Belediyeler Tarafından Sunulan İnternet Hizmetlerine İlişkin KVKK Kararı
Temmuz 2021
Belediyeler Tarafından Sunulan İnternet Hizmetlerine ilişkin KVKK Kararı
- Karar Tarihi: 25.02.2021
- Karar Numarası: 2021/140
- Yayın Tarihi: 18.05.2021
İnceleme Konusu: Belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılması hususu.
İncelemenin Başlatılmasının Sebebi: Kişisel Verileri Koruma Kuruma’na gönderilen ve konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında incelenmesi talep eden ihbarlar.
Tespit: Bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiğinin anlaşıldığı, bu durumun Kanun’un 12. maddesinin 1 numaralı fıkrasının (b) bendinde yer alan hükme aykırı olduğu tespit edilmiştir.
Karar:
(1) Bazı belediyelerin bu yöndeki Kanuna aykırı uygulamaları nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığına ve Türkiye Belediyeler Birliğine bilgi verilmesine,
(2) Yalnızca tek bir bilginin girilerek (örneğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanmasına yönelik uygulamalar yerine belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması,
(3) Bu bağlamda örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilmesi, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilmesi, ve
(4) Bu itibarla belediyelerin hizmet sunma yöntemlerinin kişisel verilerin korunması mevzuatı çerçevesinde yeniden değerlendirilerek gerekli önlemlerin alınması hususunda Belediyelerin talimatlandırılmasına karar verilmiştir.
Kararda Atıf Yapılan Düzenlemeler:
- KVKK, MADDE 12-(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
- KVKK, MADDE 12-(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
- KVKK, MADDE 12-(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.
- Kişisel Veri Güvenliği Rehberi: Sınırlı erişim, kullanıcı adı-şifre kullanılması, iki kademeli kimlik doğrulama tedbirleri.
Karar linkine buradan ulaşabilirsiniz.