KVKK Kapsamında Kamera Sistemleri ve Biyometrik Veri

İşyerlerinde fiziksel güvenliğin sağlanması, hırsızlık olaylarının önlenmesi ve giriş-çıkışların kontrol altında tutulması amacıyla kapalı devre kamera sistemleri (CCTV) ve biyometrik erişim kontrol cihazları (parmak izi okuyucular, yüz tanıma sistemleri vb.) yaygın olarak kullanılmaktadır. Ancak, bu teknolojilerin kullanımı doğrudan bireylerin kişisel verilerinin işlenmesi anlamına gelir. Kişisel Verilerin Korunması Kanunu (KVKK), kamera görüntülerini "kişisel veri", parmak izi ve yüz tanıma gibi biyometrik verileri ise "özel nitelikli kişisel veri" olarak sınıflandırarak çok sıkı yasal sınırlamalara ve teknik gereksinimlere tabi tutmuştur.

Birçok şirket yöneticisi, kendi mülkleri veya işyerleri içinde istedikleri gibi kamera yerleştirebileceklerini ve çalışanların giriş-çıkış takibini biyometrik yöntemlerle serbestçe yapabileceklerini varsaymaktadır. Oysa Kişisel Verileri Koruma Kurulu'nun (KVKK) bu konularda verdiği emsal kararlar ve uyguladığı çok ciddi idari para cezaları, durumun hiç de öyle olmadığını açıkça göstermektedir. Bu rehberde, işyerlerindeki kamera sistemlerinin ve biyometrik erişim kontrol cihazlarının KVKK uyumluluğu süreçlerini, yasal sınırları ve alınması gereken teknik tedbirleri detaylı olarak ele alacağız.

KVKK Kapsamında Güvenlik Kameraları (CCTV) ve Yasal Sınırlar

İşyerlerinde güvenlik kamerası ile izleme faaliyeti, KVKK kapsamında bir kişisel veri işleme faaliyetidir. Bu faaliyetin hukuka uygun olabilmesi için belirli kurallara sıkı sıkıya uyulması şarttır:

1. Aydınlatma Yükümlülüğü (Katmanlı Aydınlatma)

Kamera ile izleme yapılan alanlarda, hem çalışanların hem de ziyaretçilerin görebileceği şekilde kamera uyarı levhaları ve aydınlatma metinleri bulundurulmalıdır.

• Katmanlı Aydınlatma: Giriş kapılarına yerleştirilen kısa uyarı levhaları (örn: "Bu alan 7/24 kamera ile izlenmektedir") birinci katmanı oluştururken; detaylı veri işleme amaçlarını, saklama sürelerini ve hakları anlatan geniş aydınlatma metinleri (web sitesinde veya danışmada) ikinci katmanı oluşturur.

2. Amaçla Sınırlılık ve Ölçülülük İlkesi

Kameralar sadece güvenlik amacıyla yerleştirilmeli ve bu amaçla ölçülü olmalıdır.

• Yasaklı Alanlar: Çalışanların kişisel mahremiyet alanları olan tuvaletler, soyunma odaları, ibadethaneler, dinlenme alanları ve yemekhaneler gibi yerlere kesinlikle kamera yerleştirilemez. Bu alanların izlenmesi doğrudan mahremiyet ihlali sayılır ve ağır yaptırımlara tabidir.
• Performans Takibi Yasağı: Kameralar, çalışanların iş performansını, mola sürelerini veya çalışma verimliliğini denetlemek amacıyla kullanılamaz. Kamera açılarının doğrudan bir çalışanın masasına veya çalışma alanına odaklanması ölçülülük ilkesine aykırıdır.

3. Veri Saklama Süresi ve İmha

Kamera kayıtları sonsuza kadar saklanamaz. Güvenlik amacıyla tutulan kayıtlar için makul bir saklama süresi (genellikle sektör standardı olarak 15 ila 30 gün arası) belirlenmeli ve bu sürenin sonunda kayıtlar otomatik olarak üzerine yazılarak (overwrite) veya kalıcı olarak silinerek imha edilmelidir.

Biyometrik Veri Nedir ve Neden "Özel Nitelikli" Kişisel Veridir?

Biyometrik veri; bireyin fiziksel, fizyolojik veya davranışsal özelliklerinin analiz edilmesiyle kimliğinin benzersiz bir şekilde doğrulanmasını sağlayan verilerdir (parmak izi, yüz geometrisi, retina taraması, ses analizi vb.). KVKK'nın 6. maddesinde biyometrik veriler özel nitelikli kişisel veri olarak sınıflandırılmıştır.

Özel nitelikli kişisel verilerin işlenmesi, normal kişisel verilere göre çok daha katı kurallara bağlıdır:

• Açık Rıza Zorunluluğu: Kanunda açıkça belirtilen durumlar dışında, özel nitelikli kişisel verilerin işlenebilmesi için ilgili kişinin (çalışanın) özgür iradesiyle verdiği açık rızası şarttır.
• Alternatif Sunma Zorunluluğu: Bir işveren, işe giriş-çıkış takibi için parmak izi veya yüz tanıma sistemini zorunlu tutamaz. Çalışana mutlaka biyometrik olmayan (kartlı geçiş, şifreli giriş vb.) alternatif bir yöntem sunulmalıdır. Çalışan parmak izini vermek istemediğinde, işveren onu cezalandıramaz veya iş akdini bu nedenle feshedemez.
• Verinin Şifrelenmesi: Biyometrik verileri saklayan cihazların ve veritabanlarının güvenliği en üst düzeyde tutulmalı, veriler mutlaka güçlü şifreleme algoritmalarıyla saklanmalıdır.

Kamera ve Biyometrik Sistemlerde Alınması Gereken Teknik Tedbirler

Kamera görüntülerinin ve biyometrik verilerin yetkisiz kişilerin eline geçmesini engellemek için IT altyapınızda şu teknik tedbirleri almanız zorunludur:

1. Erişim Yetkilendirmesi: Kamera kayıt cihazlarına (NVR/DVR) ve biyometrik geçiş kontrol yazılımlarına erişim, sadece yetkili güvenlik personeli ve sistem yöneticileriyle sınırlandırılmalıdır. Her kullanıcının kendine ait benzersiz şifresi olmalıdır.
2. Ağ Segmentasyonu (VLAN): IP kamera sistemleri ve biyometrik cihazlar, kurumun genel kullanıcı ağından izole edilmiş ayrı bir VLAN (Sanal Yerel Ağ) üzerinde çalıştırılmalıdır. Bu sayede, kullanıcı ağındaki olası bir siber sızıntının kamera sistemlerine ulaşması engellenir.
3. Log Yönetimi: Kamera kayıtlarına kimlerin ne zaman eriştiği, hangi görüntüleri izlediği veya indirdiği detaylı olarak loglanmalı ve bu logların bütünlüğü korunmalıdır.

Ağ segmentasyonu ve VLAN yapılandırmaları hakkında daha fazla bilgi edinmek için ISO 27001 ve Ağ Güvenliği makalemizi inceleyebilirsiniz.

Profesyonel Uyumluluk ve Altyapı Danışmanlığı

Ankara'da faaliyet gösteren birçok şirket, mevcut kamera ve biyometrik geçiş sistemlerinin KVKK'ya uygun olup olmadığı konusunda tereddüt yaşamaktadır. LeonX olarak, şirketinizin fiziksel ve dijital güvenlik altyapısını analiz ediyor, hem hukuki hem de teknik açıdan KVKK uyumluluğunuzu sağlıyoruz.

Kamera ve biyometrik sistemlerinizin, sunucularınızın ve ağ altyapınızın güvenlik durumunu analiz etmek için Siber Güvenlik Değerlendirme Hizmeti çözümlerimizden yararlanabilirsiniz.

Ayrıca, kurumsal yönetim süreçlerinizi, veri envanterinizi ve uyumluluk politikalarınızı bütünsel bir yaklaşımla ele almak için İş ve Yönetim Danışmanlığı hizmetlerimiz kapsamında profesyonel destek alabilirsiniz.

Kişisel verilerin korunması ve bilgi güvenliği süreçlerinizi güçlendirmek için hazırladığımız diğer rehberlerimizi de inceleyebilirsiniz:

• IT altyapınızda yapılması gereken diğer teknik değişiklikler için: KVKK Uyumluluğu İçin IT Altyapısı
• Küçük işletmeler için pratik uyum adımları için: Küçük İşletmeler İçin KVKK
• Kimlik ve erişim kontrolü standartları için: ISO 27001 Erişim Kontrolü
• Bulut altyapılarında veri güvenliği için: ISO 27001 ve Bulut Bilişim
• Sistemlerinizdeki riskleri analiz etmek için: ISO 27001 Risk Değerlendirmesi
• BGYS kapsam sınırlarınızı çizmek için: ISO 27001 Kapsam Belirleme
• İç denetim süreçlerine hazırlanmak için: ISO 27001 İç Denetimi
• Denetçilerin sorabileceği sorular için: ISO 27001 Denetim Soruları
• Sertifikasyonun kuruma sağladığı tüm faydalar için: ISO 27001 Sertifikasyon Faydaları
• Yedekleme sistemlerinin güvenliği için: ISO 27001 ve Yedekleme Politikaları
• Siber olaylara müdahale süreçleri için: ISO 27001 ve Siber Güvenlik Olayları
• Standardın genel yapısı hakkında bilgi edinmek için: ISO 27001 Nedir?

Fiziksel güvenlik sistemlerinizi KVKK uyumlu hale getirmek, aydınlatma metinlerini hazırlamak ve teknik altyapınızı güçlendirmek için uzman kadromuzla dilediğiniz zaman iletişime geçebilirsiniz.

Sıkça Sorulan Sorular

Çalışanların rızası olsa bile parmak izi ile mesai takibi yapmak yasak mıdır?

Kişisel Verileri Koruma Kurulu'nun bu konuda verdiği çok net emsal kararlar vardır. Kurul, çalışanların "açık rızası alınmış olsa dahi", işe giriş-çıkış takibi gibi rutin bir işlem için parmak izi veya yüz tanıma gibi biyometrik verilerin işlenmesini ölçülülük ilkesine aykırı bulmaktadır. Çünkü mesai takibi, kartlı geçiş veya imza gibi biyometrik olmayan daha az müdahaleci yöntemlerle de yapılabilmektedir. Bu nedenle, rıza alınsa dahi biyometrik mesai takibi sistemleri ciddi bir yasal risk taşır ve kurul tarafından cezalandırılmaktadır.

Kamera kayıtlarını ne kadar süreyle saklamalıyız?

KVKK'da kamera kayıtları için spesifik bir gün sınırı belirtilmemiştir; ancak "amaçla sınırlılık ve ölçülülük" ilkesi geçerlidir. Güvenlik amacıyla yapılan izlemelerde, olası bir olayın (hırsızlık, hasar vb.) fark edilmesi ve incelenmesi için genellikle 15 ila 30 günlük bir süre yeterli ve ölçülü kabul edilir. Sektörel bir zorunluluk (örneğin bankalar veya döviz büroları için yasal zorunluluklar) olmadığı sürece kayıtların aylarca saklanması ölçülülük ilkesine aykırı sayılabilir.

İşyerindeki kameraların ses kaydı alması yasal mıdır?

Hayır. Güvenlik amacıyla yapılan izlemelerde sadece görüntü kaydı alınması ölçülü kabul edilir. Ortamdaki seslerin de kaydedilmesi, çalışanların ve ziyaretçilerin özel hayatının gizliliğini ve haberleşme hürriyetini doğrudan ihlal ettiği için KVKK'ya kesinlikle aykırıdır. Çok özel yasal zorunluluklar (çağrı merkezlerindeki ses kayıtları gibi) dışında, güvenlik kameralarının ses kayıt özellikleri mutlaka kapatılmalıdır.

Sonuç

İşyerlerinde güvenlik kamerası ve biyometrik erişim kontrol sistemlerinin kullanımı, kurumsal güvenliğinizi artırırken yasal riskleri de beraberinde getirir. KVKK uyumluluğunu sağlamak; kameraların yerleşiminden aydınlatma yükümlülüğünün yerine getirilmesine, biyometrik veriler yerine alternatif yöntemlerin sunulmasından güçlü teknik güvenlik önlemlerinin alınmasına kadar bütünsel bir yaklaşım gerektirir. Yasal sınırlara uygun olarak tasarlanmış bir fiziksel güvenlik altyapısı, hem kurumsal verilerinizi korur hem de yasal denetimlerden güvenle geçmenizi sağlar.