CCTV Kullanımında Yasal Sınır

Şirket genel güvenliğinin sağlanması adına kullanılagelen CCTV sistemleri ile şirket yerleşkelerinin izlenmesi yanında personelin mesai saatleri dahilinde denetim ve izlemeye tabi tutulması yeni bir konu olmamakla, Kişisel Verilerin Korunması Kanunu (“KVKK”) göz önünde bulundurulduğunda, kullanımın denetim ve güvenlik amacının sınırlarının ve izlenenlerin özel yaşamının korunmasına ilişkin sınırların aşılıp aşılmadığı ve/veya veri işlemenin sınırlarının bulanıklaşması durumu ayrı bir soru işareti meydana getirebiliyor. CCTV kullanımı her ne kadar yaygınlaşarak devam eden bir uygulama olsa da belirli kullanımlar ve özellikle gizlenmiş sistemlerin kullanımı bakımından uygulama standartları değişkenlik gösterebiliyor. Bu bağlamda aşağıda da inceleyecek olduğumuz üzere gizlenmiş CCTV ile personelin özel hayatına tecavüze yönelik Avrupa İnsan Hakları Mahkemesi’ nin vermiş olduğu yakın zamanlı bir karar da mevcut. Ne var ki aynı mahkeme son kararından çok da önce olmayan bir tarihte gizlenmiş CCTV kullanımına müsaade eder kararlar da vermiş olduğundan, bu çelişkinin nasıl giderileceği ile ilgili yaşanan belirsizlik nedeniyle işverenlerin sınırlarını belirlemeleri ayrıca bir sorun meydana getirecek gibi görünüyor.

Personelin gözlemlenmesi/takip edilmesi özellikle Avrupa kıtasında kişisel haklara müdahale edildiği biçiminde yorumlanmakla, personelin özel yaşamını mahrem tutmak yönündeki haklı beklentileri yanında iş yaşamında da belli oranda gizlilik sağlanmasını isteme hakkı bulunmakta. Bu anlamda özellikle Avrupa Birliği ülkeleri bakımından da gizlenmiş CCTV kullanımı ile ilgili çok sınırlı haller bu işlemi gerekçelendirebiliyor. Duruma ilişkin olarak İngiltere Veri Kurulu (Information Commissioner’s Office- “ICO”) tarafından düzenlenen kılavuz gizlenmiş CCTV’ nin ancak belirlenen koşulların söz konusu olması halinde kullanılabilecek olduğunu belirtmektedir. Gizlenmiş CCTV kullanımına ilişkin ICO tarafından belirlenmiş koşullar şu şekildedir:

  • İşveren şirket dahilinde cezai müeyyidelere konu eylemlerin gerçekleştirildiği yahut usulsüz eylemlerin vukuu bulduğuna dair yeterli şüpheye sahipse;
  • Bu yönde bir önlem alınacak olduğunun personele bildirilmesi durumunda söz konusu eylemlerin yahut bahsi geçen eylemleri gerçekleştirenlerin tespitinin mümkün olamayabileceği bir durum söz konusu ise;
  • Belirli bir soruşturmanın parçası olarak kullanılması ve soruşturmanın tamamlanması ile gizli/gizlenmiş CCTV kullanımının sonlandırılması halinde, gizli/gizlenmiş CCTV kullanımı mümkün olacaktır.

DPA (25 Mayıs 2918 tarihinden itibaren de General Data Protection Regulation “GDPR“) çerçevesinde işveren gözlemleme eyleminin amacı ve yöntemleri ile ilgili açık olmalı ve seçilen gözlemleme yöntemlerinin hukuka uygun olarak uygulandığından emin olmalı. Bunun yanında ICO tarafından yayınlanmış olan kılavuz ile belirtilmiş olduğu üzere de amaç, yöntem ve muhafaza süreleri gibi unsurlar ile gözlemlemenin doğası ve sınırları da dahil organizasyon dahilinde hazırlanacak olan politikalar ile gözlemleme eylemi kayıt altına alınarak, personelin de gözlemlemenin neden ve sonuçlarından haberdar olması sağlanmalı. İşverenin personeli gözlemlemesi ile ilgili bilgilendirme eylemine yönelik yegâne istisnai durumu ise gizli/gizlenmiş CCTV yöntemlerinin kullanılması halinin hukuka uygun biçimde yine ICO tarafından hazırlanmış olan kılavuzda belirlenmiş sınırlar dahilinde gerçekleştirmesi ile söz konusu olmaktadır.

Bahsedilen gizli/gizlenmiş CCTV yöntemlerinin kullanılmasına ilişkin bir kısım mahkeme kararı şu şekilde:

Lopez Ribalda v Spain

9 Ocak 2018 karar tarihli işbu dosyada özetle beş şikayetçi de bir İspanyol Süpermarket zincirinin aynı şubesinde çalışmakta olup, 2009 yılının başlarında hem işverenden hem de müşterilerden para çalıyor oldukları iddiası nedeniyle şikâyet konusu CCTV kullanımı gerçekleştirilmiştir.

Şikayete konu kullanıma sebebiyet veren durum şu şekilde vukuu bulmuştur: Süpermarkette bir süredir stok ve nakit eksiği yaşanması nedeniyle, şube müdürleri eksiğin kaynağı işlem ve eylemleri tespit etmeye çalışmış ancak kaybolan para ile ürün stoklarındaki azalmaya yönelik olarak kayba müşterilerin mi yoksa personelin mi sebebiyet verdiğine emin olamadıklarından ve kayba sebebiyet veren eylemin tespitini sağlamak maksadıyla, marketin giriş ve çıkış kapılarına görünür biçimde CCTV sistemleri yerleştirmişlerdir. Yerleştirilen görünür durumdaki CCTV sistemleri ile ilgili personele kurulum öncesi bilgilendirme yapılmış olsa da işverenin kasaların kontrolünü sağlamak üzere yerleştirmiş olduğu gizli/gizlenmiş CCTV sistemine yönelik personeli bilgilendirilmemiştir. Şikâyet tarafı personel, işveren tarafından görünür durumdaki CCTV’ ler ile ilgili bilgilendirilmiş olmalarına rağmen stok ve nakit hırsızlığına devam etmiş, durumun tespiti ile ilgili şube müdürleri kendileri ile yüzleştiğinde ise eylemlerini kabul etmişler ve takiben işten çıkarılmışlardır. Hırsızlık yapıldığı gerekçesiyle işten çıkarılan 5 personel de gizli kameraların varlığına dair işverenin kendilerini bilgilendirmediği ve bu nedenle işverenin işbu eyleminin kişisel verilerin işlenmesi öncesinde veri sahiplerine açık, belirsizliğe yer bırakmayacak şekilde ve net olarak bilgi verme hükmü gereğince İspanyol Veri Koruma Kanunu’ na aykırı olduğu, bu nedenle de işten çıkarılmalarının haksız olduğu iddiasıyla İspanya İş Mahkemesi’ ne başvuruda bulunmuşlardır.

Başvuruda bulunanların başvuruları, her ne kadar veri işleme faaliyeti öncesinde veri sahipleri işveren tarafından bilgilendirilmemiş olsa da verilerin geçerli bir şüpheye dayanması, şirkete ait mülkiyetin korunmasına ilişkin maksadının uygun olması ve işleme faaliyetinin şüpheye dayalı olarak gerçekleştirilmesi gerekliliğinin gerekli ve ölçülü olması nedeniyle hukuka uygun biçimde işlendiğinden bahisle yerel mahkeme tarafından reddedilmiştir. Tüm bu süreç nihayetinde Avrupa İnsan Hakları Mahkemesi’ ne taşınmış, buna karşılık mahkeme mesai saatleri de dahil olmak üzere her personelin özel yaşamına saygıya yönelik bir beklenti içinde olması hakkı bulunduğunu kayıt altına almıştır. Bu karar ile birlikte mahkeme; başvuruda bulunanlardan önce CCTV kayıtlarını sendika temsilcisi ve işveren avukatı da dahil birden fazla kişinin görmüş olması, gizli/gizlenmiş CCTV kullanımı ile ilgili personellerin izninin alınmadığı, kullanım ile ilgili personellerin keyfiyetten haberdar edilmedikleri, haftalarca kayıt yapıldığı ve tüm kayıt süresi boyunca şüpheye konu eylemleri gerçekleştirmeyen personellerin de kayıt altına alındığı hususlarını da kayıt altına almıştır.

Sonuç olarak da mahkeme işverenin önlemlerinin ölçülü olmadığı yönünde bir karara varmıştır. Karara göre işverenin, satışa sunulan ürünleri personellerin özel hayatına daha az müdahale edecek biçimlerde koruma altına almış ve kayıt sistemlerinin kullanımı ile ilgili olarak personellerini önceden haberdar etmiş olması gerekli görüldüğünden, işverenin başvuruda bulunanların her birine 4.000,00-Euro ödemesine karar verilmiştir.

Köpke v Germany

Almanya’ da meydana gelen bu husumette de yine bir süpermarkette kasiyer olarak çalışan kişi, gizli/gizlenmiş CCTV kayıtları ile hırsızlık suçu işlerken yakalanmış, İş Mahkemesi nezdinde haksız olarak işten çıkarılmış olduğu iddialarına bir yanıt bulamamış ve madde 8′ in ihlaline dayanmak suretiyle tüm husumeti Avrupa İnsan Hakları Mahkemesi’ ne taşımıştır. Bu husumette ise işverenin gizli/gizlenmiş CCTV kullanımı hususuna yaklaşımı; ne kadar süre ile kullanılması gerektiği, satışa sunulan ürünlerin korunması gerekliliği ve kamu yararının korunması gibi hususların da göz önünde bulundurulması biçiminde olduğundan, hırsızlık şüphesi altında yalnızca bir personel bulunduğu ve gizli/gizlenmiş CCTV kullanımı yalnızca bu personele yöneltilmiş olduğundan, mahkeme gizli/gizlenmiş CCTV kaydı ile önüne geçilmek istenen hukuka aykırılık yanında işverenin personelin özel hayatına müdahalesinin kısıtlı olarak gerçekleşmiş olduğu kararına varmıştır.

GDPR ile birlikte veri işleyenlerin kişilerin özel yaşamlarına müdahale edebilecek herhangi bir süreci yürürlüğe sokması öncesinde veri koruma değerlendirme raporları zorunlu hale gelecek. Bu hususta KVKK nezdinde açık bir hüküm ve/veya bir zorunluluk öngörülmemiş olsa da birçok veri işleyen bakımından GDPR’ a uyum yükümü yanında, KVKK’ ya uyumluluk sürecinin takibi ile sürecin güncelliği ve hukuka uygunluğunun sağlanması bakımından bu yönde raporların, takiben veri işleyen şirket/organizasyon içi politika ve prosedürlerin oluşturulması sağlıklı olacaktır. 10.03.2018 tarihinde yayınlanmış olan Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’ i ile belirlenmiş esaslar göz önünde bulundurulduğunda da gizli/gizlenmiş kayıt yöntemleri yanında, CCTV kullanımı bakımından da yalnızca bildirim notlarının yeterli olmayacağı ve Kurul tarafından çıkarılacak kılavuzların hazırlanmasının beklenmesi esnasında, ICO tarafından düzenlenmiş ve dönem dönem de güncellenen kılavuzu takip ederek veri işleyen şirket/organizasyon dahili bir politika üretmek personelin Anayasal haklarının korunmasının garantisi olarak her iki tarafı da rahatlatan yahut her iki tarafın da veri işleme faaliyetine yönelik farkındalık hak ve sınırlardan haberdar olabileceği bir hamle olarak düşünülebilir. Bu bağlamda veri işleyen şirket/organizasyonlarda (gizli/gizlenmiş ya da değil farketmeksizin) CCTV kullanımı ile ilgili şu soruların yanıtlanması gerekliliği baş gösterecek:

  • Kısıtlı veya süre sınırı bulunan bir yöntem söz konusu olabilecek mi?
  • Personel mevcut prosedür ve politikalar ve hatta kişisel verilerin korunması hakkında gerçekleştirilecek periyodik eğitimler ile harici durumlarda gizli/gizlenmiş CCTV kayıt yöntemleri kullanılabilecek olduğundan haberdar mı?

Yukarıda bahsedilen ve GDPR ile zorunlu hale getirilen değerlendirme raporları ile ilgili olarak şu an için herhangi bir kılavuz vb. yöntem belirler doküman hazırlanmamış olsa da ilgili maddeler ile kanun gerekçesinden aşağıdaki gibi bir çerçeve çıkarılmakta:

  • Planlanan işleme prosedürünün bir tanımlaması ve işlemenin amacı,
  • Veri işleme faaliyetinin gerekliliği ve ölçülülüğünün değerlendirmesi,
  • İşleme faaliyetinin konusu ilgili kişiye yönelen risklerin bir değerlendirmesi,
  • Risklerin belirlendiği ve mevzuata uyumluluğa ilişkin alınması beklenen önlemlerin ölçütlerine ilişkin bir değerlendirme.

Özet olarak bahsedilmeye çalışılan işbu mahkeme kararları ışığı altında işveren gizli/gizlenmiş CCTV ile kayıt almanın hukuka aykırı yahut usulsüz eylemlerin gerçekleştiğine dair yeterli şüpheye sahipse, olağanüstü durumlarda gizli/gizlenmiş kayıt yöntemlerinin uygulanabileceği ile ilgili olarak personel/ler daha önce bilgilendirilmiş ise gizli/gizlenmiş kayıt yöntemlerinin kullanımı söz konusu olabileceği söylenebilir. Mesai saatleri de dahil olmak üzere bu yöntemin kullanılması personelin özel yaşamına kayda değer bir müdahaleyi içerdiğinden işverenin bu yöntemlerle kayıt almasının gerekliliği ile bu yöntemin önüne geçmeye çalıştığı/amaçladığı hususu sağlayıp sağlamadığı noktasında yazılı bir değerlendirme raporu hazırlaması/hazırlatması hayati bir değer taşıyacaktır. İşverenin bu değerlendirme raporunu hazırlarken/hazırlatırken, bu yöntemlerin personele bildirilmesi durumunda söz konusu eylemlerin yahut bahsi geçen eylemleri gerçekleştirenlerin tespitinin mümkün olup olmayacağını da göz önünde bulundurması gerekmektedir.

CCTV kullanımına ilişkin KVKK ile GDPR’ a uyumluluk sağlanması üzere personelin bilgilendirilmesine ilişkin https://www.peakup.org/#what-we-are-doing linkini ziyaret edebilirsiniz.

Azure Building Blocks – Part 1

Azure Resource Manager şablonlarının yazılması ve deploy edilmesi size esneklik ve otomatik bir ortam sunmasını sağlarken bazı durumlarda, Azure Resource Manager şablonları kısa sürede çok karmaşık hale gelebilir. Ayrıca, Azure Infrastructure ortamınız için Microsoft’un en iyi uygulamalarının ekibiniz tarafından yazılan her şablona yansıtılması sağlamak bazı durumlarda zor olabilir. Eğer Azure Resource Manager dağıtım modeline hakim değilseniz, Azure Resource Manager makale serimi okumanızı tavsiye ederim.

Bu makale serisinde, Azure Resource Manager şablonunu geliştirirken ve dağıtımını basitleştirmeye yardımcı olan açık kaynak kodlu Azure Building Blocks ele alacağız. Microsoft içerisinde bulunan dağıtım modelleri ve uygulamalar ekibi tarafından öngörülen en iyi uygulamaları yansıtan ( IaaS, PaaS ) – benzeri olan Azure Resource Manager şablonlarını içerir. Azure Resource Manager şablonlarını kullanarak ( Template Deployment – Github) kaynak dağıtımını destekler. Azure kaynaklarını yöneten bir kişi, Resource Manager Deployment API sayesinde JSON formatında bir model kullanır ve bunu Azure Resource Manager API üzerine gönderir. Örnek olarak ortamınıza deploy etmek istediğiniz kaynakları ; Virtual Machine, Virtual Network, Storage, Network Security Group olarak belirterek gerekli dağıtımı sağlayabilirsiniz. Yine talebinize göre dağıtımı yapılmak istenilen kaynağın özelliklerinin tamamı, dağıtım yapılacak zamanda parametrik hale getirilerek özelleştirilir. Aşağıda bulunan resim içerisinde Azure Resource Manager dağıtım modelini destekleyen bir JSON dosyası bulunmaktadır.

Azure Resource Manager şablonları çok güçlü, büyük ve karmaşık mimarileri dağıtmanıza izin verirken, Azure Resource Manager hakkında geniş bilgiye ihtiyaç duyarlar. Bu durum ise bazı zamanlarda geliştirdiğiniz şablonları koruma kısmında zorluk çekmenize sebebiyet verir. Çünkü herhangi bir değişiklik, ön görülemeyen sorunlara neden olabilir. Azure Resource Manager güçlü dememin altında yatan oldukça fazla sebep var. Örneğin, bir Virtual Machine dağıtmak istediğinizi varsayalım. Deploy olurken içerisine kurabileceğiniz role, registry, gibi ucu açık bir kapı olduğunu düşünün. “Ne gerek var ?” Dediğinizi duyar gibiyim. İşte burası biraz komplike bir süreç olduğu gözükebilir ama Virtual Machine Scale Sets kullanırken zaten bunları yapmak zorunda kalıyorsunuz. Azure Building Blocks temel amacı daha basit bir şekilde deployment süreçlerinizi yapabilmenizi sağlamaktadır.

Azure Building Blocks projesi, Azure kaynaklarının kullanımını basitleştirmek için tasarlanmış bir komut satırı aracı olup, Azure Resource Manager kapsamını kullanarak bu sorunu çözer. Building Blocks, Resource Manager Deployment modelindeki gibi JSON formatı ile yazılır ve Azure Resource Manager şablonlarından yararlanarak dağıtımı gerçekleştirir. Azure Resource Manager Template olduğu gibi parametre belirtebildiğiniz gibi, Building Blocks içinde bu şansa sahipsiniz. Building Blocks JSON şeması çok basit olacak şekilde tasarlanmıştır. Azure Building Blocks 2.0 versiyonu ile şimdilik anılmaktadır.

Building Blocks şu anda aşağıdaki kaynak türlerini desteklemektedir.

  • Virtual Networks
  • Virtual Machines (including load balancers)
  • Virtual Machine Extensions
  • Route Tables
  • Network Security Groups
  • Virtual Network Gateways
  • Virtual Network Connection