İçeriğe geç
Standartlar, Mevzuat & Uyumluluk

GDPR/KVKK ve Video Gözetim
Kablolama Uyumluluğu

Video gözetim sistemlerinde kişisel veri güvenliğini sağlamak için kablolama, ağ segmentasyonu ve fiziksel erişim kontrolünün GDPR/KVKK açısından nasıl planlanması gerektiğini inceliyoruz.

GDPR/KVKK ve video gözetim kablolama uyumluluğu, kamera sistemlerinin topladığı görüntülerin kişisel veri niteliği taşıması nedeniyle yalnızca yazılımsal değil, fiziksel altyapı düzeyinde de dikkate alınması gereken bir konudur. Kamera kabloları, ağ dolapları, kayıt cihazlarının bağlantı noktaları ve veri yollarının nasıl tasarlandığı; erişim kontrolü, veri güvenliği ve denetlenebilirlik açısından doğrudan mevzuata uyum sağlanıp sağlanmadığını etkiler.

1. Video Gözetim Sistemlerinde Kişisel Veri Kavramı

Bir kişinin tanınmasını mümkün kılan görüntü kaydı, hem Avrupa Birliği’nin kişisel verilerin korunmasına ilişkin temel düzenlemesi olan GDPR (General Data Protection Regulation) hem de Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri olarak değerlendirilir. Bu nedenle kamera görüntülerinin üretildiği, taşındığı ve saklandığı her nokta; kablolama, switch, NVR/VMS bağlantıları dahil olmak üzere veri işleme sürecinin bir parçası sayılır.

Bilgi

Fiziksel kablolama altyapısı doğrudan bir “veri işleme faaliyeti” olarak tanımlanmasa da, verinin güvenli taşınmasını ve erişim kontrolünü sağlayan teknik bir bileşen olduğundan uyumluluk değerlendirmelerine dahil edilmelidir.

2. GDPR ve KVKK’nın Fiziksel Altyapıya Yansıyan Gereklilikleri

Veri Güvenliği ve Erişim Kontrolü

Her iki mevzuat da veri sorumlusuna, işlenen kişisel verilerin yetkisiz erişime, kayba veya değişikliğe karşı uygun teknik ve idari tedbirlerle korunması yükümlülüğünü yükler. Video gözetim altyapısında bu yükümlülük; kamera kablolarının fiziksel olarak korunması, telekom odalarına ve patch panellere erişimin sınırlandırılması ve ağ trafiğinin izole edilmesi gibi somut uygulamalara dönüşür.

Veri Minimizasyonu ve Saklama Süresi

Mevzuat, yalnızca amaca uygun ve gerekli olan verinin toplanmasını ve gereğinden uzun süre saklanmamasını ister. Bu ilke doğrudan kablolama tasarımını belirlemese de, kayıt cihazlarının konumlandırılması, ağ segmentasyonu ve kimin hangi kayda erişebileceğinin altyapı üzerinden nasıl kısıtlanacağı planlamasını etkiler.

Kriter GDPR KVKK
Kapsam alanı Avrupa Birliği ve AB vatandaşlarının verilerini işleyen kuruluşlar Türkiye’de faaliyet gösteren veri sorumluları
Teknik tedbir yaklaşımı Risk bazlı, “uygun teknik ve idari tedbir” ilkesi Risk bazlı, benzer şekilde “gerekli tedbir” ilkesi
Saklama süresi yaklaşımı Amaçla orantılı, süre sınırı net belirtilmez Amaçla orantılı, sektörel düzenlemelerle desteklenebilir
Denetim otoritesi Ulusal veri koruma kurumları (AB üye ülkeleri) Kişisel Verileri Koruma Kurumu (KVKK Kurumu)

3. Kablolama ve Ağ Altyapısı Açısından Uyumluluk Önlemleri

Fiziksel Erişim Kontrolü ve Telekom Odaları

Kamera görüntülerinin taşındığı patch panel, switch ve kayıt cihazlarının bulunduğu telekom odalarına yetkisiz erişimin engellenmesi, veri güvenliği yükümlülüğünün fiziksel katmandaki karşılığıdır. Kilitli kabinetler, erişim loglaması ve kamera kablolarının görünür/erişilebilir alanlardan geçirilmemesi bu kapsamda değerlendirilir.

Ağ Segmentasyonu (VLAN) ve Trafik İzolasyonu

Video gözetim trafiğinin kurumsal veri ağından ayrı bir VLAN veya fiziksel olarak izole bir altyapı üzerinden taşınması, hem siber güvenlik hem de veri minimizasyonu ilkesiyle uyumlu bir uygulamadır. Bu sayede kamera trafiğine erişim, yalnızca yetkilendirilmiş cihaz ve kullanıcılarla sınırlandırılabilir.

Öneri

Kamera altyapısını kurumsal LAN’dan ayrı bir VLAN üzerinde çalıştırmak ve NVR/VMS erişimini yetkilendirilmiş IP aralıklarıyla sınırlamak, hem güvenlik hem de uyumluluk denetimlerinde kolaylık sağlar.

Etiketleme ve Dokümantasyon

Kablo ve port etiketleme standartlarına uygun şekilde belgelenmiş bir altyapı, hangi kameranın hangi kayıt sistemine, hangi güzergahtan bağlı olduğunun izlenebilir olmasını sağlar. Bu izlenebilirlik, bir veri ihlali durumunda etkilenen sistemlerin hızlıca tespit edilmesi ve mevzuat kapsamındaki bildirim yükümlülüklerinin yerine getirilmesi açısından önemlidir.

4. Kamera Yerleşimi, Kablo Güzergahı ve Mahremiyet

Kamera kablolarının güzergahı belirlenirken yalnızca teknik uygulanabilirlik değil, kameranın görüş alanının hangi bölgeleri kapsadığı da göz önünde bulundurulmalıdır. Ortak kullanım alanları, çalışan dinlenme bölgeleri veya üçüncü tarafların mahremiyet beklentisi taşıdığı alanlara yönelik kayıtsız veya kısıtlı çözünürlüklü çekim gereksinimleri, kablolama ve kamera montaj planlamasının erken aşamasında değerlendirilmelidir.

Dikkat

Kablo güzergahı planlaması sırasında kameranın nihai görüş açısı netleşmeden montaj yapılması, sonradan mevzuata aykırı bir izleme alanı oluşmasına ve kablo/kanal değişikliği gerektiren maliyetli revizyonlara yol açabilir.

5. Denetim, Loglama ve Kayıt Yönetimi Altyapısı

Hem GDPR hem de KVKK, veri sorumlusunun işleme faaliyetlerini hesap verebilir şekilde belgelemesini bekler. Kayıt sistemlerine erişimin ağ altyapısı üzerinden loglanabilir olması, kimin hangi kayda ne zaman eriştiğinin izlenmesini mümkün kılar. Bu nedenle NVR/VMS bağlantı noktalarının yönetilebilir switch altyapısı üzerinden, port bazlı erişim kaydı tutulabilecek şekilde tasarlanması önerilir.

Yedekli kayıt sistemleri veya uzak konumdaki depolama birimlerine veri aktarımı yapılıyorsa, bu bağlantının şifreli ve izlenebilir bir ağ yolu üzerinden gerçekleştirilmesi, veri güvenliği yükümlülüklerinin fiziksel/ağsal katmandaki karşılığıdır.

6. Uygulamada Sık Karşılaşılan Hatalar

  • Kamera trafiğinin kurumsal veri ağıyla aynı segmentte, izolasyon olmadan taşınması
  • Telekom odalarına ve kamera kayıt cihazlarına fiziksel erişimin yeterince kısıtlanmaması
  • Kablo ve port etiketlemesinin eksik olması nedeniyle bir ihlal durumunda etkilenen sistemlerin hızlı tespit edilememesi
  • Kamera görüş alanının mevzuata aykırı biçimde ortak/özel alanları kapsayacak şekilde montajının kablo güzergahı belirlendikten sonra fark edilmesi
  • Kayıt erişim loglarının tutulmaması nedeniyle hesap verebilirlik yükümlülüğünün karşılanamaması

Sık Sorulan Sorular

Kamera kabloları da kişisel veri işleme kapsamında mı değerlendirilir?

Kablonun kendisi veri işlemez; ancak görüntü verisinin taşındığı fiziksel yol olarak, verinin güvenli aktarımını sağlayan teknik tedbirlerin bir parçası olarak değerlendirilir.

VLAN kullanmak zorunlu mudur?

Mevzuat belirli bir teknik yöntemi zorunlu kılmaz; “uygun teknik tedbir” ilkesi çerçevesinde ağ segmentasyonu, kamera trafiğini izole etmenin yaygın kullanılan ve etkili bir yöntemidir.

Kablolama dokümantasyonu bir denetimde neden önemlidir?

Doğru etiketlenmiş ve belgelenmiş bir altyapı, hangi kameranın hangi sisteme bağlı olduğunun hızlıca gösterilmesini sağlar; bu da hesap verebilirlik ve olay müdahale süreçlerini kolaylaştırır.

Mevcut bir kamera altyapısı sonradan uyumlu hale getirilebilir mi?

Evet; ağ segmentasyonu, erişim kontrolü, etiketleme ve dokümantasyon iyileştirmeleri genellikle mevcut kablolama değiştirilmeden, ağ ve yönetim katmanında yapılan düzenlemelerle uygulanabilir. Kapsamlı fiziksel değişiklik gerekip gerekmediği proje koşullarına göre değerlendirilmelidir.

Özet: GDPR/KVKK ve Video Gözetim Kablolama Uyumluluğu

Kişisel veri niteliği: Kamera görüntüleri GDPR ve KVKK kapsamında kişisel veridir, altyapı planlaması bu bilinçle yapılmalıdır.
Fiziksel erişim kontrolü: Telekom odaları ve kayıt cihazlarına erişim sınırlandırılmalıdır.
Ağ segmentasyonu: Kamera trafiği kurumsal veriden izole edilmelidir.
Etiketleme ve dokümantasyon: İzlenebilirlik, hesap verebilirlik yükümlülüğünü destekler.
Kamera yerleşimi: Kablo güzergahı, görüş alanı ve mahremiyet beklentisiyle birlikte planlanmalıdır.

İlgili Yazılar

Profesyonel Kablolama Hizmeti

Sertifikalı ekip, test raporu ve üretici garantisiyle projenizi değerlendirelim.

0212 993 99 98