ölçülülük ve sınırlılık” ilkesine açıkça aykırıdır. İstisnai durumlar (örneğin, müşteri hizmetleri bankolarında şeffaf cam arkasından yapılan işlemlerde çalışana yönelik hakaret/saldırı riskini önlemek) dışında, iş yerindeki genel güvenlik kameralarında mikrofon/ses kaydı özelliği kesinlikle fiziksel olarak kapatılmalı veya donanımsal olarak sökülmelidir.

4. Aydınlatma Yükümlülüğü ve “Katmanlı” Yaklaşım

Kameraların bulunduğu bir iş yerinde, içeri giren herkesin (çalışan, taşeron, müşteri, kurye) izlendiğini bilmesi gerekir. Kanun, bu bilgilendirmenin kayıt işlemi başlamadan önce yapılmasını şart koşar. Uygulamada en verimli yöntem Katmanlı Aydınlatma (Layered Notice) modelidir.

Birinci Katman: Görsel Uyarılar ve Piktogramlar

Bina girişlerinde, asansörlerde, koridorlarda ve izlenen alanların kolayca görülebilen noktalarında kamera ikonları (piktogram) ve kısa bilgilendirme metinleri yer almalıdır.

• Örnek Kısa Metin: “Bu alan, bina güvenliğinin sağlanması amacıyla [Şirket Adı] tarafından 7/24 kamera sistemiyle izlenmektedir. Detaylı aydınlatma metnine resepsiyondan veya www.sirket.com.tr/kvkk adresinden ulaşabilirsiniz.”

İkinci Katman: Detaylı Aydınlatma Metni

QR kod ile, web sitesi üzerinden veya danışmada basılı olarak sunulan bu metin şu unsurları içermelidir:

• Veri Sorumlusunun Kimliği
• Kişisel verilerin (Görüntü) hangi amaçla işlendiği (Fiziksel mekan güvenliği, iş kazalarının tespiti vb.)
• Kayıtların kimlere ve hangi amaçla aktarılabileceği (Talep halinde adli makamlar, kolluk kuvvetleri)
• Toplama yöntemi ve hukuki sebebi (KVKK m.5/2-f: Veri sorumlusunun meşru menfaati)
• İlgili kişinin KVKK Madde 11 kapsamındaki hakları.

Önemli Not: Aydınlatma metinleri genel geçer şablonlardan kopyalanmamalı, o iş yerindeki kamera sisteminin teknik gerçekliğiyle birebir örtüşmelidir (Örn: Ses kaydı yoksa metinde “sesli ve görüntülü” yazmamalıdır).

5. Bilgi Güvenliği ve Teknik Tedbirler (Ağ ve Cihaz Güvenliği)

Kamera görüntülerinin kaydedilmesi kadar, bu kayıtların siber saldırılara, yetkisiz erişimlere ve içeriden sızıntılara karşı korunması da işverenin sorumluluğundadır. Sızma testi bulguları ve ISO 27001 gereksinimleri incelendiğinde, IP kamera ve NVR/DVR cihazlarının genellikle kurum ağlarındaki en zayıf halkalar olduğu görülür.

Aşağıdaki teknik ve idari tedbirlerin alınması zorunludur:

A. Ağ İzolasyonu (Network Segmentation)

• IP kameralar ve kayıt cihazları (NVR), kurumun ana veri ağından (çalışanların kullandığı internet ve sunucu ağı) tamamen izole edilmiş ayrı bir VLAN üzerinde çalıştırılmalıdır.
• Dışarıdan (İnternet üzerinden) kameralara erişim gerekiyorsa, cihazlar doğrudan internete açılmamalı (Port forwarding yapılmamalı), erişim mutlak surette güvenli bir VPN veya Zero Trust Network Access (ZTNA) altyapısı üzerinden, sadece yetkili IP’lere izin verilerek sağlanmalıdır.

B. Erişim Kontrolü ve Yetkilendirme Matrisi

• Kamera kayıtlarına kimlerin erişebileceği (Canlı izleme ve geçmişe dönük kayıt izleme) yazılı bir politika ile belirlenmelidir.
• Kayıt izleme yetkisi genellikle sadece Güvenlik Müdürü veya İdari İşler yöneticisi gibi kısıtlı bir gruba verilmelidir. Her yöneticinin kendi departmanını izlemesine izin vermek ihlaldir.
• Varsayılan (Default) yönetici şifreleri (admin/12345 vb.) cihazlar ağa takılmadan önce mutlaka karmaşık şifrelerle değiştirilmelidir.

C. Log Yönetimi (İz Kayıtları)

• Sisteme kimin, saat kaçta giriş yaptığı, hangi kameranın geçmiş kaydını izlediği veya hangi kaydı USB/Ağ üzerinden dışarı aktardığına (export) dair hareketler değiştirilemez loglar (iz kayıtları) halinde tutulmalıdır. Olası bir veri sızıntısında (örn: bir çalışanın kaza anının sosyal medyaya düşmesi) kaynağın tespiti için bu elzemdir.

D. Fiziksel Güvenlik

• Kayıt cihazlarının (NVR/DVR sunucuları) bulunduğu sistem odaları veya kabinler kilitli tutulmalı, bu odalara giriş-çıkışlar da yetkiyle sınırlandırılmalıdır. Cihazın fişinin çekilmesi veya hard diskinin çalınması durumlarına karşı alarmlar aktif edilmelidir.

6. Sık Karşılaşılan Senaryolar ve Örnek Uygulamalar

Kuralların teorisi kadar, pratikte nasıl işlediğini anlamak için günlük işleyişten örnek vaka senaryoları tasarlayalım:

Örnek Uygulama 1: Üretim Bandında “İş Performansı” İzleme Girişimi

Senaryo: Bir tekstil fabrikası yönetimi, üretim bandında işçilerin ne kadar hızlı çalıştığını, kendi aralarında ne kadar sohbet ettiklerini tespit etmek için her masaya birer kamera yerleştirir. Ayrıca kameraların mikrofonları da açıktır. KVKK Analizi: Bu uygulama kesinlikle hukuka aykırıdır. Kurul kararları açıktır: Kamera izleme “işçi performansını ölçmek” amacıyla kullanılamaz. Sürekli ve yakın plan izleme, çalışan üzerinde mobbing ve baskı (chilling effect) yaratır. Mikrofonların açık olması ölçülülük ilkesini ikinci kez ihlal eder. Doğru Yaklaşım: Üretim bandının sadece genel güvenliği ve iş sağlığı/güvenliği (İSG) risklerini (örneğin makinelerin tehlikeli kullanımı, yangın riski) görecek şekilde, geniş açılı, ses kaydı yapmayan ve sadece makineleri / genel alanı kadrajına alan kameralar yerleştirilmelidir.

Örnek Uygulama 2: Kayıtların Şirket İçi Disiplin Soruşturmasında Kullanımı

Senaryo: Şirket otoparkında iki çalışan arasında fiziksel bir kavga yaşanır. Otoparkı izleyen güvenlik kamerası bu olayı kaydeder. İnsan Kaynakları departmanı, bu görüntüyü disiplin soruşturması dosyasına ekler ve çalışanlardan birinin iş akdini haklı nedenle fesheder. KVKK Analizi: Bu uygulama hukuka uygundur. Otoparklar güvenlik riskinin yüksek olduğu alanlardır. Kameraların birincil amacı “bina ve tesis güvenliğini sağlamak” olduğu için, otoparkta gerçekleşen bir şiddet olayının tespiti, bu aydınlatma metnindeki meşru amaca doğrudan hizmet eder. Görüntülerin adli makamlara veya disiplin kuruluna delil olarak sunulması “amaçla bağlantılılık” ilkesine uyar.

Örnek Uygulama 3: Müşteri Bekleme Alanları ve Vezneler

Senaryo: Bir döviz bürosu veya danışmanlık ofisinin müşteri bekleme salonuna ve veznelerine kameralar yerleştirilir. Kameralar dışarıdan gelen müşterilerin yüzlerini net olarak kaydetmektedir. KVKK Analizi: Hukuka uygundur ancak aydınlatma yükümlülüğü kritik önem taşır. Müşteri kapıdan girdiği anda bu durumu öğrenmelidir. Veznelerde para alışverişi olduğu için “hırsızlık ve sahtecilik” riskine karşı buralardaki kameraların doğrudan kasa/banko üzerine odaklanması hukuki bir gereklilik (meşru menfaat) olarak kabul edilir ve ölçülülük ilkesini ihlal etmez.

Örnek Uygulama 4: Sosyal Medyaya Sızan “Komik” İş Kazası Videosu

Senaryo: Depo alanında bir forklift devrilir. Herhangi bir yaralanma olmaz ancak olay çok “ilginç” görünmektedir. Güvenlik odasında görevli bir personel, NVR ekranından bu anı cep telefonuyla videoya çeker ve WhatsApp gruplarında paylaşır. Video TikTok’a düşer. KVKK Analizi: Çok ağır bir veri ihlalidir. Veri sorumlusu (Şirket/İşveren), KVKK Madde 12 uyarınca veri güvenliğini sağlamak için gerekli teknik ve idari tedbirleri almamakla suçlanır. Doğru Yaklaşım: İşveren derhal KVKK Kuruluna 72 saat içinde “Veri İhlal Bildirimi” yapmalıdır. Görüntüyü sızdıran personel log kayıtlarından (kamera odasına o saatte kim girdi, sistemi kim kullandı) tespit edilmeli ve hakkında hukuki süreç başlatılmalıdır. Ayrıca bu tür durumları engellemek için izleme ekranlarının cep telefonuyla çekilemeyeceği bir konumda olması, güvenlik görevlilerine gizlilik sözleşmesi (NDA) imzalatılması ve periyodik KVKK/Farkındalık eğitimleri verilmesi şarttır.

7. Saklama Süreleri Üzerine Teknik ve Hukuki İnceleme

Kayıtların ne kadar süreyle tutulacağı sıkça tartışılan bir konudur. Yönetmelikte net bir gün sayısı verilmemiş, “işlendikleri amaç için gerekli olan süre” tanımı kullanılmıştır.

Uygulama Standartları:

• Genel Güvenlik Kameraları: 15 ila 30 gün arası saklama süresi genel teamül olarak makul kabul edilir. Bir güvenlik ihlali veya hırsızlık vakası genellikle ilk birkaç gün içinde fark edilir.
• Bankalar ve Finans Kurumları: Kendi özel mevzuatları gereği 2 aydan 1 yıla kadar kayıt tutma zorunlulukları olabilir. Bu durumlar özel kanun istisnasına (Madde 5/2-a: Kanunlarda açıkça öngörülmesi) girer.
• Aşırı Veri Birikimi (Data Hoarding) Riski: “Yerimiz var, 1 yıllık kayıt tutalım” mantığı KVKK açısından yasa dışıdır. Süre dolduğunda sistemin en eski kaydı üzerine yazacak (Overwrite) şekilde konfigüre edilmesi ve bu imha işleminin loglanması gerekir.

8. Sistem Kurulumundan Önce Yapılması Gerekenler (Kontrol Listesi)

Yeni bir tesise taşınılırken veya mevcut sistem güncellenirken uygulanması gereken adımlar:

1. Risk ve İhtiyaç Analizi (PIA – Privacy Impact Assessment): Hangi odalara kamera gerekiyor? Risk nedir? Alternatif bir yöntem (kartlı geçiş, devriye) ile bu risk giderilebilir mi?
2. Kamera Yerleşim Planının Çıkarılması (Kroki): Kameraların görüş açıları (FOV) çizilmeli, tuvalet/soyunma odası girişlerini görüyorsa içeriyi kesinlikle kadraja almadığı teyit edilmelidir (gerekirse yazılımsal maskeleme / privacy masking kullanılmalıdır).
3. Aydınlatma Materyallerinin Hazırlanması: Etiketler matbaaya verilmeli, web sitesine ve bina girişine uzun metinler yerleştirilmelidir.
4. Cihazların Güvenlik Yapılandırması (Hardening): Üretici varsayılan ayarları kapatılmalı, gereksiz portlar (Telnet, FTP, UPnP vb.) kapatılmalı, firmware güncellemeleri yapılmalıdır. Ağ izolasyonu sağlanmalıdır.
5. Erişim Politikalarının İmzalatılması: Sistemi yönetecek teknik ekip ve güvenlik görevlileri ile “Kamera Sistemleri Yetki ve Gizlilik Taahhütnamesi” imzalanmalıdır.
6. Kayıtların İmha Edilmesi Politikası: Saklama süresi NVR cihazında teknik olarak tanımlanmalı (örn: Retention = 30 days) ve Kurumun Saklama ve İmha Politikası belgesine eklenmelidir.

İş yerlerinde kamera kullanımı, salt bir “kablo ve cihaz” yatırımı değildir; doğrudan hukuki uyum, veri mahremiyeti ve kurumun bilgi güvenliği itibarını ilgilendiren bir süreçtir. Doğru planlanmamış bir kamera altyapısı, güvenliği sağlamak bir yana, kurumu ağır idari para cezalarına ve itibar kaybına sürükleyecek bir zafiyet noktasıdır. Sistemlerin tasarımı aşamasında hukuki danışmanlar ile bilgi güvenliği mühendislerinin ortak çalışması en doğru sonucu üretecektir.