EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

Belediye sektörü ile ilgili kararlar

2020/388

03/05/2022
Konu: Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılması

Kararı Paylaşın

Karar Özeti:

Kurul tarafından veri sorumlusu Belediyelerin çevrimiçi olarak sunduğu emlak vergisi ödeme/ hızlı ödeme veya borç sorgulama sayfalarında yalnıza TC kimlik numarası girilerek vatandaşın emlak bilgisine ulaşılmasına istinaden inceleme başlatılmıştır. KVKK madde 12’ye göre hazırlanan Kişisel Veri Güvenliği Rehberinde kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayıldığına dikkat çekilmektedir. Bu sebeple de Kurul, çift faktörlü doğrulama için ilk doğrulamanın TC kimlik numarası, ad soyad, vergi numarası, sicil numarası gibi verilerle yapılırken ikincil düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon numarası, doğum tarihi, anne baba adı, sicil no gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağını değerlendirmiştir. Sonuç olarak belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak suretiyle Kanunun 12’nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine karar vermiştir.

Ceza: İdari para cezası verilmemiştir.

PS/00224/2021

13/01/2022
Konu: Veri sorumlusunun veri minimizasyonu ilkesini dikkate almaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi tarafından alınan başvuruda belediyenin taktırdığı halka açık otoyola dönük olan iki kameranın bilgilendirmesini içeren posterlerin yeterince açıklayıcı olmadığı sebebiyle araştırma başlatıldı. İnceleme sonucunda kameraları haklı bir neden olmaksızın kamuya açık alanları kaydetmek için kasıtlı veya ihmalkar bir şekilde konumlandırarak ve bu nedenle tanımlanabilir verileri işleyerek belediyenin birtakım ihlaller yaptığı kanısında bulunuldu. Bu nedenle, 1500 EURO para cezasının yanında kameraları GDPR’a uymaları için hareket ettirmelerini emredildi.

Ceza: 1.500 EURO ceza verildi.

PS/00314/2021

04/10/2021
Konu: Veri sorumlusunun veri koruma güvenliğinin (DPO) olmaması

Kararı Paylaşın

Karar Özeti:

Veri Koruma Otoritesi’ne gelen bildiriye göre; belediye, bir DPO’dan yoksundur. Verilerin korunmasının güvenliği ile ilgili olan görevleri önce geçici olarak belirli bir kişiye verildi, ancak daha sonra tamamen yerine getirilmeleri durduruldu. Veri koruma otoritesi, veri sorumlusunun GDPR Madde 37’nin gerektirdiği şekilde bir DPO’ya sahip olmadığını tespit etti. Bunun üzerine AEPD belediyeyi kınadı.

Ceza: Herhangi bir cezai yaptırım uygulanmamıştır.

PS/00347/2020

11/05/2021
Konu: Veri sorumlusunun gizlilik ilkesini ihlal etmesi

Kararı Paylaşın

Karar Özeti:

İlgili kişi, kendi kişisel verilerini içeren bir kamu hibesiyle bir belge yayınladıklarını iddia ederek, bir Belediye Meclisine karşı Veri Koruma Otoritesi’ne şikayette bulundu.Konsey, tüzüklerine uygun olarak, hibe prosedüründeki diğer katılımcıların verileri karşılaştırabilmeleri için bu tür verileri yayınlamak zorunda olduklarını iddia etti. Ancak, veri koruma otoritesinin bu tür bir işlemenin yasa dışı olduğuna karar vermesi halinde tüzüğü değiştirmeye istekli olduklarını beyan ettiler. Yapılan inceleme sonucunda hibelerle ilgili verilerin yayınlanmasının, yargılamanın doğası ve ilgili usule ilişkin hususlar ve Şeffaflık Yasası tarafından gerekçelendirilse bile, veri koruma ilkelerine göre yapılması gerektiği sonucuna varılmıştır. Bu nedenle minimizasyon ilkesi uygulanmakta olup, kişisel kimlik gibi veriler hibe prosedürüne herhangi bir gerekli bilgiyi eklemediğinden yayınlanmaması kanısına varışmıştır.

Ceza: Herhangi bir cezai yaptırım uygulanmamıştır.

2020/915

01/12/2020
Konu: Belediyede memur olarak görev yapan ilgili kişinin, veri sorumlusu bünyesinde işe giriş çıkış takibinin biyometrik veri işlenerek yapılması hakkında.

Kararı Paylaşın

Karar Özeti:

Karara konu olayda ilgili kişi tarafından veri sorumlusu bünyesinde 657 sayılı Devlet Memurları Kanunu kapsamında çalışan memur olduğu, veri sorumlusu bünyesinde personel giriş çıkışlarının takibi için parmak izi okuma cihazları ile kişisel verilerinin, her personel için parmak izi bilgilerinin alındığı ve sisteme tanıtıldığı, bu konudaki uygulama için kendisine ait olan parmak izi bilgilerinin veri sorumlusunun kayıt sisteminden, kağıt ortamından ve elektronik ortamdan silinmesi ve kendisine bilgi verilmesi talebiyle veri sorumlusuna başvuru yaptığı; kendisine verilen cevapta sistemlerinden bu bilgilerin silinemeyeceğinin beyan edildiği, parmak izi bilgilerinin onayı olmadan işlenemeyeceği ve resmi başvuru yapmasına rağmen verilerinin silinmesi isteğinin kabul edilmediği belirtilmiştir. Kurulun yapmış olduğu inceleme sonucunda, parmak izi verisi ile belediye binasına giriş yapmanın ölçüsüz bir tedbir olduğuna karar verilmiş, veri sorumlusu belediye, parmak izlerini imha etmesi ve kuruma bildirmesi konusunda talimatlandırılmıştır.

Ceza: İdari para cezası verilmemiştir.