Resmi Gazete Metni
Resmi Gazete'den alınmıştır
29 Nisan 2022 CUMA
Resmî Gazete
Sayı : 31824
KURUL KARARI
Kişisel Verileri Koruma Kurumundan:
Karar Tarihi
: 21/04/2022
KARAR
Karar No
Toplantı Sıra Sayısı
Konu Özeti
: 2022/388
: 2022/14
: Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında İlke
Kararı
Toplantıya Katılan Üyeler
Başkan
Üyeler
: Prof. Dr. Faruk BİLİR
: İsmail AYDIN, Tamer AKSOY, Bayram ARSLAN, Hasan AYDIN,
Şaban BABA, Murat KARAKAYA, Dr. Cengiz PAŞAOĞLU
Kişisel Verileri Koruma Kurumuna iletilen çeşitli ihbarlarda belediyelerin çevrimiçi olarak sunmuş
olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca TC kimlik numarası
girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil
ettiği ifade edilerek, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında
incelenmesi talep edilmiştir.
Bilindiği üzere Kanunun 12 nci maddesinin (1) numaralı fıkrasında "Veri sorumlusu; a) Kişisel verilerin
hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik
gerekli her türlü teknik ve idari tedbirleri almak zorundadır." hükmünü amirdir. Anılan maddenin (4)
numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun
hükümlerine aykırı olarak başkasına açıklayamayacağı ve işleme amacının dışında kullanamayacağı; (5)
numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde
edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun,
gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan
edebileceği hükümlerine yer verilmiştir.
Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari
tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla
Kişisel Verileri Koruma Kurulu tarafından hazırlanarak Kurum internet sayfasında yayımlanan Kişisel
Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) kişisel verilere gerekli durumlarda uzaktan
erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına
alınması gereken tedbirler arasında sayılmaktadır. Bu itibarla kişisel verilere uzaktan erişilmesi halinde
3. kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılması gerekli olup,
örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak crişim imkânı veren
sistemler tek kademeli doğrulama olarak belirlenirken, kişinin TC kimlik numarasının yanı sıra kişiye
özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu
ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir.
Kişisel Veri Güvenliği Rehberi'nin "Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi"
başlıklı 2.1 maddesinde de "Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu
tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya
çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru
bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken;
kKişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi
gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği
dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu
risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet,
uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler
planlanarak uygulamaya konulmalıdır." ifadelerine yer verilmektedir. Buna bağlı olarak kişilerin
bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski
önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların
uygulamaya konulması önem arz etmektedir.
Bu çerçevede belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb sayfalar
aracılığıyla çevrimiçi olarak sunmuş oldukları hizmetler kapsamında Kanunun 12 nci maddesinde yer
alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü
doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken
ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir
sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum
tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili
kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin
sunulmasının uygun olacağı değerlendirilmektedir.
Bu değerlendirmeler ışığında;
Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre
ya da çift faktörlü doğrulama kullanmak sureti ile Kanunun 12 nci maddesi kapsamında gerekli teknik
ve idari tedbirleri alması gerektiğine,
Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikayet/ihbarlar doğrultusunda
ilgili belediye hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği
hususunda kamuoyunun bilgilendirilmesine,
Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12 nci
maddesi kapsamında "üyelik ve şifre" ya da "çift faktörlü doğrulama" kullanılması gerektiği hususunda
Kanunun 15 inci maddesinin (6) numaralı fıkrası kapsamında İlke Kararı alınarak Resmi Gazetede ve
Kurumun internet sayfasında yayımlanmasına
oybirliği ile karar verilmiştir.