KVKK – Kamuoyu Duyurusu Belediyeler
Kurumumuza iletilen çeşitli ihbarlarda belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında yalnızca TC kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilmiş, konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.
Söz konusu talepler kapsamında Kişisel Verileri Koruma Kurulu (Kurul) tarafından alınan 25/02/2021 tarih ve 2021/140 sayılı Karar ile “…bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiği anlaşılmış olup, bu durumun Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı olduğu değerlendirilmekle birlikte bahse konu uygulamalara ilişkin olarak belirli bir belediye hakkında Kurumumuza iletilmiş herhangi bir şikayet bulunmadığı dikkate alındığında bir hak mahrumiyetinin oluşmadığı, ancak Kanuna aykırı uygulamaların devam ediyor olması nedeniyle konu hakkında Çevre ve Şehircilik Bakanlığına ve Türkiye Belediyeler Birliğine bilgi verilmesine
– Diğer taraftan Belediyelerce sunulan söz konusu uygulamaların yeniden düzenlenmesi hususunda Belediyelere 3 (üç) ay süre verilmesine ve Kanunun 18 inci maddesinde yer alan yaptırımlara ilişkin hükümlerin Belediyelere hatırlatılmasına…”
karar verilmiştir. İlgili Karar kapsamında 09.04.2021 tarih ve 52863 sayılı yazımız ile tüm büyükşehir belediyelerine, il belediyelerine, ilçe belediyelerine ve belde belediyelerine “söz konusu uygulamaları yürüten belediyelerin bu yazı tarihinden itibaren 3 ay içerisinde bu uygulamaları sonlandırmaları ve Kanuna aykırı veri işleme faaliyetlerini durdurmalarına” karar verildiği, “Kanuna aykırı veri işleme faaliyetini sürdüren Belediyeler hakkında Kanunun 18 inci maddesi kapsamında idari işlem uygulanacağı” hususları iletilmiştir.
Bilindiği üzere, Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kapsamında kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir. Bu kapsamda başkalarının kolayca ulaşabileceği örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademeli doğrulama olarak kabul edilirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir. Bu çerçevede 1398 adet büyükşehir belediyesi ile bağlı ilçeleri, il belediyeleri ile bağlı ilçe ve belde belediyelerinin internet siteleri üzerinden verdikleri emlak vergisi borç sorgulama ve ödeme-hızlı ödeme sistemlerinde yapılan incelemede çift faktörlü doğrulamaya bakılırken ilk doğrulamanın TC kimlik no, ad soyad, vergi no gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş üyelik, SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilip gerçekleştirilmediği, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemlerin varlığı incelenmiştir.
Kurulun 25.02.2021 tarih ve 2021/140 sayılı Kararı ile belirlenen 3 aylık sürenin dolmasını müteakip yapılan inceleme neticesinde Kurulun 21.10.2021 tarih ve 1077 sayılı Kararı ile Belediyelere iletilen yazılar uyarınca bazı belediyelerin gerekli değişiklikleri yaptığı, ancak birçok Belediyenin ilgili Karar çerçevesinde gerekli güvenlik tedbirlerini almadığı ve halihazırda emlak vergisi borç sorgulama ve ödeme hizmetleri sunumunda “tek faktörlü doğrulama” uyguladığı tespit edilmiş olup, Kanunun 12 nci maddesinin 1 numaralı fıkrasının (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aykırı uygulamalara devam ettiği anlaşılan belediyeler ile ilgili olarak 25.02.2021 tarih ve 2021/140 sayılı Kurul Kararının gereğinin yerine getirilmediği değerlendirmesinden hareketle bahse konu aykırılığa sebebiyet verenler hakkında Kanunun 18 inci maddesinin (3) numaralı fıkrası kapsamında disiplin hükümlerine göre işlem yapılması ve sonucundan Kurula bilgi verilmesi hususunda ilgili belediyelerin talimatlandırılmasına karar verilmiştir.
Kamuoyuna saygıyla duyurulur.
Kaynak: KVKK