Site Yönetimi

Ziyaretçi Verilerinin (Kimlik, Plaka) Saklanma Süresi Ne Olmalı?

Ziyaretçi kimlik ve plaka kayıtlarının saklanma süresi KVKK'ya göre belirli ilkelere dayanır; ne çok kısa ne de gereksiz uzun olmalıdır. Bu yazıda AVM ve plaza kiracıları için pratik rehber sunuyoruz.

Ziyaretçi Verilerinin (Kimlik, Plaka) Saklanma Süresi Ne Olmalı?

Ziyaretçi kimlik ve plaka bilgileri, AVM ya da plaza yöneticisinin değil, güvenlik biriminin tuttuğu ancak kiracı firmanın da doğrudan etkilendiği verilerdir. KVKK kapsamında bu veriler, toplanma amacı ortadan kalkar kalkmaz silinmeli ya da anonim hale getirilmelidir; pratikte bu genellikle en fazla 30-90 gün olarak uygulanmakla birlikte, binanın güvenlik politikası ve varlık riskine göre bu süre kısaltılabilir veya —zorunlu gerekçeyle— makul ölçüde uzatılabilir. Mağaza veya ofis sahibi olarak sizi ilgilendiren, bu verinin gereğinden uzun tutulmasının hem kiracınızı hem de sizi hukuki riske soktuğudur.

Ziyaretçi Verisi Nedir ve Neden Kiracıyı İlgilendirir?

Ziyaretçi kimlik kartı ve giriş kayıt formu — AVM ve plaza kiracıları için ziyaretçi verisi temsili

Bir AVM'deki mağazanıza ya da bir plazadaki ofisinize gelen ziyaretçiler, bina girişinde genellikle kimliklerini göstermek veya araç plaklarını bildirmek zorunda kalır. Bu bilgileri toplayan taraf çoğunlukla yönetim şirketi ya da güvenlik firmasıdır; ancak bu durum sizi sorumluluktan muaf kılmaz. Eğer ziyaretçi sizinle görüşmeye geliyorsa, o kişi üzerinde "veri sorumlusu" kimliğine sahip taraflardan biri de sizsiniz sayılabilirsiniz.

KVKK'nın temel ilkelerinden biri, kişisel verilerin yalnızca işlendikleri amaç için ve o amacın gerektirdiği süre kadar tutulmasıdır. Ziyaretçi kimlik bilgisi için amaç genellikle bina güvenliğinin sağlanmasıdır. Bu amaç, kişi binadan çıktıktan ve makul bir güvenlik dönemi geçtikten sonra ortadan kalkmış sayılır. Dolayısıyla veriyi sonsuza kadar ya da yıllarca saklamak, hukuken savunulması güç bir tutum haline gelir.

Kiracı olarak bu meseleyi neden takip etmeniz gerektiğinin somut nedeni şudur: Bir güvenlik ihlali ya da KVKK denetimi sırasında "bu veriyi yönetim topladı, bizimle ilgisi yok" savunması her zaman geçerli olmayabilir. Özellikle ziyaretçinin sizinle görüşmek için geldiğini kayıt altında gösterdiği durumlarda, veri işleme zincirinin bir halkası olduğunuz değerlendirilebilir. Bu yüzden yönetim şirketiyle imzaladığınız kira sözleşmesi veya ek protokollerde güvenlik verilerinin nasıl işlendiğini anlamak önem taşır.

Bunun ötesinde, ziyaretçi kayıtları çalınma, yetkisiz erişim veya üçüncü taraflarla paylaşım gibi risklere maruz kaldığında, bu verinin kim tarafından ne kadar süre saklandığı sorgulanır. Saklanma süresini bilmek ve takip etmek, olası bir sorunda "elimden geleni yaptım" diyebilmenin ön koşuludur.

KVKK'nın Saklama Süresine Yaklaşımı

Hukuki terazi ve takvim — KVKK kapsamında veri saklama süresi dengesi

6698 sayılı Kişisel Verilerin Korunması Kanunu, saklama süresi için tek bir rakam vermez. Bunun yerine "amaca bağlı sınırlılık" ilkesi geçerlidir: veriyi topladığınız amaç ne zaman sona ererse, veri de o sürenin makul bir uzantısında silinmeli ya da anonim hale getirilmelidir. Bu yaklaşım, farklı veri türleri için farklı süreler doğurur.

Ziyaretçi kimlik ve plaka verileri güvenlik amacıyla toplanıyorsa, ilgili dönem boyunca olası bir güvenlik olayının soruşturulabilmesi için verinin elde tutulması meşru sayılır. Bu "makul güvenlik dönemi" kavramı, uygulamada otuz günden doksan güne kadar uzanan aralıklarda hayat bulur. Kişisel Verileri Koruma Kurumu'nun yayımladığı rehber belgeler ve sektör uygulamaları da bu aralığa işaret eder.

Sürenin belirlenmesinde başka etkenler de devreye girer. Binadaki tehdit profili yüksekse (örneğin kuyumcu, klinik, noterlik gibi hassas faaliyet alanları), daha uzun bir saklama süresi gerekçelendirilebilir. Tam tersi, sıradan perakende mağazalarında güvenlik riski düşükse, sürenin daha kısa tutulması hem KVKK uyumu hem de siber güvenlik açısından avantajlıdır. Çünkü veri ne kadar uzun saklanırsa, ihlal halinde zarar o kadar büyük olur.

Önemli bir uyarı: Saklama süresi, yönetim tarafından yayımlanmış bir politika belgesiyle belirlenmeli ve ziyaretçilere aydınlatma metni aracılığıyla önceden bildirilmelidir. Bu belge olmadan veri toplamak, işlemenin hukuken dayanağını zayıflatır. Kiracı olarak bu politikanın var olup olmadığını yönetimden talep etmek hem hakkınız hem de çıkarınızdır.

Kimlik ve Plaka Verisi Arasındaki Fark

Kimlik kayıtları ve plaka kayıtları için ayrı dosyalama sistemleri — iki veri türünün karşılaştırması

Ziyaretçi kimlik verisi (TC kimlik numarası, ad-soyad, doğum tarihi) ile araç plaka kaydı, KVKK açısından her ikisi de kişisel veri kategorisine girer; ancak kimlik verisi daha yüksek tanımlayıcılık riski taşır. TC kimlik numarası, tek başına bir bireyin tam kimliğini ortaya koyar ve başka veri tabanlarıyla kolayca eşleştirilebilir. Bu nedenle kimlik verisi, plaka verisine kıyasla daha kısa süre saklanması yönünde argüman üretilebilir bir veridir.

Plaka kaydı ise kişiyi değil aracı tanımlar; araç sahibinin kim olduğunu bilmeksizin plakadan kişiye ulaşmak ek bir adım gerektirir. Bu nedenle bazı güvenlik uzmanları, plaka kaydının kimlik kaydından görece daha az kritik olduğunu savunur. Ne var ki KVKK'nın tanımlaması geniş tutulmuştur; araç plakası, sahibiyle ilişkilendirilebildiği ölçüde kişisel veri sayılır. Bu nedenle uygulamada her iki veriyi de aynı güvenlik önlemleri ve benzer saklama ilkeleriyle ele almak daha temkinli bir yaklaşımdır.

Pratikte dikkat edilmesi gereken bir ayrım daha vardır: sistemin kamera görüntülerini de kayıt altına alıp almadığı. CCTV görüntüleri içinde yüz bilgisi varsa, bu artık biyometrik veri sayılabilir ve özel nitelikli veri kapsamına girer; saklama süresi ve güvenlik önlemleri çok daha sıkı kurallara tabidir. AVM veya plaza yönetiminin kamera sisteminin bu kapsamda değerlendirilip değerlendirilmediğini öğrenmek, kiracı olarak almanız gereken önlemler açısından belirleyici olabilir.

Sonuç olarak, kimlik ve plaka verisi için ayrı bir süre tablosu çizmek yerine, her ikisini de güvenlik amacıyla toplanan ve amacın sona ermesiyle birlikte imha edilmesi gereken veriler olarak ele almak, hem hukuki hem de pratik açıdan en güvenli yaklaşımdır.

Saklama Süresi Nasıl Belirlenmeli — Adım Adım Çerçeve

Veri saklama süresi karar akışı — adım adım belirleme çerçevesi

İlk adım, veriyi kimin topladığını ve kimin erişebildiğini netleştirmektir. Verinin birincil sorumlusu bina yönetimiyse, yönetimin KVKK politikasını yazılı olarak talep edin. Bu belgede saklama süresi ve imha yöntemi açıkça belirtilmeli; belirsizse yönetimden netleştirmesini isteyin.

İkinci adım, olası güvenlik olaylarının ortaya çıkma süresini değerlendirmektir. Bir hırsızlık, dolandırıcılık veya güvenlik ihlali genellikle olay günü veya birkaç gün içinde fark edilir. Çok nadir durumlarda soruşturma birkaç hafta uzayabilir. Bu gerçekliği göz önüne alarak otuz ila doksan günlük bir pencere çoğu senaryo için yeterlidir. Bu pencerenin ötesinde verinin güvenlik amacıyla tutulması, meşruiyet gerekçesini zayıflatır.

Üçüncü adım, teknik imha yöntemini belirlemektir. Kağıt kayıtlar için güvenli imhacı hizmeti veya çapraz kesim imha makinesi kullanılmalıdır. Dijital kayıtlar için yazılım tabanlı kalıcı silme (secure delete) ya da bulut sistemi üzerinden veri temizleme protokolü uygulanmalıdır. İmha tarihi, hangi yöntemin kullanıldığı ve kim tarafından yapıldığı bir imha tutanağında kayıt altına alınmalıdır; bu tutanağın kendisi güvenlik amacıyla daha uzun süre saklanabilir, çünkü bu sefer veri değil, imhayı ispatlayan belge söz konusudur.

Dördüncü adım, sürecin periyodik denetimini sağlamaktır. Yılda en az bir kez, saklama süresinin hâlâ amaç ve risk profiliyle uyumlu olup olmadığını gözden geçirin. Bina el değiştirdiyse, güvenlik firması değiştiyse ya da yeni bir yönetim yazılımı devreye girdiyse, bu denetimi öne alın.

Yönetimle Protokol: Kiracı Ne İsteyebilir?

Yönetim ve kiracı arasında KVKK protokolü anlaşması temsili

Mağazanız veya ofisiniz için bir AVM veya plaza yönetimiyle çalışırken, KVKK kapsamında "veri işleyen" sıfatıyla hareket eden yönetim firmasıyla yazılı bir veri işleme sözleşmesi (VİS) yapılması gerekebilir. Bu sözleşme, özellikle kişisel verileri sizin adınıza veya sizin davetten gittiğiniz ziyaretçilere ilişkin işleniyorsa hukuki zemin oluşturur.

Kiracı olarak yönetimden şunları talep etme hakkınız vardır: Ziyaretçi verilerinin hangi ortamda (kağıt defter, yazılım, kamera sistemi) tutulduğunu, kimler tarafından erişilebildiğini, ne kadar süre saklandığını ve nasıl imha edildiğini açıklayan bir politika belgesi. Bunu istemek, hem KVKK bilincinizi gösterir hem de olası bir soruşturmada "gerekli özeni gösterdim" savunmanızı güçlendirir.

Bazı yönetim şirketleri, bu taleplere hazır değildir ya da resmi bir politikası bulunmamaktadır. Bu durumda yönetimle birlikte bir protokol geliştirmeyi teklif edebilir, ya da bağımsız hukuki danışmanlık alarak kira sözleşmesine ek bir veri koruma maddesi eklenmesini talep edebilirsiniz. Özellikle çok sayıda kiracısı olan büyük AVM'lerde, yönetim tarafından hazırlanmış kapsamlı bir KVKK politikası zaten mevcutsa, bu politikanın bir kopyasını talep edin ve dosyalayın.

Son olarak, ziyaretçilerinize yönelik aydınlatma yükümlülüğünü de unutmayın. Bina girişindeki aydınlatma metni, yönetim tarafından konulmuş olsa bile, o metinde sizin kiracı sıfatıyla yer alıp almadığınızı kontrol edin. Ziyaretçi doğrudan sizinle görüşmeye geliyorsa, o kişiye hangi verilerinin toplandığını, kimin topladığını ve ne kadar süre saklanacağını bildirme yükümlülüğü size de düşebilir.

Sık Yapılan Hatalar ve Sonuçları

Taşan ziyaretçi kayıt kağıtları ve uyarı üçgeni — veri saklama hatalarının temsili

En yaygın hata, veriyi "ihtiyaç olur belki" düşüncesiyle belirsiz süre saklamaktır. Kağıt defterlerin yıllarca rafta beklediği, eski güvenlik yazılımı veri tabanlarının hiç silinmediği durumlar pratikte oldukça sık görülür. Bu tutum, KVKK'nın amaca bağlı sınırlılık ilkesini doğrudan ihlal eder ve bir denetimde ya da ihlal bildiriminde ilk sorgulanacak nokta haline gelir.

İkinci yaygın hata, saklama süresini belirlemeden veri toplamaktır. Veriyi toplayıp "sonra düşünürüz" yaklaşımıyla hareket etmek, aydınlatma metninde süreyi belirtme zorunluluğunu da yerine getirmeyi engeller. Kişisel Verileri Koruma Kurumu'nun şikâyet incelemelerinde bu eksiklik sıklıkla karşılaşılan bir tespit olarak öne çıkmaktadır.

Üçüncü hata, imhayı belgelememektir. Veriyi sildim demek yeterli değildir; silme işleminin ne zaman yapıldığı, kim tarafından yapıldığı ve hangi yöntemle gerçekleştirildiği kayıt altına alınmadığı sürece kanıtlanabilir değildir. Özellikle güvenlik firmalarının değiştiği dönemlerde eski sistemlerdeki verinin gerçekten silinip silinmediği muğlak kalabilir.

Dördüncü hata, ziyaretçi kaydını üçüncü taraflarla paylaşmaktır. Güvenlik firmasının değişmesi durumunda eski firma verilerini yeni firmaya aktarmak, ya da kiracıların birbiriyle ziyaretçi listelerini paylaşması, ek bir hukuki zemin gerektiren veri aktarımı sayılır. Bu aktarımın KVKK çerçevesinde geçerli bir dayanağı olmadan yapılması, her iki taraf için sorun doğurabilir.

Beşinci hata, aydınlatma metnini arka köşeye asmak ve ziyaretçinin bunu gerçekten okuyabileceği şekilde sunmamaktır. Şeklen var olan ama okunamayacak kadar küçük puntoyla basılmış ya da yetersiz aydınlatılmış bir köşede asılı kalan metinler, denetimde "gerektiği biçimde aydınlatıldı" savunmasını zayıflatır.

Site Yönetimi Platformu Buradaki Süreci Nasıl Kolaylaştırır?

Dijital bina yönetimi panosu — Site Yönetimi platformu ziyaretçi ve kiracı süreçleri

Ziyaretçi verisi, bina yönetiminin daha geniş bir sürecinin parçasıdır; güvenlik, duyuru, arıza bildirimi ve kiracı iletişimi hepsi birbirine bağlıdır. Tüm bu süreçler dağınık araçlarla yönetildiğinde, kimin hangi veriye ne kadar süre eriştiğini takip etmek güçleşir ve KVKK uyumu bir tablo meselesinden öte, fiilen izlenmesi gereken bir iş akışı haline gelir.

Site Yönetimi platformu, çok kiracılı yapılar için tasarlanmış bir bina yönetim sistemi olarak bu iş akışını merkezileştirir. Kiracı olarak kendi panelinizden arıza ve bakım taleplerinizi tarih damgalı biçimde açabilir, yönetimin duyurularını anlık olarak takip edebilir ve ortak gider raporlarınıza şeffaf biçimde erişebilirsiniz. Yönetim tarafında ise her kaydın kimin tarafından ne zaman işlendiği sistem üzerinde izlenebilir olduğundan, bir denetim ya da uyuşmazlık durumunda "kim ne yaptı" sorusu kolaylıkla yanıtlanabilir.

Bu tür bir dijital altyapı, ziyaretçi verisi saklama sürecinin de daha sistematik yönetilmesini mümkün kılar. Güvenlik firmasının ya da bina yönetiminin kimlik ve plaka kayıtlarını ne kadar tutacağına dair politikayı platform üzerinde duyurması, kiracılara iletmesi ve periyodik imha hatırlatmaları oluşturması hem uyumu hem de kiracı güvenini artırır. Platform, bu süreci verimlileştirmek için sıfırdan özel bir araç geliştirmenizi gerektirmez; mevcut iş akışınızın içine entegre olarak çalışır.

Özellikle birden fazla şubesi veya kiracısı olan büyük yapılarda, her birinin ayrı bir süreç izlemesi yerine ortak bir platform üzerinden standartlaşmış politika uygulamak hem zaman kazandırır hem de tutarsızlık riskini azaltır. Tesis yönetimi, bakım, güvenlik bildirimleri ve iletişim tek bir çatıda buluştuğunda, KVKK uyumu da bu çatının doğal bir bileşeni haline gelir.

Özel Durumlar: Uzatılmış Saklama Gerekebilir mi?

Uzun dönemli saklama kasası ve takvim — istisnai saklama süresi gerektiren özel durumlar

Bazı durumlarda standart saklama süresinin ötesinde veri tutmak meşru sayılabilir. En tipik örnek, aktif bir hukuki süreçtir. Bir hırsızlık, yaralama, dolandırıcılık ya da başka bir güvenlik olayı yaşandıktan sonra, ziyaretçi kayıtları delil niteliği taşıyabilir. Bu durumda savcılık ya da mahkeme talep ettiği sürece kayıtlar saklanmak zorundadır ve KVKK da yargısal yükümlülükleri istisna olarak tanır.

Bir diğer özel durum, sigorta tazminat süreçleridir. Sigorta şirketi, bir hasarın ya da olayın koşullarını araştırırken ziyaretçi kayıtları talep edebilir. Bu süreç bazen aylarca uzayabilir; sigorta sözleşmesinde belirtilen sürelere paralel olarak kayıtlar elde tutulabilir. Bu durumda da gerekçenin kayıt altına alınması ve ilgili ziyaretçinin bilgilendirilmesi (mümkünse) iyi uygulama sayılır.

Üçüncü özel durum, mevzuattan doğan zorunluluktur. Bazı sektörel düzenlemeler veya kamu ihalesi kapsamındaki binalar için ek güvenlik gereksinimleri söz konusu olabilir. Bu durumlarda ilgili mevzuatın saklama süresi hükmü, KVKK'nın amaca bağlı sınırlılık ilkesinin önüne geçer.

Ancak bu istisnalar, "ihtiyaç olabilir" sezgisiyle veriyi uzun süre tutmaktan farklıdır. İstisna uygulamasının her birinde somut bir gerekçe, belgelenmiş bir karar ve başvurulabilecek bir yasal dayanak olmalıdır. Gerekçesiz uzatma, istisna değil ihlal sayılır.

İmha Yöntemleri ve Belgeleme

Güvenli imha makinesi ve tamamlanmış kontrol listesi — veri imhası ve belgeleme süreci

Fiziksel ortamdaki ziyaretçi kayıtları (kağıt formlar, doldurulmuş defterler) için en güvenli imha yöntemi, çapraz kesim yapan güvenli imha makinesidir. Yırtıp çöpe atmak yeterli değildir; kağıtları yeniden bir araya getirerek okuma ihtimali devam eder. Büyük hacimlerde, lisanslı belge imha şirketleri tarafından sağlanan hizmet hem pratik hem de kanıtlanabilir bir seçenektir; bu şirketler imhayı belgeleyen bir tutanak imzalar.

Dijital ortamdaki kayıtlar için, dosyayı silmek yeterli değildir; silinmiş dosyalar çoğunlukla kurtarılabilir durumdadır. Güvenli silme için işletim sistemi düzeyinde "güvenli sil" araçları ya da sabit diskin üzerine yazma yapan yazılımlar kullanılmalıdır. Bulut tabanlı sistemlerde ise servis sağlayıcının veri silme politikasını öğrenmek ve silme işleminin gerçekten kalıcı olduğunu doğrulamak gerekir.

İmha tutanağı, her imha işlemi için ayrı düzenlenmelidir. Bu tutanakta şu bilgiler yer almalıdır: imha edilen veri kategorisi (ziyaretçi kimlik kaydı, plaka kaydı vb.), imha tarihi ve saati, kullanılan yöntem, imhayı gerçekleştiren kişi ya da firmanın adı ve bir yetkili imzası. Bu tutanaklar, veri silindikten sonra bile makul bir süre boyunca (genellikle birkaç yıl) arşivlenmelidir; zira denetimde göstermeniz gereken şey verinin kendisi değil, imha edildiğinin kanıtıdır.

İmha Tutanağı Örneği (şablon):
Tarih: …/…/……
İmha edilen veri kategorisi: Ziyaretçi giriş-çıkış kayıtları (kimlik + plaka)
Kapsanan dönem: …/…/…… – …/…/……
İmha yöntemi: Güvenli imha makinesi / Güvenli dijital silme
İmhayı gerçekleştiren: Ad Soyad — Unvan
İmzası: …………………………
Onaylayan: Ad Soyad — Unvan
İmzası: …………………………

Sık Sorulan Sorular

Ziyaretçi kimlik verisi için standart bir saklama süresi var mı?

KVKK tek bir süre belirtmez; bununla birlikte güvenlik amacıyla toplanan ziyaretçi kimlik verileri için sektör uygulamalarında genellikle 30-90 günlük bir pencere öngörülür. Bu sürenin üst sınırı, aktif bir hukuki ya da güvenlik süreci söz konusu değilse geçilmemesi gereken bir eşik olarak değerlendirilebilir.

Plaka kaydı, kimlik kaydından daha uzun süre saklanabilir mi?

Her ikisi de kişisel veri kapsamında olduğundan pratikte aynı ilkelere tabidir. Araç plakasının sahibiyle ilişkilendirilebildiği ölçüde kişisel veri sayıldığını hatırlatmak gerekir. İki veri türü için farklı süreler belirlemek mümkün olmakla birlikte, uygulamada her ikisini de aynı süreyle sınırlamak daha basit ve savunulabilir bir yaklaşımdır.

Bina yönetimi veriyi saklıyor, ben kiracıyım; bu beni etkiler mi?

Evet, etkileyebilir. Ziyaretçi sizinle görüşmeye geldiyse, veri işleme zincirinde yer aldığınız değerlendirilebilir. Bu nedenle yönetimin KVKK politikasını yazılı olarak talep etmek ve gerekirse kira sözleşmesine veri koruma maddesi eklemek çıkarınıza uygundur.

Süre dolmadan bir ziyaretçi verilerini silmemi isterse ne yapmalıyım?

KVKK'nın ilgili maddesi kapsamında kişilerin kişisel verilerinin silinmesini talep etme hakkı mevcuttur. Bu talebi değerlendirmeniz, reddetmeniz gerekiyorsa gerekçeyi yazılı olarak bildirmeniz ve talebe yanıtı belirlenen süre içinde iletmeniz gerekir. Güvenlik amacı devam ediyorsa silme yerine kısıtlama önlemi uygulanabilir; bu durumda veri silinmez ama işlenmez.

Kamera görüntüleri de bu kurallara tabi mi?

Evet. Kamera görüntüleri de kişisel veri niteliği taşır; üstelik yüz tanıma vb. biyometrik unsur içeriyorsa özel nitelikli veri kapsamına girer ve daha sıkı kurallara tabidir. Kamera kayıtları için saklama süresi genellikle bina güvenlik politikasında ayrıca belirtilmeli ve ziyaretçilere görünür aydınlatma metniyle bildirilmelidir.

Yönetim veri saklama politikasını paylaşmak istemezse ne yapabilirim?

Yazılı talep gönderin ve yanıt aldığınızda arşivleyin. Yönetim yanıt vermezse ya da politikanın olmadığını beyan ederse, kira sözleşmenize göre başvurabileceğiniz uyuşmazlık çözüm mekanizmalarını değerlendirin. Olası bir KVKK soruşturmasında, talep ettiğinizi gösteren yazışmalar lehte kanıt oluşturur. Gerekiyorsa konuyu ayrıca bir KVKK uzmanıyla ele alın.

Yönetimi dijitalleştirmeye hazır mısınız?

Site Yönetimi ile aidat, muhasebe, genel kurul ve arıza takibini tek platformda yönetin. 14 gün ücretsiz deneyin.

Ücretsiz Başlayın
Tüm yazılara dön