Kişisel Verileri Koruma Kurulu’nun 21.04.2022 tarihli ve 2022/388 sayılı Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında ilke kararı 29.04.2022 tarihinde Resmi Gazete’de yayımlandı.
Belediyelerin çevrimiçi ortamda sunduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında TC kimlik numarasının girilmesi ve bu şekilde kişilerin emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun yarattığı gerekçesiyle Kurum’a ihbarda bulunulmuştur.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında, veri sorumluları kişisel verilerin işlenmesi sırasında teknik ve idari tedbirleri alması gerekmektedir. Bu konuda uygulamada açıklık sağlanması amacıyla Kişisel Verileri Koruma Kurulu tarafından ‘‘Kişisel Veri Güvenliği Rehberi’’ hazırlanmıştır. Bu rehber’de kişisel verilere uzaktan erişim sağlandığında iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayılmıştır. Dolayısıyla kişisel verilere uzaktan erişim sağlandığında üçüncü kişilerin kolayca ulaşamaması için iki aşamadan oluşan bir sistemin kullanılması gerekmektedir. İlgili kişinin TC kimlik numarasının yanında kişiye özel oluşturulan şifre veya kişinin telefon numarasına iletilen SMS kodu ile erişim sağlaması iki kademeli doğrulama sistemlerine örnek gösterilebilir.
Kişisel Veri Güvenliği Rehberi’nde veri sorumlusunun kişisel verilerin güvenliğini sağlaması için ortaya çıkabilecek riskleri belirlemesi ve buna uygun teknik ve idari tedbirler alması gerektiği belirtilmiştir. Buna göre, kişisel verilere kolay erişim riskini barındıran tek kademeli doğrulama sistemlerinin yerine riski azaltacak ya da ortadan kaldıracak iki kademeli doğrulama sistemlerinin kullanılması gerekmektedir.
Bu bilgiler doğrultusunda, belediyelerin çevrimiçi ortamda sunduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb. sayfalarda Kanunun 12.maddesi uyarınca gerekli yükümlülüklerin yerine getirilmesi ve veri ihlalinin önlenmesi amacıyla iki kademeli doğrulama sistemi için ilk doğrulama TC kimlik numarası, ad soyad, vergi ve sicil numarası gibi verilerle yapılmalıdır. İkinci doğrulama ise telefona iletilen SMS kodu ya da e-postaya iletilen şifre gibi tamamen kişiye özel oluşturulmuş olmalıdır.
Kişisel Verileri Koruma Kurul’u yaptığı değerlendirmede;
- Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da iki kademeli doğrulama sistemi kullanarak Kanunun 12.maddesi gereğince teknik ve idari tedbirleri alması gerektiğine,
- Bu önlemleri almayan belediyeler hakkında iletilecek şikayetler doğrultusunda ilgili belediye hakkında Kanunun 18.maddesi gereğince işlem yapılacağı konusunda kamuoyunun bilgilendirilmesine,
- Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12.maddesi gereğince iki kademeli doğrulama sisteminin kullanılması konusunda İlke Kararı alınmasına ve bu kararın Resmi Gazete’de ve Kurum’un internet sayfasında yayımlanmasına karar vermiştir.