KVKK ve Güvenlik Sektörü
Güvenlik şirketleri, faaliyet alanları gereği yoğun miktarda kişisel veri işlemektedir. Kamera kayıtları, personel bilgileri, müşteri verileri ve ziyaretçi kayıtları bu verilerin başında gelmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bu verilerin nasıl işleneceğine dair katı kurallar getirmektedir.
2026 yılında KVKK denetimleri ve cezaları artmış olup, güvenlik şirketlerinin uyum süreçlerini tamamlaması kritik önem taşımaktadır. Bu rehberde, güvenlik sektörüne özel KVKK gereksinimlerini ve uyum adımlarını detaylıca inceleyeceğiz.
KVKK Temel Kavramları
Kişisel Veri Nedir?
Tanım: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.
Güvenlik sektöründe kişisel veriler:
- Kamera görüntüleri (yüz, plaka)
- Personel kimlik bilgileri
- Müşteri/yetkili bilgileri
- Ziyaretçi kayıtları
- Olay raporlarındaki kişi bilgileri
- Biyometrik veriler
Özel Nitelikli Kişisel Veriler
Tanım: Öğrenilmesi halinde ayrımcılığa sebep olabilecek hassas veriler.
Güvenlik sektöründe:
- Biyometrik veriler (parmak izi, yüz tanıma)
- Sağlık bilgileri
- Ceza mahkumiyeti verileri (sabıka kaydı)
- Sendika üyeliği
Veri Sorumlusu ve Veri İşleyen
Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen kişi.
- Güvenlik şirketi (kendi verilerinde)
- Müşteri şirket (hizmet aldığında)
Veri işleyen: Veri sorumlusu adına verileri işleyen kişi.
- Güvenlik şirketi (müşteri adına)
Güvenlik Sektöründe Veri İşleme Alanları
1. Kamera Kayıtları (CCTV)
İşlenen veriler:
- Görüntü kaydı
- Ses kaydı (varsa)
- Tarih ve saat damgası
- Kamera konumu
Veri işleme amaçları:
- Güvenliğin sağlanması
- Suç önleme ve tespit
- Delil toplama
- İş güvenliği
2. Personel Verileri
İşlenen veriler:
- Kimlik bilgileri
- İletişim bilgileri
- Özlük dosyası
- Sabıka kaydı
- Sağlık raporu
- Eğitim belgeleri
- Performans kayıtları
3. Müşteri ve İş Ortağı Verileri
İşlenen veriler:
- Şirket yetkili bilgileri
- İletişim bilgileri
- Sözleşme bilgileri
- Finansal bilgiler
4. Ziyaretçi Kayıtları
İşlenen veriler:
- Kimlik bilgileri
- Giriş-çıkış saatleri
- Ziyaret nedeni
- Görüntü kaydı
5. Olay Raporları
İşlenen veriler:
- Olaya karışan kişi bilgileri
- Tanık bilgileri
- Olay detayları
- Delil kayıtları
Hukuki İşleme Şartları
Açık Rıza
Genel kural: Kişisel verilerin işlenmesi kural olarak açık rızaya tabidir.
Açık rıza şartları:
- Belirli konuya ilişkin
- Bilgilendirmeye dayalı
- Özgür iradeyle verilmiş
Rıza Olmaksızın İşleme (m.5/2)
Güvenlik sektörü için geçerli istisnalar:
a) Kanunlarda açıkça öngörülme:
- 5188 sayılı Özel Güvenlik Kanunu
- İş Kanunu gereksinimleri
- Ticaret Kanunu yükümlülükleri
b) Meşru menfaat:
- Güvenlik hizmetinin sunulması
- Tesis ve kişilerin korunması
- Suç önleme
c) Sözleşmenin ifası:
- İş sözleşmesi (personel verileri)
- Hizmet sözleşmesi (müşteri verileri)
d) Hukuki yükümlülük:
- SGK bildirimleri
- Vergi yükümlülükleri
Özel Nitelikli Veriler (m.6)
Biyometrik ve sabıka verileri için:
- Kanunda açıkça öngörülme
- Açık rıza
- Yeterli önlemlerin alınması
Kamera Kayıtları ve KVKK
Yasal Dayanak
Kamera kullanımı için:
- 5188 sayılı Kanun (güvenlik amaçlı)
- Meşru menfaat (KVKK m.5/2-f)
- Orantılılık ilkesi
Aydınlatma Yükümlülüğü
Bilgilendirme gereksinimi:
- Kamera kaydı yapıldığının duyurulması
- Veri sorumlusu bilgisi
- İşleme amacı
- Kayıt süresi
Aydınlatma yöntemleri:
- Görünür uyarı levhaları
- Detaylı aydınlatma metni (erişilebilir)
Kayıt Alanları ve Sınırları
İzin verilen:
- Giriş/çıkış alanları
- Koridorlar ve ortak alanlar
- Otopark
- Dış çevre
Yasak alanlar:
- Tuvalet ve soyunma odaları
- Özel ofis iç mekanları (rıza olmadan)
- Dinlenme odaları (beklenti olan alanlar)
Kayıt Saklama Süresi
İlkeler:
- İşleme amacı için gerekli süre
- Yasal zorunluluklar
- Orantılılık
Önerilen süreler:
- Standart güvenlik: 30-90 gün
- Olay kaydı: Soruşturma süresi + saklama
- Yasal talep: Dava zamanaşımı
Kayıt Erişimi ve Paylaşımı
İç erişim:
- Sınırlı yetkili personel
- Erişim kaydı tutulması
- Parola koruması
Dış paylaşım:
- Kolluk kuvvetlerine (mahkeme/savcılık talebi)
- İlgili kişiye (hak talebi)
- Avukata (delil olarak)
VERBİS Kaydı
Kayıt Yükümlülüğü
Güvenlik şirketleri için:
- Veri Sorumluları Sicili'ne kayıt zorunlu
- İstisna: 50 altı çalışan + yıllık 25M TL altı ciro
Kayıt Bilgileri
VERBİS'e bildirilecekler:
- Veri sorumlusu bilgileri
- Veri kategorileri
- İşleme amaçları
- Veri aktarım bilgileri
- Alınan güvenlik önlemleri
- Saklama süreleri
Veri Güvenliği Önlemleri
Teknik Önlemler
Ağ güvenliği:
- Güvenlik duvarı
- VPN (uzaktan erişim)
- Ağ segmentasyonu
- Saldırı tespit sistemleri
Veri güvenliği:
- Şifreleme (kayıt ve iletim)
- Yedekleme
- Erişim kontrolü
- Log kayıtları
Kamera sistemi özel:
- Şifreli kayıt
- Güvenli ağ bağlantısı
- Fiziksel güvenlik (kayıt cihazı)
- Uzaktan erişim kısıtlaması
İdari Önlemler
Politikalar:
- Kişisel veri işleme politikası
- Gizlilik politikası
- Veri ihlali müdahale prosedürü
Eğitim:
- KVKK farkındalık eğitimi
- Veri güvenliği eğitimi
- Rol bazlı eğitimler
Denetim:
- İç denetim programı
- Erişim log kontrolleri
- Periyodik güvenlik değerlendirmesi
İlgili Kişi Hakları
Haklar ve Uygulama
1. Bilgi edinme hakkı:
- Verilerin işlenip işlenmediği
- İşleme amacı
- Aktarılan taraflar
2. Düzeltme hakkı:
- Eksik/yanlış verilerin düzeltilmesi
3. Silme/yok etme hakkı:
- İşleme şartları kalktığında
- Saklama süresi dolduğunda
4. Kamera kaydı talebi:
- Kendi görüntülerine erişim
- 30 gün içinde yanıt
Başvuru Süreci
İlgili kişi başvurusu:
- Yazılı başvuru (imzalı)
- Kimlik doğrulama
- Talebin değerlendirilmesi
- 30 gün içinde yanıt
Yanıt içeriği:
- Talebin kabul/red gerekçesi
- Yapılan işlemler
- Varsa üçüncü taraf bilgilendirmesi
Veri İhlali Yönetimi
İhlal Tespiti
Olası ihlaller:
- Yetkisiz erişim
- Veri sızıntısı
- Kayıp/çalınma
- Fidye yazılımı saldırısı
Bildirim Yükümlülüğü
Kurul'a bildirim:
- 72 saat içinde
- İhlalin niteliği
- Etkilenen veri/kişi sayısı
- Olası sonuçlar
- Alınan önlemler
İlgili kişilere bildirim:
- Makul sürede
- Açık ve anlaşılır dil
- Korunma önerileri
Müdahale Planı
Adımlar:
- İhlalin tespiti ve sınırlandırılması
- Etki değerlendirmesi
- Bildirim kararı
- Düzeltici faaliyetler
- Dokümantasyon
- İyileştirme
Sözleşme İlişkileri
Müşteri Sözleşmeleri
KVKK hükümleri:
- Veri sorumlusu/veri işleyen belirlenmesi
- İşleme amacı ve kapsamı
- Veri güvenliği yükümlülükleri
- Alt yüklenici kullanımı
- Bildirim ve işbirliği
- Sözleşme sonu veri iadesi/imhası
Personel Sözleşmeleri
Gizlilik yükümlülükleri:
- Veri gizliliği taahhütnamesi
- İş ilişkisi sonrası da geçerlilik
- İhlal halinde sorumluluk
Tedarikçi Sözleşmeleri
Kamera/yazılım tedarikçileri:
- Veri güvenliği şartları
- Alt işleme koşulları
- Denetim hakkı
Cezai Yaptırımlar
İdari Para Cezaları
KVKK ceza seviyeleri (2026):
- Aydınlatma yükümlülüğü ihlali: 100.000 - 500.000 TL
- Veri güvenliği ihlali: 150.000 - 3.000.000 TL
- Kurul kararına uymama: 250.000 - 2.000.000 TL
- VERBİS kayıt ihlali: 100.000 - 2.000.000 TL
Cezai Yaptırımlar
TCK suçları:
- Kişisel verileri hukuka aykırı kaydetme (m.135)
- Verileri hukuka aykırı verme/ele geçirme (m.136)
- Verileri yok etmeme (m.138)
Cezalar:
- 1-3 yıl hapis
- Tüzel kişilere güvenlik tedbiri
Uygulama Örneği: KVKK Uyum Projesi
Mevcut Durum Analizi
1. Veri envanteri çıkarma:
- Hangi veriler işleniyor?
- Hangi sistemlerde?
- Kim erişiyor?
- Ne kadar saklanıyor?
2. Boşluk analizi:
- Mevcut uygulamalar vs. KVKK gereksinimleri
- Eksiklikler listesi
- Öncelik belirleme
Uygulama Adımları
3. Politika ve prosedürler:
- Kişisel veri politikası
- Aydınlatma metinleri
- Açık rıza formları
- Veri ihlali prosedürü
4. Teknik önlemler:
- Erişim kontrol güncelleme
- Şifreleme uygulaması
- Log sistemleri
5. Eğitim:
- Tüm personele KVKK eğitimi
- Veri işleyen personele özel eğitim
6. VERBİS kaydı:
- Bilgilerin girilmesi
- Periyodik güncelleme
Sürdürme
7. Sürekli iyileştirme:
- Periyodik denetim
- Mevzuat takibi
- Güncelleme
Sık Karşılaşılan Sorunlar
Problem 1: Kamera Aydınlatması
Sorun: Uyarı levhası yok veya yetersiz.
Çözüm:
- Görünür levhalar
- QR kodlu detaylı aydınlatma
- Giriş noktalarında bilgilendirme
Problem 2: Kayıt Saklama Süresi
Sorun: Süresiz saklama veya belirsizlik.
Çözüm:
- Net saklama politikası
- Otomatik silme sistemi
- İstisna prosedürü (olay kaydı)
Problem 3: Personel Verileri
Sorun: Gereğinden fazla veri toplama.
Çözüm:
- Veri minimizasyonu ilkesi
- Sadece gerekli veriler
- Periyodik gözden geçirme
2026 Güncel Gelişmeler
Artan Denetimler
- Kurul denetimleri yoğunlaştı
- Sektör bazlı incelemeler
- Şikayet bazlı soruşturmalar
Yeni Düzenlemeler
- AB GDPR uyum gereksinimleri
- Veri lokalizasyonu tartışmaları
- Yapay zeka ve veri koruma
Teknoloji Trendleri
- Otomatik uyum araçları
- Privacy by design yaklaşımı
- Şeffaflık raporlaması
Sonuç
KVKK uyumu, güvenlik şirketleri için hem yasal zorunluluk hem de rekabet avantajıdır. Başarılı uyum için:
- Üst yönetim desteği şarttır
- Veri envanteri temeldir
- Teknoloji tek başına yetmez
- Eğitim ve farkındalık kritiktir
- Sürekli iyileştirme gerekir
Profesyonel güvenlik şirketleri, KVKK uyumunu güvenlik hizmetlerinin ayrılmaz bir parçası olarak görmelidir. Bu yaklaşım hem müşteri güvenini artırır hem de olası cezai yaptırımları önler.
Sık Sorulan Sorular
Güvenlik şirketleri VERBİS'e kayıt olmak zorunda mı?
Evet, güvenlik şirketleri Veri Sorumluları Sicili'ne (VERBİS) kayıt olmak zorundadır. 50 altı çalışan ve 25 milyon TL altı ciro istisnası bulunmaktadır.
Kamera kayıtları ne kadar süre saklanmalı?
KVKK'ya göre işleme amacı için gerekli süre kadar saklanmalıdır. Standart güvenlik için 30-90 gün önerilir. Olay kaydı varsa soruşturma süresince, yasal talep varsa zamanaşımı süresince saklanabilir.
Kamera kaydı için rıza almak gerekir mi?
Güvenlik amaçlı kamera kaydı için meşru menfaat istisnası uygulanabilir, ancak kişilerin bilgilendirilmesi (aydınlatma) zorunludur. Uyarı levhaları ve detaylı aydınlatma metni gerekir.
Biyometrik veri (parmak izi) işlemek için ne gerekir?
Biyometrik veriler özel nitelikli kişisel veridir. İşlenmesi için ya kanunda açıkça öngörülmeli ya da açık rıza alınmalıdır. Ayrıca yeterli güvenlik önlemleri şarttır.
KVKK ihlalinde ceza ne kadar?
2026 itibarıyla cezalar: Aydınlatma ihlali 100-500 bin TL, veri güvenliği ihlali 150 bin - 3 milyon TL, VERBİS kayıt ihlali 100 bin - 2 milyon TL arasındadır.
⚠️ Yasal Uyarı ve Sorumluluk Reddi
Bu içerik yalnızca genel bilgilendirme amacıyla hazırlanmıştır. Hukuki mütalaa, mali danışmanlık, yatırım tavsiyesi veya mesleki görüş niteliği taşımaz. Okuyucu ile herhangi bir danışmanlık ilişkisi oluşturmaz.
- •Mevzuat değişebilir: Bu yazı, yayın tarihindeki mevzuata göre hazırlanmıştır. Kanun, yönetmelik ve yargı kararları değişmiş olabilir. Güncel mevzuat için Resmi Gazete'yi kontrol edin.
- •Her durum farklıdır: Apartman/site yönetim planları, sözleşmeler ve yerel uygulamalar farklılık gösterir. Genel bilgiler sizin durumunuza uymayabilir.
- •Profesyonel destek alın: Karar vermeden önce mutlaka Avukat, SMMM veya ilgili alanın uzmanına danışın.
- •Hesaplama araçları tahminidir: Sitemizdeki hesaplama araçları yaklaşık sonuç verir, resmi işlemler için yetkili kurumları kullanın.
Apartora Yazılım A.Ş., bu içeriğin kullanımından, yorumlanmasından veya içeriğe dayanılarak alınan kararlardan doğabilecek doğrudan, dolaylı, özel veya arızi zararlardan hiçbir şekilde sorumlu tutulamaz.