EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

"İki Faktörlü Kimlik Doğrulama" etiketli kararlar

2020/388

03/05/2022

Konu: Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılması

Kararı Paylaşın

Karar Özeti:

Kurul tarafından veri sorumlusu Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılmasına istinaden inceleme başlatılmıştır. KVKK madde 12’ye göre hazırlanan Kişisel Veri Güvenliği Rehberinde kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığına dikkat çekilmektedir. Bu sebeple de Kurul, çift faktörlü doğrulama için ilk doğrulamanın TC kimlik numarası, ad soyad, vergi numarası, sicil numarası gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon numarası, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağını değerlendirmiştir. Sonuç olarak belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak suretiyle Kanunun 12’nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

İlgili GDPR kararlarını görmek ister misin?

2021/671

06/07/2021

Konu: İlgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilmesi ve arama kaydının üçüncü kişilerle rızası dışında paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

İlgili GDPR kararlarını görmek ister misin?

2020/567

22/07/2020

Konu: Bir oyuncak şirketinin veri ihlal bildirimi.

Kararı Paylaşın

Karar Özeti:

Veri sorumlusu tarafından Kurul’a yapılan veri ihlalinde, kötü niyetli kullanıcılar tarafından başka internet sitelerinden elde edilen kullanıcı adı ve şifrelerin, veri sorumlusunun internet sitesinde yer alan üye girişi sekmesinde denenerek 29 adet müşterinin hesabına yetkisiz erişim gerçekleşmesi suretiyle, 29 müşteriye ait ad, soyadı, e-posta adresi, telefon numarası, kayıtlı adres, müşteri işlem kategorisindeki kişisel verilerinin elde belirtilmiştir. Kurul tarafından, veri sorumlusu tarafından veri güvenliğinin sağlanması amacıyla iki faktörlü kimlik doğrulama yönetimi kullanılmaması, yeni hesap açarken müşterilerin güçlü şifre oluşturması hususunda zorlanmadığı, veri sorumlusunun web uygulama güvenlik duvarının yetkisiz erişim işlemini tespit edememesi sebebiyle veri sorumlusunun uygulama güvenliğini sağlayamadığı sebebiyle KVKK’nın 12’nci maddesinin 1 numaralı fıkrası çerçevesinde veri güvenliğinin sağlamaya yönelik gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmiştir.

Ceza: 75.000,00-TL idari para cezası uygulanmasına karar verilmiştir.

İlgili GDPR kararlarını görmek ister misin?

Türkçe dilinde GDPR karar özetlerini görmek ister misin?