top of page

Belediyelerin Ödeme ve Borç Sorgulama Hizmetleri Hakkında KVKK'nın İlke Kararı

Kişisel Verileri Koruma Kurulu (“Kurul”) Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında 21/04/2022 Tarihli ve 2022/388 sayılı İlke Kararı (“Karar”)’nı yayınlanmış olup karara ilişkin detaylar aşağıda bilginize sunulmuştur.


Öncelikle Kurul’a, Belediyelerin sunduğu emlak vergisi ödeme, hızlı ödeme ve borç sorgulama hizmetlerinde tek kademeli doğrulama olması sebebiyle kişisel verilerin korunması açısından sorun teşkil edildiğine ilişkin ihbarlar gelmiş, Kurulca konunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında incelenmesi talep edilmiştir.


Kurul, ilke kararında Kanun’un 12. Maddesine atıf yaparak, veri sorumlularının yükümlülüklerine değinmiş ve işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde Kurul’a bildirilme zorunluluğunu belirtmiştir.


Bu kapsamda, kişisel verileri işleyen veri sorumlusunun alması gereken idari ve teknik tedbirlere ilişkin yayınlanan Kişisel Veri Güvenliği Rehberi’ne atıf yapılmıştır. İhbara konu ihlalde veri sorumlusu konumunda olan belediyelerin internet sitelerinde, vatandaşların vergi ödeme ve borç sorgulama amacıyla sisteme girmeleri halinde yalnızca T.C. kimlik numarasının yazılması ile ilgili T.C. kimlik numarası sahibinin emlak bilgilerine kolayca ulaşılmaktadır. Bu kapsamda tek kademeli olarak sorgulama yapılması suretiyle bilgilere ulaşılması veri sahiplerinin veri güvenliklerinin ihlaline sebebiyet vermektedir.


Kurul’un, Kişisel Veri Güvenliği Rehberi kapsamında da belirttiği üzere kişisel verilere uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kişisel veri güvenliğinin sağlanması adına gerekli önlemler kapsamındadır.


Örnek olarak, veri sahiplerinin üçüncü kişiler tarafından erişilmesi mümkün T.C. kimlik numarası ile doğum bilgisinin birlikte istenmesi iki kademeli kimlik doğrulama sayılmamakta, T.C. kimlik numarası ve şifre ya da kişiye ait telefona ve maile gönderilen tek kullanımlık şifrelerin birlikte talep edilmesi iki kademeli kimlik doğrulama sayılmaktadır. Dolayısıyla, Kurul tarafından kişilerin bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların uygulamaya konulması gerektiği belirtilmiştir.


Sonuç olarak;


·Belediyelerin ilgili borç sorgulama ve ödeme hizmetleri için üyelik ve şifre veya çift faktörlü doğrulama kullanmak suretiyle gerekli teknik ve idari tedbirleri alması gerektiği,

·Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikâyet ve ihbarlar doğrultusunda ilgili belediye hakkında Kanunun 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceğine,

karar verilmiştir.


İlke kararın tamamına aşağıdaki linkten ulaşabilirsiniz:


Son Yazılar

Hepsini Gör

Comments


bottom of page