Kapalı Devre Kamera Sistemleri ile Elde Edilen Verinin KVKK Kapsamında Değerlendirilmesi
Kapalı Devre Kamera Sistemleri ile Elde Edilen Verinin KVKK Kapsamında Değerlendirilmesi
Teknoloji ile gelişen ve ilerleyen günümüz dünyasında dijitalleşmenin getirmiş olduğu kazanımlarla birlikte gerçek kişiye ilişkin her türlü bilgiyi ifade eden ve kimliği belirli veya belirlenebilir kılan her türlü kişisel verinin güvenliğini sağlamak, işlenmesinin ve aktarılmasının usul ve esaslarını belirlemek önem kazanmıştır.
Bu kapsamda birçok hukuk sisteminin temel metin olarak kabul ettiği GDPR (Avrupa Birliği Genel Veri Koruma Tüzüğü) ülkemizde gelişen kişisel veri hukukunun oluşturulmasında da temel metin olarak kabul edilmiştir. Bu kapsamda GDPR esas alınarak hazırlanan Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Kişisel Verilerin Korunması Kanunu ve ilgili diğer mevzuat ile kişisel veri işleyen veri sorumluları olan şirketlere, kurum ve kuruluşlara veri işlemenin şartlarını belirleme, işlenen veri kategorilerini olabildiğince daraltma ve verileri her zaman belirli hukuki şema içerisinde işleyip koruma ve Kanun’un öngördüğü sürelerde imha etme yükümlülüğü yüklenmiştir.
Kurumlarda bulunan kapalı devre kamera sistemleri ile elde edilen ses ve görüntüler kişisel veri kategorisine dahil olup, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 5. Maddesinin 1. Fıkrasında belirtildikleri üzere, “Kişisel veriler, ilgilinin açık rızası olmadıkça işlenemez.” Aynı maddenin ikinci fıkrasında ise kişisel verilerin açık rıza aranmaksızın işlenebileceği durumlar belirtilmiştir. Bu fıkrada sayılan durumlardan birine dayanılarak kişisel veri işlense dahi, veri sorumlusu olan kurumların, veri sahibi ilgili kişiyi aydınlatma yükümlülüğü devam etmektedir. Bir diğer deyişle, veri sorumluları, aydınlatma yükümlülüklerini yerine getirmeden hiçbir şekilde kişisel veri işleyemezler.
Kurumların, faaliyet gösterdikleri binaların içerisine ve çevresine kapalı devre kamera kayıt sistemleri kurması ve bu kamera sistemlerinden elde edilen verileri depolaması çok yaygın bir güvenlik yöntemidir. Ancak Kişisel Verilerin Korunması Kanunu uyarınca, kamera kaydı alınan her yerde veri sorumluları, verilerin hangi amaçlarla işlendiğini, hangi amaçlarla kimlere aktarıldığını, veri toplamanın yöntemini ve hukuki sebebini, ilgili kişinin kanunda sayılan haklarını içerir bir aydınlatma metni ile aydınlatma yükümlülüklerini yerine getirmelidirler.
Kanun’a göre kişisel veriler ancak işlendikleri amaçla bağlantılı ve sınırlı olarak işlenebilirler. Kapalı devre kamera kayıt sistemleri kurulması, güvenlik amacı ile yapılabileceğinden, bu yolla veri işlenmesi de güvenlik amacı ile sınırlı olmalıdır. Bu nedenle kurumlar ve firmalar ancak güvenlik zafiyetini önlemek amacı ile korunması gerekli alanlara belli açıları görecek şekilde kamera sistemi kurabilecektir. Bir diğer deyişle, kapalı devre kamera sistemlerinden elde edilen kişisel verilerin kapsamı, güvenliğin sağlanması amacını aşarak özel hayatın gizliliğini ihlal boyutuna varmamalıdır. Bu amacı aşan her işleme, ölçülülük ilkesine aykırılık oluşturacağından 6698 sayılı Kanun’a aykırılık teşkil ederek ciddi bir ihlale yol açacak, Kurum’a şikayet halinde ise veri sorumlusunu ciddi bir idari para cezası ile baş başa bırakabilecektir.
Kurumların, personellerinin çalışma alanlarına onların her hareketini görebilecek şekilde kamera sistemi kurmasının güvenlik amacını aşacağı açıktır. Yalnızca korunması gereken alanlara kurulacak kameralarla, o alanlarla sınırlı olarak veri işlenmesi gerekirken veri sorumlusunun bu hakkını personellerinin çalışmalarının her anlarını izlemek için kullanması hukuka ve dürüstlük kurallarına aykırıdır. Kişisel Verilerin Korunması Kanunu’nun 10. Maddesinde “Aydınlatma Yükümlülüğünün İhlali” kabahati düzenlenmiş ve 2023 yılı itibariyle bu kabahatin cezası 29.857 – 597.198,26 TL olarak belirlenmiştir. Ayrıca “Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi” Türk Ceza Kanunu’nun 135. Maddesinde bir suç olarak düzenlenmiş olup ceza miktarı “1 Yıldan 3 Yıla Kadar Hapis Cezası, Özel Nitelikteki Kişisel Verilerin kaydedilmesi halinde 1.5 Yıldan 4.5 Yıla kadar “ şeklinde belirlenmiştir. Yukarıda belirtilen suçların bir tüzel kişi olan şirketler tarafından işlenmesi durumunda söz konusu suçlardan dolayı şirketin sorumlu yöneticileri yargılanabilmekte ve TCK Madde 140 uyarınca şirkete; faaliyetin durdurulması, izne tabi olarak yürütülen faaliyetlerde izinlerin iptal edilmesi gibi çeşitli güvenlik tedbirleri uygulanabilmektedir.
Yukarıda açıklananlar doğrultusunda, veri sorumlusu şirketlerin, kurum ve kuruluşların tüm kişisel veriler gibi kapalı devre kamera sistemleri vasıtasıyla elde ettikleri kişisel verilerin usul ve esaslarında azami özen göstermesi, büyük önem arz etmektedir.
Kişisel verilerin mevzuata uygun işlenmesi için şirketlerde oluşturulacak organizasyon ve süreçlerde alanında uzman bir avukatın danışmanlığı, bu çetrefilli sürecin çok daha profesyonel yönetilmesini sağlayacaktır.
Av. Nisa Kardelen Demir