GDPR/KVKK ve Video Gözetim
Kablolama Uyumluluğu
Video gözetim sistemlerinde kişisel veri güvenliğini sağlamak için kablolama, ağ segmentasyonu ve fiziksel erişim kontrolünün GDPR/KVKK açısından nasıl planlanması gerektiğini inceliyoruz.
GDPR/KVKK ve video gözetim kablolama uyumluluğu, kamera sistemlerinin topladığı görüntülerin kişisel veri niteliği taşıması nedeniyle yalnızca yazılımsal değil, fiziksel altyapı düzeyinde de dikkate alınması gereken bir konudur. Kamera kabloları, ağ dolapları, kayıt cihazlarının bağlantı noktaları ve veri yollarının nasıl tasarlandığı; erişim kontrolü, veri güvenliği ve denetlenebilirlik açısından doğrudan mevzuata uyum sağlanıp sağlanmadığını etkiler.
1. Video Gözetim Sistemlerinde Kişisel Veri Kavramı
Bir kişinin tanınmasını mümkün kılan görüntü kaydı, hem Avrupa Birliği’nin kişisel verilerin korunmasına ilişkin temel düzenlemesi olan GDPR (General Data Protection Regulation) hem de Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında kişisel veri olarak değerlendirilir. Bu nedenle kamera görüntülerinin üretildiği, taşındığı ve saklandığı her nokta; kablolama, switch, NVR/VMS bağlantıları dahil olmak üzere veri işleme sürecinin bir parçası sayılır.
Fiziksel kablolama altyapısı doğrudan bir “veri işleme faaliyeti” olarak tanımlanmasa da, verinin güvenli taşınmasını ve erişim kontrolünü sağlayan teknik bir bileşen olduğundan uyumluluk değerlendirmelerine dahil edilmelidir.
2. GDPR ve KVKK’nın Fiziksel Altyapıya Yansıyan Gereklilikleri
Veri Güvenliği ve Erişim Kontrolü
Her iki mevzuat da veri sorumlusuna, işlenen kişisel verilerin yetkisiz erişime, kayba veya değişikliğe karşı uygun teknik ve idari tedbirlerle korunması yükümlülüğünü yükler. Video gözetim altyapısında bu yükümlülük; kamera kablolarının fiziksel olarak korunması, telekom odalarına ve patch panellere erişimin sınırlandırılması ve ağ trafiğinin izole edilmesi gibi somut uygulamalara dönüşür.
Veri Minimizasyonu ve Saklama Süresi
Mevzuat, yalnızca amaca uygun ve gerekli olan verinin toplanmasını ve gereğinden uzun süre saklanmamasını ister. Bu ilke doğrudan kablolama tasarımını belirlemese de, kayıt cihazlarının konumlandırılması, ağ segmentasyonu ve kimin hangi kayda erişebileceğinin altyapı üzerinden nasıl kısıtlanacağı planlamasını etkiler.
| Kriter | GDPR | KVKK |
|---|---|---|
| Kapsam alanı | Avrupa Birliği ve AB vatandaşlarının verilerini işleyen kuruluşlar | Türkiye’de faaliyet gösteren veri sorumluları |
| Teknik tedbir yaklaşımı | Risk bazlı, “uygun teknik ve idari tedbir” ilkesi | Risk bazlı, benzer şekilde “gerekli tedbir” ilkesi |
| Saklama süresi yaklaşımı | Amaçla orantılı, süre sınırı net belirtilmez | Amaçla orantılı, sektörel düzenlemelerle desteklenebilir |
| Denetim otoritesi | Ulusal veri koruma kurumları (AB üye ülkeleri) | Kişisel Verileri Koruma Kurumu (KVKK Kurumu) |
3. Kablolama ve Ağ Altyapısı Açısından Uyumluluk Önlemleri
Fiziksel Erişim Kontrolü ve Telekom Odaları
Kamera görüntülerinin taşındığı patch panel, switch ve kayıt cihazlarının bulunduğu telekom odalarına yetkisiz erişimin engellenmesi, veri güvenliği yükümlülüğünün fiziksel katmandaki karşılığıdır. Kilitli kabinetler, erişim loglaması ve kamera kablolarının görünür/erişilebilir alanlardan geçirilmemesi bu kapsamda değerlendirilir.
Ağ Segmentasyonu (VLAN) ve Trafik İzolasyonu
Video gözetim trafiğinin kurumsal veri ağından ayrı bir VLAN veya fiziksel olarak izole bir altyapı üzerinden taşınması, hem siber güvenlik hem de veri minimizasyonu ilkesiyle uyumlu bir uygulamadır. Bu sayede kamera trafiğine erişim, yalnızca yetkilendirilmiş cihaz ve kullanıcılarla sınırlandırılabilir.
Kamera altyapısını kurumsal LAN’dan ayrı bir VLAN üzerinde çalıştırmak ve NVR/VMS erişimini yetkilendirilmiş IP aralıklarıyla sınırlamak, hem güvenlik hem de uyumluluk denetimlerinde kolaylık sağlar.
Etiketleme ve Dokümantasyon
Kablo ve port etiketleme standartlarına uygun şekilde belgelenmiş bir altyapı, hangi kameranın hangi kayıt sistemine, hangi güzergahtan bağlı olduğunun izlenebilir olmasını sağlar. Bu izlenebilirlik, bir veri ihlali durumunda etkilenen sistemlerin hızlıca tespit edilmesi ve mevzuat kapsamındaki bildirim yükümlülüklerinin yerine getirilmesi açısından önemlidir.
4. Kamera Yerleşimi, Kablo Güzergahı ve Mahremiyet
Kamera kablolarının güzergahı belirlenirken yalnızca teknik uygulanabilirlik değil, kameranın görüş alanının hangi bölgeleri kapsadığı da göz önünde bulundurulmalıdır. Ortak kullanım alanları, çalışan dinlenme bölgeleri veya üçüncü tarafların mahremiyet beklentisi taşıdığı alanlara yönelik kayıtsız veya kısıtlı çözünürlüklü çekim gereksinimleri, kablolama ve kamera montaj planlamasının erken aşamasında değerlendirilmelidir.
Kablo güzergahı planlaması sırasında kameranın nihai görüş açısı netleşmeden montaj yapılması, sonradan mevzuata aykırı bir izleme alanı oluşmasına ve kablo/kanal değişikliği gerektiren maliyetli revizyonlara yol açabilir.
5. Denetim, Loglama ve Kayıt Yönetimi Altyapısı
Hem GDPR hem de KVKK, veri sorumlusunun işleme faaliyetlerini hesap verebilir şekilde belgelemesini bekler. Kayıt sistemlerine erişimin ağ altyapısı üzerinden loglanabilir olması, kimin hangi kayda ne zaman eriştiğinin izlenmesini mümkün kılar. Bu nedenle NVR/VMS bağlantı noktalarının yönetilebilir switch altyapısı üzerinden, port bazlı erişim kaydı tutulabilecek şekilde tasarlanması önerilir.
Yedekli kayıt sistemleri veya uzak konumdaki depolama birimlerine veri aktarımı yapılıyorsa, bu bağlantının şifreli ve izlenebilir bir ağ yolu üzerinden gerçekleştirilmesi, veri güvenliği yükümlülüklerinin fiziksel/ağsal katmandaki karşılığıdır.
6. Uygulamada Sık Karşılaşılan Hatalar
- Kamera trafiğinin kurumsal veri ağıyla aynı segmentte, izolasyon olmadan taşınması
- Telekom odalarına ve kamera kayıt cihazlarına fiziksel erişimin yeterince kısıtlanmaması
- Kablo ve port etiketlemesinin eksik olması nedeniyle bir ihlal durumunda etkilenen sistemlerin hızlı tespit edilememesi
- Kamera görüş alanının mevzuata aykırı biçimde ortak/özel alanları kapsayacak şekilde montajının kablo güzergahı belirlendikten sonra fark edilmesi
- Kayıt erişim loglarının tutulmaması nedeniyle hesap verebilirlik yükümlülüğünün karşılanamaması
Sık Sorulan Sorular
Kamera kabloları da kişisel veri işleme kapsamında mı değerlendirilir?
Kablonun kendisi veri işlemez; ancak görüntü verisinin taşındığı fiziksel yol olarak, verinin güvenli aktarımını sağlayan teknik tedbirlerin bir parçası olarak değerlendirilir.
VLAN kullanmak zorunlu mudur?
Mevzuat belirli bir teknik yöntemi zorunlu kılmaz; “uygun teknik tedbir” ilkesi çerçevesinde ağ segmentasyonu, kamera trafiğini izole etmenin yaygın kullanılan ve etkili bir yöntemidir.
Kablolama dokümantasyonu bir denetimde neden önemlidir?
Doğru etiketlenmiş ve belgelenmiş bir altyapı, hangi kameranın hangi sisteme bağlı olduğunun hızlıca gösterilmesini sağlar; bu da hesap verebilirlik ve olay müdahale süreçlerini kolaylaştırır.
Mevcut bir kamera altyapısı sonradan uyumlu hale getirilebilir mi?
Evet; ağ segmentasyonu, erişim kontrolü, etiketleme ve dokümantasyon iyileştirmeleri genellikle mevcut kablolama değiştirilmeden, ağ ve yönetim katmanında yapılan düzenlemelerle uygulanabilir. Kapsamlı fiziksel değişiklik gerekip gerekmediği proje koşullarına göre değerlendirilmelidir.
Özet: GDPR/KVKK ve Video Gözetim Kablolama Uyumluluğu
İlgili Yazılar
Profesyonel Kablolama Hizmeti
Sertifikalı ekip, test raporu ve üretici garantisiyle projenizi değerlendirelim.