28 Nisan 2022 Resmi Gazete yayınlanan Kurul Kararına Uygun. E-belediye hizmetleri KVKK rızaları (onam) SMS + 5070 sayılı e-imza arşiv saklama modülü Yazılımı. + İYS sistemi
Aşağıda yer alan kurul kararı için KVVK yazılım paketlerimizin özellik ve fiyatlarını yine aynı sayfa içinde bulabilirsiniz;
29 Nisan 2022 CUMA Resmî Gazete Sayı: 31824
KURUL KARARI
Kişisel Verileri Koruma Kurumundan:
KARAR
Karar Tarihi: 21/04/2022
Karar No: 2022/388
Toplantı Sıra Sayısı: 2022/14
Konu Özeti: Belediyelerin ödeme ve borç sorgulama hizmetleri hakkında İlke Kararı
--------------------------------------------------------------------------------------------
Kişisel Verileri Koruma Kurumuna iletilen çeşitli ihbarlarda belediyelerin çevrimiçi olarak sunmuş olduğu emlak vergisi ödeme/hızlı ödeme veya borç sorgulama sayfalarında yalnızca T.C. kimlik numarası girilerek vatandaşın emlak bilgilerine ulaşılmasının kişisel verilerin korunması açısından sorun teşkil ettiği ifade edilerek, kanunun 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında incelenmesi talep edilmiştir.
Bilindiği üzere Kanunun 12'nci maddesinin (1) numaralı fıkrasında “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amirdir. Anılan maddenin (4) numaralı fıkrasında veri sorumluları ile veri işleyen kişilerin öğrendikleri kişisel verileri Kanun hükümlerine aykırı olarak başkasına açıklamayacağı ve işleme amacının dışında kullanamayacağı;
(5) numaralı fıkrasında ise işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildireceği, Kurulun, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebileceği hükümlerine yer verilmiştir.
Bu kapsamda, kişisel verilerin işlenmesi sürecinde veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi bir uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından hazırlanarak Kurum internet sayfasında yayımlanan Kişisel Veri Güvenliği Rehberinde ( Teknik ve İdari Tedbirler) kişisel verilere gerekli durumlarda uzaktan erişilmesi halinde iki kademeli kimlik doğrulama kontrolünün uygulanması güvenliğin sağlanması adına alınması gereken tedbirler arasında sayılmaktadır.
Bu itibarla kişisel verilere uzaktan erişilmesi halinde 3. kişilerin kolayca ulaşamayacağı şekilde iki aşamalı sorgulama sistemi kullanılması gerekli olup, örneğin kişinin TC kimlik numarası ve doğum günü bilgisinin sorgulanarak erişim imkânı veren sistemler tek kademli doğrulama olarak belirlenirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir.
Kişisel Veri Güvenliği Rehberi’nin “Teknik ve İdari Tedbirler Mevcut Risk ve Tehditlerin Belirlenmesi”
Başlıklı 2.1 maddesinde de “ Kişisel verilerin güvenliğin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerekmektedir. Bu riskler belirlenirken; Kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliği dikkate alınmalıdır. Bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra; söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatifleri; maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmeli, gerekli teknik ve idari tedbirler planlanarak uygulamaya konulmalıdır. ” ifadelerine yer verilmektedir. Buna bağlı olarak kişilerin bilgilerine kolayca erişilmesi riskini barındıran tek kademe doğrulama sistemlerinin yerine bu riski önemli ölçüde azaltacak ya da ortadan kaldıracak iki faktörlü doğrulama yöntemleriyle sorgulamaların uygulamaya konulması önem arz etmektedir.
Bu çerçevede belediyeler tarafından emlak vergisi ödeme/hızlı ödeme veya borç sorgulama vb. sayfalar aracılığıyla çevrimiçi olarak sunmuş oldukları hizmetler kapsamında Kanunun 12'nci maddesinde yer alan yükümlülüklerin yerine getirilmesi ve herhangi bir veri ihlalinin önlenmesi amacıyla; çift faktörlü doğrulama için ilk doğrulamanın T.C. kimlik No, ad soyadı, vergi No, sicil No gibi verilerle yapılırken ikinci düzeydeki doğrulamanın kişiye özel oluşturulmuş SMS ya da e-postaya iletilen şifre gibi bir sistemle gerçekleştirilmesi, ikincil düzeyde kişiye ait başkalarının da erişebileceği telefon No, doğum tarihi, anne baba adı, sicil No gibi bilgiler yerine sadece kişiye özel olarak belirlenecek ve sadece ilgili kişinin erişebileceği verilerin istendiği sistemler ya da üyelik sistemi ile söz konusu hizmetlerin sunulmasının uygun olacağı değerlendirilmektedir.
Bu değerlendirmeler ışığında;
- Belediyelerin emlak vergisi ödeme/ hızlı ödeme ve borç sorgulama hizmetlerinde üyelik ve şifre ya da çift faktörlü doğrulama kullanmak sureti ile Kanunun 12'nci maddesi kapsamında gerekli teknik ve idari tedbirleri alması gerektiğine,
- Söz konusu önlemleri almayan belediyeler hakkında iletilecek şikayet /ihbarlar doğrultusunda ilgili belediye hakkında Kanunun 18'inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun bilgilendirilmesine,
- Belediyelerin emlak vergisi ödeme/hızlı ödeme ve borç sorgulama hizmetlerinde Kanunun 12'nci maddesi kapsamında “üyelik ve şifre” ya da "çift faktörlü doğrulama” kullanılması gerektiği hususunda Kanunun 15'inci maddesinin (6) numaralı fıkrası kapsamında İlke Kararı alınarak Resmî Gazetede ve
Kurumun internet sayfasında yayımlanmasına
Oybirliği ile karar verilmiştir.
İLGİLİ LİNK: https://www.resmigazete.gov.tr/eskiler/2022/04/20220429-19.pdf
KVKK PROGRAMIMIZ YUKARIDA YER ALAN KANUNA İLAVETEN AŞAĞIDA YER ALAN ÖNEMLİ DİĞER KANUN MADDELERİNE DESTEK İÇİN KULLANILIR:
Bu yazılım, 6698 numaralı Kişisel Verinin Korunması Kanunu’nun bu kapsamda, Şirket Ortağı, Şirket Ortağı Temsilcisi ve Şirket Yetkilileri, Şirket Çalışanları, Çalışan Adayı, Stajyerler, Ziyaretçiler, Müşteriler, Aday Müşteriler, Müşteri Yetkilisi, Tedarikçiler, Tedarikçi çalışanları, Tedarikçi Altyüklenicileri, Tedarikçi Altyüklenici çalışanları ve üçüncü kişiler vb. kişisel verileri www.kvkk.info.tr tarafında rıza beyanları ve beyana konu olan tüm evrakları, Kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunmasına ilişkin uyulacak usul ve esasları göre;
TÜM DİJİTAL FORMLARA UYGUN (iç müşteri veya dış müşteri, bayi kanalı, lokal portal, e-ticaret, sms tabanlı müşteri onay, sadakat program ve kartları, işletme resepsiyon alanları, mağaza kasa önü onay vb.) yazılım ortamlarındaki tüm formların RIZA işlemlerini, KVKK aydınlatma hakkında tüm eklenecek içeriklerin versiyonlama da yaparak 5070 sayılı kanunula e-imza ve arşiv imza ile arşivlenmesi. HASH özetin iki taraflı anahtar koruması ve zaman damgası ile saklanması. Kayıtların çalışan, tedarikçi, müşteri vb. sınıflaması ile sorgulanması ve böylece bilgi taleplerine hızlı yanıtın verilmesi. Otomatik tarih aralığına göre imha politikası bilgilendirilmesinin veri işleyene iletilmesi. Bu şekilde www.kvkk.info.tr tarafından gerçekleştirilen kişisel verilerin işlenmesi ve korunması faaliyetlerinde mevzuata tam uyumun sağlanması ve kişisel veri sahiplerinin kişisel verilere dair mevzuattan kaynaklanan tüm haklarının korunması hedeflenmektedir. Ayrıca şirketlerin derhal önlem alma, eğitimden geçme, kişisel verilerin korunması vb. konuların planlanması ile ispat yükümlülüğü için veri kayıt sistemi yazılım desteğini 'veri işleyen' statüsünde hizmet veriyoruz.
Kapsam Şartları:
Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Sicile kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 30.09.2020 tarihine uzaltılmıştır. https://www.kvkk.gov.tr/Icerik/6750/VERBIS-E-KAYIT-SURELERININ-UZATILMASI-HAKKINDA-DUYURU
Aşağıdaki soru ve yanıta ait kurumun linki: https://kvkk.gov.tr/SharedFolderServer/CMSFiles/d077b665-66b6-4615-975a-249f93e084ba.pdf
4 ) Amaçları birbirinden farklı, birden fazla kişisel veri işleme faaliyeti için ilgili kişilerden genel nitelikte açık rıza alınabilir mi?
Açık rıza belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı ifade eder. “Her türlü veri işleme faaliyeti” ifadesindeki gibi belirli
bir konu ile sınırlandırılmayan genel nitelikte alınan rıza, “battaniye rıza” olarak kabul edilir ve geçersizdir.
Aşağıdaki soru ve yanıta ait kurumun linki: https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/185c2130-8070-4b2b-a91e-1d48322ca352.pdf
21) Açık Rıza Herhangi Bir Şekil Şartına Tabi midir?
Açık rıza beyanı herhangi bir şekil şartına tabi değildir. Önemli olan açık rızanın Kanundaki unsurları taşıması ve ispatlanabilir olmasıdır. Dolayısı ile sözlü, yazılı, elektronik ortam vb. yöntemlerle açık rıza alınması mümkündür. Bununla birlikte, açık rızanın yazılı olduğu durumlarda, açık rıza metinleri açık, anlaşılır ve yalın bir şekilde kaleme alınmalıdır. Ayrıca, açık rızanın, olumlu bir irade beyanı içermesi gerekmektedir. Diğer bir ifade ile, açık rızanın şüpheye yer vermemesi gerekmekte, rızanın talep edilmesine ve alınmasına ilişkin işlemler, ilgili kişinin bu konudaki niyetini açık bir şekilde ortaya koyar nitelikte olmalıdır. Açık rızanın alındığı konusundaki ispat yükü ise veri sorumlusuna aittir.
63) Kurulun Resen İnceleme Yetkisi Var mıdır?
Kurul, şikâyet üzerine veya ihlal iddiasını öğrenmesi halinde resen, görev alanına giren konularda gerekli incelemeyi yapabilir. Bu inceleme şikâyete ya da resen öğrenilen şikâyet konusuna münhasır olacaktır.
Kişisel Verilere İlişkin Suçlar ve Cezai Yaptırımlar Konusunda Kişisel Verilerin Korunması Kanunu Nasıl Bir Düzenleme Öngörmektedir?
07.04.2016 tarihli Resmî Gazetede yayımlanarak yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile verilen 2 yıllık uyum süreci sona ermiş ve 2018 Nisan ayı itibari ile yasa tüm hükümleri ile uygulanır hale gelmiştir.
Bu tarih itibari ile tüm şirketlerin ciddi şekilde önlem almaya başlamış olması, aksi taktirde aşağıda belirtilen çok ciddi cezalarla karşı karşıya kalma durumu söz konusudur.
KVKK gereği yapılması gereken bu çalışmaların yapılmaması, yasanın 17. ve 18. maddelerinde ciddi hapis cezalarının ve para cezalarının ödenmesini gerektirir şekilde belirtilmiştir.
Yasanın 17. Maddesinde kişisel verilerin silinmemesi ve anonim hale getirilmemesi TCK 138 gereği 1 yıldan 2 yıla kadar hapis cezasını gerektirdiği, yine TCK madde 135 gereği kişisel verileri hukuka aykırı olarak kaydedilmesi 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılacağı ve yine TCK madde 140 gereği tüzel kişiler hakkında güvenlik tedbiri uygulaması yapılacağı hükümlerine atıf yapılmıştır. Şirketler için uygulanacak güvenlik tedbirleri TCK madde 60 da belirtildiği üzere şirket faaliyet izninin iptali ve şirkete ait bir takım değerlerin müsaderesidir. Öte yandan aynı Kanun’un 18. Maddesi gereği, Kanun’da belirtilen aydınlatma yükümlülüğünün ihlali 100.000 TL’ye kadar para cezası, veri güvenliği yükümlülüğünün ihlali, Kişisel Verileri Koruma Kurulu kararlarına muhalefet ve veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırılık ise 1.000.000,00 TL’ye kadar para cezası yaptırımına bağlanmıştır. Şirketler için söz konusu cezalardan Yönetim Kurulu Başkanı ve Yönetim Kurulu üyeleri ile Genel Müdür veya Şirket Müdürü gibi imza sirküleri ile şirketi temsil yetkisine sahip kişiler Türk Ceza Kanunu gereği doğrudan sorumludurlar. Güncel veri ihlal bildirimlerini kurulun sitesinden görebilirsiniz: https://kvkk.gov.tr/veri-ihlali-bildirimi/ Görüldüğü üzere, KVKK kapsamında yapılması gerekenler basit bir avukatlık işi veya şirketin idari işlerinden değil, ciddi hazırlık gerektiren bir ekip işidir ve sistemsel bir çalışmayı ve beraberinde hem hukuksal alt yapının güçlendirilmesini ve hem de bilişim alt yapısı yönünden analiz ve çözüm önerileri getiren bir çalışmayı gerektirmektedir.
Program Özellikleri ve Modüller |
KVKK ve İYS İlçe Belediye Paketi |
KVKK ve İYS İl Belediye Paketi |
KVKK ve İYS Büyükşehir Belediye Paketi |
|||||||
---|---|---|---|---|---|---|---|---|---|---|
İlk Yıl Lisans Ücreti |
|
|
|
|||||||
17.200 |
30.950 |
57.200 |
||||||||
Sonraki Yıl Lisans Yenileme Ücreti |
8.050 TL (SMS PAKETİ HARİÇ) |
12.450 TL (SMS PAKETİ HARİÇ) |
21.200 TL (SMS PAKETİ HARİÇ) |
|||||||
Kayıt Sayısı / Adet |
150.000 |
250.000 |
500.000 |
|||||||
SMS PAKETİ |
DAHİL - 150.000 ADET |
DAHİL - 250.000 ADET |
DAHİL - 500.000 ADET |
|||||||
+ |
+ |
+ |
||||||||
İstek / Şikayet Modülü Formlarına bağlı API |
- |
+ |
+ |
|||||||
5070 Sayılı E-imza ile arşiv imzalama |
+ |
+ |
+ |
|||||||
E-imza ile zaman damgası kullanımı |
Sınırsız |
Sınırsız |
Sınırsız |
|||||||
İleti Yönetim Sistemi Entegrasyonu Seviye1 - Seviye2 |
1 ve 2 |
1 ve 2 |
1 ve 2 |
|||||||
İYS İçin E-ticaret Uyumlu API |
+ |
+ |
+ |
|||||||
İYS ( Tek merkez: Mesaj, Arama ve E-Posta kanalları için okuma ve yazma izni) |
+ |
+ |
+ |
|||||||
2048 bitlik imzalama ve 256 bitlik şifreleme / YIL |
+ |
+ |
+ |
|||||||
ERP, CRM, MRP Yazılımlarına Entegre |
O |
+ |
+ |
|||||||
Departman Yöneticilerine Push Notification kayıt uyarı sistemi |
+ |
+ |
+ |
|||||||
Form Entegrasyonu / Adet |
15 |
20 |
100 |
|||||||
Envanter yönetimi |
+ |
+ |
+ |
|||||||
Otomatik kişisel veri silme / Anomimleştirme |
+ |
+ |
+ |
|||||||
Aydınlatma metni tek merkezden yönetimi |
+ |
+ |
+ |
|||||||
Aydınlatma metni geriye dönük doküman versiyon kontrolü |
+ |
+ |
+ |
|||||||
Uçtan uca SHA-256 with RSA SSL |
+ |
+ |
+ |
|||||||
SHA-256 kriptografik hash algoritma |
+ |
+ |
+ |
|||||||
SMS Onaylı Rıza Beyanları (Onam) |
+ |
+ |
+ |
|||||||
E-posta Onaylı Rıza Beyanları ( Onam ) |
+ |
+ |
+ |
|||||||
Verbis için Kişisel Veri İşleme Envanteri Otomatik Excel oluşturma |
+ |
+ |
+ |
|||||||
Uzaktan Eğitim Yazılımları Entegrasyonu |
- |
- |
- |
|||||||
+-O : Opsiyonel
|
tüm paketlerin detay özelliklerinde egebilgi haber vermeden değişiklik yapma hakkını saklı tutar. |
kvkk.info.tr uygulamasına nasıl üye olabilirim ?
1. VERBIS kayıt olmalısınız tıklayınız.
2. Linkte yer alan hizmet sözleşmesini doldurduktan sonra tıklayınız. Şirket KEP adresinizden şirketimizin egebilgi@hs03.kep.tr adresine sözleşmeyi iletmeniz gerekmektedir.
Sıkça Sorulan Sorular
Sisteme tanımlamanız yapıldıktan sonra entegrasyon bilgilerinin içeren dokümanı ve kodlama örneğini teknik birimimiz size iletecekler. Kolaylıkla sitenizde yer alan formlara bağlayabilirsiz.