21.04.2020 tarihinde Kurul tarafından verilmiş konu hakkında ilke kararı bulunmaktadır. Söz konusu kurul tarafından 2022/388 Karar numaralı vermiş olduğu karar ilke kararı olup söz konusu kararın oluşmasına neden ise Kurum’ a iletilmiş olan çeşitli ihbarlar sebebiyle belediyelerin çevirimiçi olarak sunmuş oldukları emlak vergisi ödeme/ hızlı ödeme veya veya borç sorgulama sayfalarında yalnızca T.C. kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşmasının KVKK açısından sorun teşkil etmiş olduğu ifade edilerek, konunun 6698 sayılı Kanun kapsamında incelenmesi yönünde talepte bulunulmuştur.
6698 sayılı kanunun 12/1’ de Veri sorumlusu; (a)Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, (b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, (c)Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır,” demektedir. Yine aynı maddenin 4. Fıkrası da “Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder” demiştir. 5 numaralı fıkrasında ise “işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği” hükümlerine yer verilmiştir[1].
Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından hazırlanarak Kurum internet sayfasında yayımlanmış olan Kişisel Veri Güvenliği Rehberinde (Teknik ve İdari Tedbirler) kişisel verilere gerekli gördüğü durumlarda uzaktan erişilmesi durumunda iki kademeli kimlik doğrulama kontrolünün yapılması güvenliğin sağlanması için alınması gereken tedbirler arasında sayılmaktadır. Bu nedenlerle kişisel verilere uzaktan erişilmiş olması halinde 3. kişilerin rahatlıkla ulaşamayacağı biçimde iki aşamalı sorgulama sistemi kullanılması gerekmekte olup, örneğin sadece kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı sunan sistemler tek kademeli doğrulama sistemi olarak belirlenirken, kişinin TC kimlik numarasının dışında ayrıca kişiye özel oluşturulmuş şifre ya da kişinin daha öncesinde bildirmiş olduğu telefon numarasına iletilen kısa mesaj kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir.
Kurul tarafından kurulun resmi web sitesinde yayınlanmış olan[2] Veri Güvenliği Rehberinin ( Teknik ve İdari Tedbirler) Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi” başlıklı 2.1 maddesinde de “Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır.” demektedir. Bu nedenle kişilerin bilgilerine kolayca ulaşılabilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine ulaşılabilirliği önemli ölçüde azaltacak ya da bu durumu ortadan kaldıracak oluşturulacak iki faktörlü doğrulama metoduyla sorgulamaların uygulanmaya konulması önemlidir.
Bu nedenlerden dolayı belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama gibi verilen çevrimiçi olarak sunulmuş olan hizmetler kapsamında 6698 sayılı Kanunun 12 nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve oluşacak olan bir veri ihlalinin önlenmesi amacıyla; çift aşamalı doğrulama için ilk doğrulamanın TC kimlik no, ad soyad, vergi no, sicil no gibi verilerle yapılırken ikincil nitelikteki doğrulamanın ise kişiye özel oluşturulmuş kısa mesaj yahut kişi tarafından bildirilmiş olan elektronik postaya iletilecek bir şifre ile doğrulanması gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği bilgiler yerine sadece o kişinin özel olarak belirleyeceği ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı Kurul tarafından değerlendirilmektedir.
Yukarıda belirtilmiş olan ve kurul tarafından gereksei ile açıklanmış olan ilk kararı oybirliği ile alınmış olup ilgili Kanunun 15/6 kapsamı çerçevesinde 29.04.2022 tarihinde 31824 sayılı Resmi Gazetede ve Kuruma ait resmi web sitesinde yayımlanması yönünden de karar alınmış ve ilan edilmiştir[3].
[1] https://www.sinerjimevzuat.com.tr/
[2] https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf
[3] https://www.kvkk.gov.tr/Icerik/7252/2022-388