KİŞİSEL VERİLERİ KORUMA KURULU’DAN ÜYELİK VE ŞİFRE YA DA İKİ KADEMELİ KİMLİK DOĞRULAMA KONTROLÜNÜN UYGULANMASI İLE İLGİLİ İLKE KARARI

Kişisel Verileri Koruma Kurulu’nun (“Kurul”), belediyelerin internet üzerinden sunduğu ödeme ve borç sorgulama hizmetlerinde çift kademeli doğrulama sistemlerini kullanması gerektiği yönündeki 21/04/2022 tarihli ve 2022/388 sayılı “Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında İlke Kararı” 29 Nisan 2022 tarih ve 31824 sayılı Resmi Gazete yayınlandı.

Bilindiği üzere ilke kararları, Kişisel Verileri Koruma Kanunu (“Kanun”) madde 15 (6) hükmü kapsamında şikayet üzerine veya resen yapılan inceleme sonucunda, inceleme konusu ihlalin yaygın olduğunun tespiti halinde alınmakta ve yayımlanmaktadır. İlke kararları, Kurul’un karar konusu olaya yaklaşımını ve sonraki inceleme ve şikayetlerdeki tutumunu göstereceği için tüm ilgililer açısından uyulması son derece önemli hukuki metinlerdir. Ayrıca, ilke kararları kişisel verilerin korunmasına ilişkin mevzuatın uygulamasının yeknesaklaştırılması açısından da son derece önem arz etmektedir.

Bahsi geçen ilke kararı Kurul’a intikal eden ihbarlar üzerine alınmıştır. İhbarlarda, belediyelerin vatandaşlara çevrim içi olarak sunduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında sadece T.C. kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği belirtilmiş ve bu durumun Kanun kapsamında incelenmesi talep edilmiştir.

İlke kararında,

• Kanun’un maddesinde yer alan veri sorumlularının veri güvenliğine ilişkin yükümlülükleri ve Kişisel Veri Güvenliği Rehberi’nde (Teknik ve İdari Tedbirler) yer alan tedbirler hatırlatılmıştır ve
• madde 12 kapsamında yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla, çift faktörlü doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken; ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı

değerlendirilmiştir.

Yapılan bu değerlendirmelerin sonucunda Kurul, belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak suretiyle gerekli teknik ve idari tedbirleri alması konusunda oy birliğiyle ilke kararı almıştır. Ayrıca bahsedilen bu önlemleri almayan belediyeler hakkında, şikayet/ihbarlar doğrultusunda, Kanun’un 18. maddesine göre işlem yapılacağı konusunda kamuoyu bilgilendirilmiştir.

2022/388 sayılı ilke kararı her ne kadar belediyelerin çevrimiçi sunduğu hizmetlere dair yapılan ihbarlar üzerine alınmış bir karar olsa da, kişisel verilere uzaktan erişilmesi halinde alınması gerekli bir teknik tedbir olarak iki kademeli kimlik doğrulama kontrolünün uygulanması açısından, doğru uygulamaları net olarak ortaya koyması nedeniyle tüm veri sorumluları tarafından dikkate alınmalıdır.