TC

                                                         KİŞİSEL VERİLERİ KORUMA KURUMU

İnceleme Dairesi Başkanlığı

Sayı       E-19462324-105.01.01

Konu • Belediyeler Tarafından Sunulan İntemet HİmnetIerİ 1--D

 

 

      Kurumuza iletilen çeşitli ihbarlarda  belediyelerin internet üzerinden emlak vergisi veya beyan bilgisini sorgulama sayfalarında sadece TC kimlik numarası girerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği İfade edilmiştir.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (Kanun) amacı, kişisel verilerin İşlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri İşleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olup Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.

Kanunun "Tanımlar” başlıklı 3 üncü maddesinde "ilgili kişi”nin, kişisel verisi işlenen gerçek kişiyi, "kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, "veri sorumlusu"nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, "kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla Cide edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandınlması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği belirtilmiştir.

Kanunun 12 nci maddesinin (I) nurnaralı fıkrası ise "Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.”

Kurumumuz "Kişisel Veri Güvenliği Rehberi”nde kişisel veri içeren sistemlere erişimin sınırlı olması gerektiği, kişilere yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınması ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanabileceği aynca uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanmasının önemli olduğu hususlarına yer verilmektedir.

Kanunun "Şikâyet Üzerine veya Resen İncelemenin Usul ve Esasları” başlıklı 15 inci maddesinin (l) numaralı fıkrası ise Kurulun, şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen, görev alanına giren konularda gerekli incelemeyi yapacağı hükmünü haizdir.

Kanunun 18 nci maddesinin 3 üncü fıkrasında Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesine yönelik eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceği hüküm altma alınmıştır.

Söz konusu ihbarlar çerçevesinde Kurumumuzca yapılan araştırmalarda bazı belediyeler tarafından sunulan emlak vergisi, beyan bilgisi veya benzeri nitelikteki hizmetlere ilişkin sorgulama sayfalarında yalnızca tek bir bilginin girilerek (ömeğin TC kimlik no, vergi no gibi) kişilerin borç ya da emlak bilgilerine erişim sağlanabildiğinin görüldüğü, bu kapsamda söz konusu uygulama yerine veri güvenliğini arttırmaya yönelik olarak gerekli idari ve teknik tedbirlerin alınması, bu bağlamda örneğin çift katmanlı doğrulamayı mümkün kılabilecek şekilde TC Kimlik numarası ya da vergi numarasının girilmesinin yanı sıra kişilerden farklı kişisel verilerin de talep edilebileceği, SMS ile doğrulama, üyelik yapılması gibi yöntemlerin seçilebileceği hususlarına değinilerek Çevre ve Şehircilik Bakanlığı Yerel Yönetimler Genel Müdürlüğü'nden bilgi talep edilmiştir.

Çevre ve Şehircilik Bakanlığı Yerel Yönetimler Genel Müdürlüğü'nden alınan yazıda, 81 il valiliğine iletilen 03.02.2020 tarihli yazı ile söz konusu husus hakkında gerekli bilgilendimelerin ve denetimlerin yapılması talimatı verildiği ifade edilmiştir. Bu çerçevede yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulu (Kurul) tarafından alman 25/02/2021 tarih ve 2021/140 sayılı Kararla ' bazı belediyeler tarafından internet üzerinden verilen vergi ödeme hizmetlerinin üyelik ve şifre ya da çift doğrulama yolu ile sisteme giriş yapılması sureti ile gerçekleştirildiği ve bu uygulamaların Kanuna uygun olduğu, ancak bazı belediyeler  tarafından sunulan hızlı sorgulama ya da borç ödeme uygulamalarında sadece tek bir bilgi girilerek kişilerin borç bilgisine ulaşılabildiği; her ne kadar kişiye ait isim ya da mülke ilişkin bilgilere erişim mümkün olmasa da borca ilişkin bilgiye erişim sağlanabildiği anlaşılmış olup, bu durumun Kanunun 12 nci maddesinin I numaralı fıkasmın (b) bendinde yer alan kişisel verilere hukuka aykırı olarak erişilmesini önlemek hükmüne aylan olduğu... ” değerlendirmelerinden hareketle söz konusu uygulamaları yürüten belediyelerin bu yazı tarihinden itibaren 3 ay içerisinde bu uygulamaları sonlandırmaları ve Kanuna aykırı veri işleme faaliyetlerini durdurmalarına karar verilmiş olup, Kanuna aykırı veri işleme faaliyetini sürdüren Belediyeler hakkında Kanunun 18 inci maddesi kapsamında idari işlem uygulanacağının hatırlatılmasında fayda görülmektedir.

Bilgilerini/gereğini arz/rica ederim.

e-imzalıdır

Prof. Dr. Faruk BİLİR

Başkan