Aşağıda yer alan kurul kararı için KVVK yazılım paketlerimizin özellik ve fiyatlarını yine aynı sayfa içinde bulabilirsiniz;

29 Nisan 2022 CUMA Resmî Gazete Sayı: 31824              

KURUL KARARI 

Kişisel Verileri Koruma Kurumundan:

KARAR 

Karar Tarihi:                    21/04/2022

Karar No:                        2022/388

Toplantı Sıra Sayısı:       2022/14

Konu Özeti:                    Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında İlke Kararı

--------------------------------------------------------------------------------------------

Kişisel Verileri Koruma Kurumuna iletilen çeşitli ihbarlarda belediyelerin çevrimiçi olarak sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca T.C. kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilerek, kanunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.

Bilindiği üzere Kanunun 12'nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,

c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amirdir. Anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamayacağı ve işleme amacının dışında kullanamayacağı;

(5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verilmiştir. 

Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması  ve iyi bir uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından hazırlanarak Kurum internet sayfasında yayımlanan Kişisel Veri Güvenliği Rehberinde ( Teknik ve İdari Tedbirler) kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayılmaktadır. 

Bu itibarla kişisel verilere uzaktan erişilmesi halinde 3. kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılması gerekli olup, örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademli doğrulama olarak belirlenirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen  SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir. 

Kişisel Veri Güvenliği Rehberi’nin “Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi” 

Başlıklı 2.1 maddesinde de “ Kişisel verilerin güvenliğin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır. ” ifadelerine yer verilmektedir. Buna bağlı olarak kişilerin bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların uygulamaya konulması önem arz etmektedir.

Bu çerçevede belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb. sayfalar aracılığıyla çevrimiçi olarak sunmuş oldukları hizmetler kapsamında Kanunun 12'nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulamanın T.C. kimlik No, ad soyadı, vergi No, sicil  No gibi verilerle yapılırken ikinci düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon No, doğum tarihi, anne baba adı, sicil No gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin  sunulmasının uygun olacağı değerlendirilmektedir.

Bu değerlendirmeler ışığında;

-              Belediyelerin emlak vergisi ödeme/ hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile Kanunun 12'nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine,

-              Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikayet /ihbarlar doğrultusunda ilgili belediye hakkında Kanunun 18'inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,

-              Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12'nci maddesi kapsamında “üyelik ve şifre” ya da "çift faktörlü doğrulama” kullanılması gerektiği hususunda Kanunun 15'inci maddesinin (6) numaralı fıkrası kapsamında İlke Kararı alınarak Resmî Gazetede ve  

  Kurumun internet sayfasında yayımlanmasına

Oybirliği ile karar verilmiştir.