Kişisel Verileri Koruma Kurulu, Kimlik Numarası ile Ödeme/ Borç Sorgulama Hizmetlerinin Kullanılmasına Dair İhlal Kararı Verdi
Özet
Kişisel Verileri Koruma Kurulu (“Kurul”), 29 Nisan 2022 tarihli Resmi Gazete’de yayımlanan 21.04.2022 tarihli ve 2022/388 numaralı kararı ile (“Karar”) belediyelerin vatandaşlara internet siteleri üzerinden sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca T.C. kimlik numarasının girilmesi suretiyle vatandaşların emlak bilgilerine ulaşılmasını 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (“KVKK”) aykırı bulmuştur.
Kişisel Verileri Koruma Kurumu (“Kurum”), çeşitli belediyelerin vatandaşların kullanımına sunmuş olduğu çevrimiçi (online) emlak vergisi ödeme ve borç sorgulama hizmetlerinden faydalanmak için ekrana yalnızca T.C. kimlik numaralarının sisteme girilmesi ile ilgili olarak gelen ihbarlar üzerine kişisel verilerin korunması açısından soruşturma başlatmıştır.
Kurul, veri sorumlularının KVKK md. 12 uyarınca kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak ve Kurum tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’ne (“Rehber”) uygun hareket etmek zorunda olduğu ifade edilmiştir. Rehber’in “Teknik ve İdari Tedbirler” başlıklı kısmında kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması gerektiği belirtilmiştir. İki kademeli kimlik doğrulama kontrolü, kullanıcının T.C. kimlik numarası veya doğum günü gibi bilgilerine ek olarak, kullanıcıya özel oluşturulmuş şifre veya kullanıcının telefon numarasına iletilen SMS kodu ile giriş yapılması ile gerçekleştirilebilir.
Kurul, somut olayda tek kademeli doğrulama sisteminin uygulandığını ve dolaysıyla gerekli teknik ve idari tedbirlerin alınmadığını tespit etmiştir.
Bu kapsamda, belediyelerin emlak vergisi ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile KVKK md. 12 kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine ve söz konusu önlemleri almayan belediyeler hakkında KVKK md. 18 uyarınca idari para cezası uygulanmasına karar vermiştir.
Sonuç
Kurul söz konusu karar ile veri sorumlularının alması gereken teknik ve idari tedbirlere ilişkin çift faktörlü kimlik doğrulama sistemini önerirken aynı zamanda teknik ve idari tedbirlere ilişkin kaynakların da altını çizmiştir.
Kararın yayımlandığı Resmî Gazete’ye buradan ve Kişisel Veri Güvenliği Rehberi’ne buradan ulaşabilirsiniz.
