Araç Kİralama Sektöründe Kullanılan Kara Lİste Uygulamaları Hakkİnda KVK Kurulu İlke Kararı
21 February 2022
Türk Parası Kıymetİnİ Koruma Hakkındakİ 32 Sayılı Karara İlİşkİn Teblİğ’de Değİşİklİk
11 May 2022
Kişisel Verileri Koruma Kurulu’nun (Kurul) 21 Nisan 2022 tarih ve 2022/388 numaralı kararı, 29 Nisan 2022 tarihli Resmî Gazetede yayınlanmıştır. Karar metnine buradan ulaşabilirsiniz.
Kararın Konusu
Gelen ihbarlar üzerine Kurul tarafından yapılan incelemeler sonucunda, bazı belediyelerin web sitelerinde yer alan çevrimiçi emlak vergisi ödeme/hızlı ödeme/borç sorgulama sayfalarında, sadece T.C. kimlik numarası yazılarak kişilerin emlak bilgilerine herkes tarafından ulaşılabildiği anlaşılmıştır. Karar, bu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) uygun olup olmadığına ilişkindir.
İlgili Düzenlemeler
KVKK’nın 12. maddesinde veri sorumlusunun veri güvenliğine ilişkin yükümlülükleri düzenlenmiştir. Bu yükümlülükler arasında kişisel verilere hukuka aykırı erişimin önlenmesi ve kişisel verilerin KVKK’ya aykırı olarak üçüncü kişilere açıklanmaması yer almaktadır.
Bu genel yükümlülüklere ek olarak Kişisel Verileri Koruma Kurumu, uygulamaya açıklık getirmek amacıyla kişisel veriler işlenirken dikkate alınması gereken teknik ve idari tedbirlere dair bir Kişisel Veri Güvenliği Rehberi de yayınlamıştır. Bu rehberde çift faktörlü kimlik doğrulaması, kişisel verilerin güvenliğinin sağlanabilmesi için alınması gereken teknik tedbirler arasında sayılmıştır.
Kurulun Değerlendirmesi
Kurul, bu ilke kararında kişisel verilere uzaktan erişilmesi halinde 3. kişilerin kolayca ulaşamayacağı şekilde, iki aşamalı bir sorgulama sistemi kullanılmasının gerekli olduğunu belirtmiştir.
Bu çerçevede Kurul, kişinin TC kimlik numarası ve doğum günü sorgulanarak erişim imkânı veren sistemleri tek faktörlü doğrulama, kişinin TC kimlik numarasının yanı sıra, kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemleri ise çift faktörlü doğrulama olarak kabul etmiştir.
Kurul kararında çift faktörlü doğrulamanın nasıl yapılması gerektiğini detaylı olarak açıklamıştır:
• İlk doğrulama TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılmalıdır.
• İkinci doğrulama ise, kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmelidir.
İlke kararına konu olayda Kurul, ikinci doğrulamada, kişiye ait başkalarının da erişebileceği telefon no, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine, sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler kullanılmasının, ya da ilgili hizmetlerin üyelik sistemi ile sunulmasının uygun olacağını belirtmiştir.
Bu çerçevede Kurul, bazı belediyelerce sunulan tek faktörlü çevrimiçi ödeme/borç sorgulama hizmetlerine ilişkin olarak;
• Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile Kanunun 12. maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiği,
• Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikâyet/ihbarlar doğrultusunda, ilgili belediye hakkında Kanun’un 18. maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesi,
• Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12. maddesi kapsamında “üyelik ve şifre” ya da “çift faktörlü doğrulama” kullanılması gerektiği
hususunda İlke Kararı alınarak Resmî Gazetede ve Kurumun internet sayfasında yayımlanmasına oybirliği ile karar vermiştir.
Kararın Önemi
Çift faktörlü doğrulama sistemleri, Kişisel Verileri Koruma Kurumunun yayınlamış olduğu ve bu ilke kararında da atıf yapılan Kişisel Veri Güvenliği Rehberi’nde, esasen “bulutta depolanan kişisel veriler” yönünden gerekli bir teknik tedbir olarak belirtilmiştir.
Ancak Kurul bu ilke kararında, çift faktörlü doğrulama sistemlerinin yalnızca bulutta depolanan veriler için değil, uzaktan erişim sağlanan tüm kişisel veriler için kullanılması gereken bir yöntem olduğunu belirtmiştir.
Bu çerçevede, çift faktörlü kimlik doğrulama sistemlerinin, uzaktan erişim sağlanan tüm kişisel verilerin güvenliği için uygulamada çok daha sık başvurulması gereken bir tedbir olarak değerlendirilebileceği söylenebilir.
