Kişisel Verileri Koruma Kurumu, iş yerlerinde güvenlik kameralarının amaç dışı ve ölçüsüz kullanımına ilişkin artan şikâyetler üzerine 8 Haziran 2026 tarihinde bir kamuoyu duyurusu yayımladı. Duyuru, işveren konumundaki veri sorumlularının kamera sistemlerini hangi sınırlar içinde kullanabileceğine ilişkin Kurumun görüşlerine yer verilmekte olup duyuruda özellikle çalışanların performans/verimlilik amacıyla izlenmesinin meşru sayılmayacağını vurgulamaktadır. Konunun işveren konumundaki müvekkillerimizi yakından ilgilendirmesi nedeniyle, duyurunun esaslarına ilişkin kısaca bilgi vermek isteriz.
Duyurunun temelinde kamera kullanımının yasaklanması söz konusu olmayıp KVKK, iş yerinde kamera kullanımını iş sağlığı ve güvenliğinin sağlanması, iş kazalarının önlenmesi, iş yeri güvenliği ile suçun önlenmesi ve tespiti gibi amaçlarla kullanılmasının mümkün olduğuna işaret etmiştir. Nitekim işverenlerin, 6098 sayılı Türk Borçlar Kanunu’nun 417’nci maddesi kapsamında işçinin kişiliğini koruma borcu ile 6331 sayılı İş Sağlığı ve Güvenliği Kanunu’ndan doğan denetim yükümlülükleri, kamera kullanımına meşru bir zemin sağlamaktadır. Ancak güvenlik kameralarıyla görüntü kaydı alınması açık bir kişisel veri işleme faaliyeti olduğundan, bu faaliyetin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na tam uyum içinde yürütülmesi zorunludur. Bu kapsamda Kurum, veri işleme faaliyetinin başlamasından önce veri işleme amacının doğru bir şekilde belirlenmesi gerektiğini bu kapsamda doğru veri işleme şartlarına dayanılmasını ifade etmektedir.
Esasen bu husus, Kanun kapsamında tüm veri işleme faaliyetleri için geçerli olup tüm veri işleme faaliyetleri için genel ilkelere uyum zorunludur. Kurum’u duyurusunda bu zorunluluk kameralar aracılığı ile veri işleme faaliyetleri yönünden somut bir şekilde değerlendirilmiştir. Kurum, kameraların kuruluş amacının somut olay özelinde baştan ve net biçimde belirlenmesi gerektiğini; bu amacın dışına çıkılarak çalışanların devam durumunun veya performansının izlenmesinden kaçınılması gerektiğini ifade etmektedir. Daha da önemlisi, çalışanların verimli çalışıp çalışmadığını görme, disiplini artırma veya genel kontrol sağlama gibi soyut ve çalışan denetimine yönelik amaçların “meşru amaç” kapsamında değerlendirilemeyeceği açıkça vurgulanmaktadır.
Bu yaklaşım, Kurum’un 2 Haziran 2026 tarihli Resmî Gazete’de yayımlanan ve mesai takibi amacıyla biyometrik veri işlenmesini hukuka aykırı bulan kararı ile birlikte değerlendirildiğinde, işyerinde çalışan gözetimine yönelik veri işleme faaliyetlerine Kurum’un giderek daha hassas yaklaştığını ortaya koymaktadır.
Duyuruda, veri sorumlularının dikkat etmesi gereken hususlar genel hatlarıyla;
- Veri minimizasyonu ve amaç sınırlamasına uyulmalıdır: Kameranın gerekliliği baştan değerlendirilmeli, işlenecek veri en aza indirgenmeli ve işleme amacı somut biçimde belirlenmelidir.
- Ölçülülük (elverişlilik – gereklilik – orantılılık) ilkesi dikkate alınarak veri işleme faaliyeti gözden geçirilmelidir.: Giriş-çıkış alanları, depo veya kasa gibi güvenlik riski taşıyan noktalarda kamera kullanımı orantılı görülebilirken; tuvalet, soyunma odası, mescit ve dinlenme alanı gibi özel alanlara kamera yerleştirilemez. Tüm alanları kapsayan geniş açılı veya yüz odaklı kayıtlardan kaçınılmalıdır.
- Mahremiyet beklentisi dikkate alınarak izleme yapılan alanların denetimi gerekir: Kameranın konumu, görüş açısı, yakınlaştırma ve izlenme sıklığı; çalışanların iş yerinde dahi sahip olduğu makul mahremiyet beklentisi gözetilerek belirlenmelidir.
- Sesli kayıt alınması dahlinde risk değerlendirmesi ve etki değerlendirme testi uygulanmalıdır: Sesli kayıt mahremiyete son derece müdahaleci bir yöntem olduğundan, hukuka uygun gerekçesi ve gerekliliği açıkça ortaya konmadan kullanılmamalıdır.
- Aydınlatma yükümlülüğünün yerine getirilmesi gerekir: Çalışanlar kamera işlemesi hakkında bilgilendirilmeli ve Kanun’un 10’uncu maddesi uyarınca ortamın kayıt altına alındığına dair aydınlatma yükümlülüğü yerine getirilmelidir.
- Veri güvenliğinin sağlanması için gerekli sistemler oluşturulmalıdır: Yetki matrisi ve yetkisiz erişimin önlenmesi gibi teknik ve idari tedbirler alınmalı, kayıtlara yalnızca yetkili kişiler erişebilmelidir.
- Saklama süresi kayıt altına alınmalı imha süreci oluşturulmalıdır: Kayıtlar gereğinden uzun saklanmamalı, mümkün olan en kısa süre tercih edilmeli ve sistemde otomatik imha mekanizması bulunmalıdır. Bir olay yaşanması halinde hukuki süreç boyunca yalnızca ilgili kayıt saklanmalıdır.
Kurum, duyurunun sonunda, belirtilen hususlara uygun hareket edilmediğinin tespiti halinde veri sorumluları hakkında 6698 sayılı Kanun’un 18’inci maddesi çerçevesinde idari para cezası dâhil işlem tesis edilebileceğini hatırlatmaktadır. Bu yönüyle duyuru, salt bir tavsiye metni olmanın ötesinde, Kurum’un önümüzdeki dönemdeki denetim ve yaptırım yaklaşımının da habercisi niteliğindedir.
İşveren konumundaki veri sorumlularına, mevcut kamera sistemlerini bu kriterler ışığında ivedilikle gözden geçirmelerini; özellikle özel alanlarda konumlandırılmış kameralar ile çalışan izleme/performans denetimine yönelik kullanımları öncelikli risk kalemi olarak ele almalarını tavsiye ederiz. Hukuk Büromuz, kamera sistemleri başta olmak üzere işyeri veri işleme süreçlerinin KVKK’ya uyumu konusunda müvekkillerine destek vermeye devam etmektedir.
