Kişisel Verileri Koruma Kurumundan Belediyelere Yönelik İlke Kararı
Kurul 21 Nisan 2022 tarih ve 2022/388 Karar no’lu ilke kararı Resmi Gazete’de yayınlanmıştır. Bu ilke karar belediyelerin ödeme ve borç sorgulama hizmetleri hakkında vermiş olduğu bir ilke karar olarak karşımıza çıkmaktadır.
Kararı incelediğimizde Kurul belediyelere ödeme ve borç sorgulama hizmetleri sırasında vatandaşların kişisel verilerinin korunmasına ilişkin dikkat etmesi gereken hususlara değinmiştir. Kurul, belediyelerin online olarak sundukları emlak vergisi sorgulama, ödeme gibi sayfalarda vatandaşlardan sadece TC kimlik numarası bilgilerini girmesini isteyerek sisteme giriş yapmalarını sağlaması halinde emlak bilgilerinin kolayca ulaşılmasının sorun teşkil edeceği yönünde kişilerden çokça şikayet aldığından dolayı bu ilke kararı yayınlama zorunluluğunun doğduğunu belirtmiştir.
Belediyeler birer kamu tüzel kişisi oldukları için KVKK kapsamında veri sorumlusudur. Veri sorumlularının yükümlülükleri Kanun’un 12. Md belirtilmiştir. Bu yükümlülüklerden biri de kişisel verilerin muhafazasını sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almaktır. Veri sorumluları ve veri işleyenler kişisel verileri işleme faaliyeti sırasında öğrendikleri bilgileri muhafaza etmek ve bunu bir başka 3. Şahısla paylaşmamaları gerekir. Bunun için de gerekli dikkat ve özeni göstermeleri gerekir. Şayet bir veri ihlali olması halinde bunu Kanunda belirtilen sürede Kurul’a bildirmeli ve kişilere veri ihlalini duyurmalıdır. Veri sorumluları herhangi bir veri ihlali ile karşı karşıya kalmamaları adına gerekli teknik ve idari tedbirleri almaları önem arz edecektir.
Kurul Başkanı Bilir’in de ifade ettiği gibi ‘ küçük ihmaller, büyük ihlallere neden olabilir.’ Bu nedenle gerçek ve tüzel kişilerin güçlü parola oluşturmaları, kullanıcı kimliklerinin doğrulanması son derece önem arz etmektedir. Alınacak önlemlerle büyük mağduriyetlerin yaşanmasının önüne geçilmiş olacaktır.
Kurul ilke kararında da özellikle iki kademeli kimlik doğrulama kontrolünün uygulanmasının öneminden bahsetmiştir. Belediyelerin de sadece TC kimlik numarası ve doğum günü bilgisinin sorgulanarak sisteme ulaşılmasının sağlanmasının tek kademeli doğrulama yöntemi olduğuna, bunun yerine çift kademeli doğrulama yönteminin kullanılmasının daha güvenli olacağını belirtmiştir. TC kimlik numarası yanında kişiye özel oluşturulmuş şifre veya telefona iletilecek SMS kodunun girilmesi ile erişimin sağlanacağı çift kademeli sistemin tercih edilmesinin gerektiğinden bahsetmiştir. Böylece kişisel verilerin haksız şekilde ele geçirilme riski çift kademeli doğrulama yöntemiyle büyük ölçüde azaltılmış olacaktır.
Kısaca özetlemek gerekirse Kurul, belediyeler tarafından emlak vergisi ödeme ve borç sorgulama gibi sayfalara ulaşılmasında belediyelerin veri sorumlusu olarak verilerin korunmasına ilişkin gerekli teknik ve idari tedbirlerin alınması gerektiğine, üyelik ve şifre veya çift kademeli doğrulama yönteminin kullanılması gerektiğine, gerekli önlemleri almayan belediyeler hakkında şikayet doğrultusunda Kanun’un 18. Md. gereği işlem tesis edileceği bilgisini vermiştir.
Ayrıca BA Teknoloji olarak başta belediyeler olmak üzere tüm veri sorumlularına kişisel verilerin korunmasına ilişkin teknik tedbirlere ilişkin blog yazımızı okumalarını tavsiye ediyoruz. Buradan ulaşabilirsiniz.