KVKK ve Kamera Sistemleri: CCTV Veri Koruma Yükümlülükleri Kapsamlı Rehberi
Hepimiz güvende hissetmek isteriz. İşyerimizi hırsızlardan, sitemizi yabancılardan, mağazamızı olası tehlikelerden korumak için ilk aklımıza gelen çözüm her zaman bir güvenlik kamerası (CCTV) taktırmaktır. Kameralar caydırıcıdır, olayları aydınlatır ve modern yaşamın vazgeçilmez bir parçasıdır. Ancak, dijital gözetim teknolojilerinin hayatımızın bu kadar içine girmesi, çok hassas bir dengeyi de beraberinde getirdi: Güvenlik ihtiyacı ile mahremiyet hakkı arasındaki denge.
Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu dengeyi sağlamak için devrede. Artık istediğimiz yere, istediğimiz açıyla, kafamıza göre bir kamera takıp kayıt yapamıyoruz. Bir kamera sadece görüntü kaydetmez; kişilerin fiziksel özelliklerini, nerede olduklarını, ne giydiklerini ve kiminle yürüdüklerini de dijital bir veriye dönüştürür. İşte bu yüzden, bir kamera sistemi kurduğunuzda aslında sadece bir elektronik alet satın almış olmuyor, aynı zamanda hukuki bir veri işleme sürecini de başlatmış oluyorsunuz. Nesil Teknoloji olarak hazırladığımız bu detaylı rehberde, kurulum aşamasından kayıtların imha edilmesine kadar tüm süreçlerde başınızı ağrıtmayacak, sizi ağır idari para cezalarından koruyacak en doğru uygulamaları adım adım inceliyoruz.
Ses kaydeden kameralar kullanmak.
Personeli performans denetimi amacıyla izlemek.
Tuvalet veya soyunma alanlarına kamera koymak.
Aydınlatma tabelası asmamak.
Komşunun kapısını gören kamera açısı ayarlamak.
Şifreyi fabrika ayarında (admin/1234) bırakmak.
1. Görüntü Kayıtları Neden “Kişisel Veri” Sayılıyor?
KVKK’nın 3. maddesi kişisel veriyi şöyle tanımlar: “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.” Kamera görüntüleri bu tanımı karşılar çünkü kişinin fiziksel silueti, yürüyüş tarzı, giysisi veya bulunduğu zaman bile onu kimliği belirlenebilir kılmaya yeter.
Biyometrik Veri Riski
Standart güvenlik kameraları “genel nitelikli” veri işler ve uyum nispeten kolaydır. Ancak yüz tanıma, retina taraması veya yüz kimliğiyle kapı açan PDKS sistemleri, veriyi Kanun’un 6. maddesi kapsamındaki Özel Nitelikli Kişisel Veri (Biyometrik Veri) statüsüne taşır. Bu veriler çok daha ağır şartlara ve açık rızaya tabi olup ihlal cezaları katlanarak artar.
2. Kameralar İçin KVKK’nın 4 Altın Kuralı
2.1. Hukuka Uygunluk — Gizli Kamera Yasağı
İzleme faaliyeti şeffaf olmak zorundadır. Duman dedektörü veya duvar saati görünümündeki gizli kameralar dürüstlük kuralının açık ihlaline yol açar; olası casusluk ve şantaj boyutuyla da TCK kapsamında suç teşkil edebilir.
2.2. Belirli ve Meşru Amaç
Kameranın amacı kurulumdan önce somut biçimde belirlenmeli ve belgeler üzerinde sabitlemelidir: hırsızlığı önlemek, bina güvenliğini sağlamak ya da İSG denetimi gibi. “Belki ileride lazım olur” gerekçesi KVKK karşısında geçersizdir. Kamerayı bir amaç için kurup farklı bir amaçla (örn. personel performans takibi) kullanmak amaç dışı veri işleme suçudur.
2.3. Ölçülülük İlkesi
Kamera sistemi, belirlenen amaca ulaşmak için gerçekten zorunlu mu? Depo güvenliği için çelik kapı ve kilit yeterliyse, kamera kurmak orantısız bir müdahale sayılabilir. Kameranın sağladığı fayda ile bireyin mahremiyetine verilen zarar orantılı olmalıdır; Kurul en çok bu noktada ceza kesmektedir.
2.4. Süre Sınırı
Büyük kapasiteli disk bulundurmak, görüntüleri sonsuza dek saklamayı meşrulaştırmaz. Kayıtlar, amacın gerektirdiği minimum süre kadar tutulup ardından derhal imha edilmelidir.
3. Kırmızı Çizgi: Ses Kaydı Neden Kesinlikle Yasak?
Birçok işletme sahibi kameranın mikrofon özelliğini açık bırakır; bu yapılabilecek en büyük yasal hatalardan biridir. Kişisel Verileri Koruma Kurulu’nun 2020/212 sayılı emsal kararına göre; güvenliği sağlamak için görüntü kaydı zaten yeterlidir. Ses kaydı almak ölçülülük ilkesini açıkça ihlal eder; çünkü insanların mahrem sırlarını, sağlık bilgilerini ve özel diyaloglarını da kontrolsüzce kayıt altına alır.
Bankalar veya özel çağrı merkezi bankoları gibi istisnai alanlar dışında, kameraların mikrofonları ya donanımsal olarak sökülmeli ya da yazılımdan tamamen devre dışı bırakılmalıdır.
4. Şeffaflık Şartı: Aydınlatma Metinleri ve Tabelalar
İnsanlar bir alana girdiklerinde izlendiklerini önceden bilmek zorundadır. Bunun için Katmanlı Aydınlatma (Layered Notice) yöntemi uygulanır.
Birinci Katman: Tabela
Kişi izleme alanına adım atmadan görebileceği bir tabela asılmalıdır. Tabelada kamera simgesi, kurumun tam unvanı, çok kısa bir amaç ifadesi ve detaylı bilgiye yönlendirme (QR kodu veya web adresi) yer almalıdır.
İkinci Katman: Detaylı Aydınlatma Metni
QR ile erişilen veya talep üzerine sunulan bu belgede; toplanan veri türleri, üçüncü taraflarla (polis, sigorta) paylaşım koşulları, hukuki dayanaklar ve KVKK Madde 11 kapsamındaki ilgili kişi hakları ayrıntılı olarak açıklanmalıdır. İnternetten kopyalanmış jenerik metinler yasal güvence sağlamaz.
5. Mekana Göre Kurallar: İşyeri, Apartman, Okul ve Mağazalar
5.1. İşyerleri ve Fabrikalar
Üretim bandı, koridorlar ve giriş-çıkışlar kamera ile izlenebilir. Ancak kameralar personel performans denetimi veya mobing aracı olarak kullanılamaz. Tuvaletler, soyunma kabinleri, duşlar ve dinlenme alanları kesinlikle yasak bölgelerdir. Doğrudan bir çalışanın yüzüne veya ekranına zoom yapılmış sabit kameralar da özel hayatın ihlaline girer.
Öte yandan yüz tanıma tabanlı PDKS sistemleri, Kurul tarafından “ölçüsüz müdahale” sayılarak ağır biçimde cezalandırılmaktadır (örn. 2022/797 sayılı Kurul Kararı: 500.000 TL ceza).
5.2. Apartman ve Siteler
Yönetici tek başına kamera kurma kararı alamaz; kat maliklerinin çoğunluk onayı gerekir. Kamera açısı yalnızca asansör önü ve koridor gibi ortak alanları kapsamalıdır; komşunun kapısına veya balkonuna odaklanan açılar TCK kapsamında suçtur. Ortak alan görüntülerine sadece yetkili yönetici ve güvenlik personeli şifreyle erişebilir; tüm site sakinlerine canlı yayın açmak KVKK ihlalidir.
5.3. Okullar
Bahçe, giriş ve koridorlar güvenlik amacıyla izlenebilir. Ancak derslik içlerine sürekli kamera kaydı tutmak hem çocukların gelişimini olumsuz etkiler hem de öğretmenin özerkliğine müdahale sayılır.
5.4. Mağazacılık ve Perakende
Hırsızlık önleme amacıyla kamera kullanılabilir; ancak deneme kabinleri kesinlikle yasaktır. Müşteri davranışı analizi (ısı haritası, duygu tanıma) gibi pazarlama amaçlı kullanımlar ise müşteriden açık rıza alınmasını zorunlu kılar.
6. Hackerlara Karşı Sistem Güvenliği (Teknik Tedbirler)
KVKK Madde 12, veri sorumlusuna topladığı veriyi koruma yükümlülüğü getirir. IP kameralar ve NVR/DVR cihazları internete bağlı IoT cihazları olup siber saldırıların ilk hedefleri arasındadır. Şifresi hiç değiştirilmemiş binlerce Türk kamerası, “Shodan” gibi arama motorlarında herkese açık biçimde erişilebilir durumdadır.
| Tedbir | Açıklama |
|---|---|
| Güçlü Şifre | Varsayılan “admin / 123456” şifreler kurulum günü büyük-küçük harf ve sembol içeren karmaşık şifrelerle değiştirilmelidir. |
| Ağ İzolasyonu (VLAN) | Kameralar için çalışan/misafir Wi-Fi ağından bağımsız ayrı bir sanal ağ oluşturulmalıdır. |
| Maskeleme | Görüntüye zorunlu olarak giren yasak alanlar (komşu penceresi, personel ekranı) yazılımdan siyah bantla kapatılmalıdır. |
| Erişim Logları | Kimin ne zaman görüntülere eriştiği, kopyaladığı veya sildiği silinmez log kayıtlarıyla tutulmalıdır. |
| Personel Taahhütnamesi | Güvenlik görevlileriyle sıkı gizlilik taahhütnameleri imzalanmalı; telefon kamerası ile ekran çekimi yapılması ve sosyal medyada paylaşılması önlenmelidir. |
7. Kayıtlar Ne Zaman ve Nasıl Silinmeli?
Kanunda kameralar için “Şu kadar gün saklanır” diye sabit ve kesin bir sayı yoktur. Kural şudur: “İşleme amacının gerektirdiği makul süre.”
Avrupa Veri Koruma Otoriteleri ve Türkiye’deki genel uygulamalar ışığında; ofis, apartman veya mağaza gibi genel güvenlik gerektiren yerlerde 15 ila 30 gün arası bir saklama süresi makul kabul edilmektedir. Bir hırsızlığın veya kazanın fark edilmesi için 30 gün yeterince uzun bir süredir. Süreyi “6 ay”, “1 yıl” gibi gereksiz yere uzatmak veri minimizasyonu ilkesini ihlal eder.
İmha Yöntemleri:
- Otomatik Üzerine Yazma (Overwriting): En pratik ve yaygın yöntemdir. Sistem ayarlarına “30 gün sonra sil” talimatı girilir veya disk kapasitesi dolduğunda sistem en eski günden başlayarak görüntüleri otomatik silip üzerine yenilerini kaydeder.
- Fiziksel Yok Etme: Kamera sistemi yenilendiğinde veya bozulan bir harddisk çöpe atılacağında, içindeki veriler başkalarının eline geçmesin diye diskler fiziksel olarak (kırılarak, delinerek veya güçlü manyetik alanla bozularak – degaussing) tamamen imha edilmelidir. Asla eski disklerinizi ikinci el sitelerinde satmayın!
8. İhlal Durumunda Ceza ve Yaptırımlar
KVKK’ya uyumsuzluğun maliyeti, bir kamera sisteminin bedelinin yüzlerce katını aşabilir. Her yıl yeniden değerleme oranıyla güncellenen idari para cezaları işletmeler için ciddi bir finansal yüktür.
- Aydınlatma Yükümlülüğü İhlali: Tabela asmamak veya aydınlatma metnini eksik hazırlamak on binlerce liradan başlayan cezalara yol açar.
- Veri Güvenliği İhlali: Görüntülerin hacklenmesi, sızdırılması veya yetkisiz erişim durumunda cezalar 9.500.000 TL’ye kadar ulaşabilmektedir.
- Hapis Cezası Riski: Tuvaletlere kamera yerleştirmek, gizli çekim yapmak veya komşuyu gözetlemek yalnızca para cezasıyla geçiştirilmez. TCK Madde 134–135 kapsamında şikayet üzerine savcılık devreye girer ve 1–3 yıl hapis cezasıyla yargılanma riski doğar.
9. Sık Sorulan Sorular
Kendi dükkanıma kamera kuruyorum, ses kaydı yapabilir miyim?
Mülk size ait olsa da içindeki çalışan ve müşterilerin mahremiyet hakları bağımsızdır. Görüntü kaydı için uyarı tabelası asmak yeterlidir; ancak ses kaydı ölçülülük ilkesine aykırı olduğundan kendi dükkanınızda da yasaktır.
Personelin çalışıp çalışmadığını kameradan takip edebilir miyim?
Hayır. Kameraların amacı tesis güvenliğidir; personelin mola süresini ölçmek veya ekrana zoom yaparak iş temposunu izlemek mobbing ve amaç dışı veri işleme kapsamına girer. Kameralar yalnızca genel koridorları ve üretim alanını geniş açıyla çekebilir.
Sitedeki kameraları telefonumdan izleyebilir miyim?
Tüm site sakinlerine canlı izleme yetkisi verilmesi KVKK’ya aykırıdır. Kayıtlara yalnızca görevli yönetici ve güvenlik personeli, olası bir olay incelemesi için şifreyle erişebilir.
DVR’ımın fabrika şifresini değiştirmedim, ne gibi bir risk var?
Sisteminiz internete açıksa, bir saldırgan saniyeler içinde içeriye girebilir ve tüm kayıtları izleyip indirebilir. Bu büyük bir veri güvenliği ihlalidir; tespit edilmesi hâlinde ağır idari para cezaları uygulanır. Destek için hemen Nesil Teknoloji ile iletişime geçin.
