Bir süredir e-Belediye konusunu tartışıyoruz. Çünkü 5393 sayılı belediye kanununa 10 mart 2018’de 7099 sayılı torba kanun ile eklenen madde ile belediyelerin kullandığı sistemlerin merkezileştirilmesi hedefi ile İçişleri Bakanlığına görev verilmişti [1].
Konuyla ilgili olarak daha önce bilgi vermiştik[2]. Proje, hem firmalar, hem de belediyeler için sorun taşıyor. 1980’lerin ortasından bu yana belediyeye iş yapan firmaların adeta ölüme mahkum edildiği ve belediyeleri de kıskaca almaya yönelik olarak değerlendirildi. STK’lar da geçtiğimiz hafta Süleyman Soylu’ya bu konuda bir mektup yolladı [3].
Bakanlık ek maddeye göre projeyi 1 yıl içinde tamamlayacaktı. Ama tamamlayamadı. Kanun süreyi 1 yıl uzatmaya da yetki veriyordu. O süre de 2020 mart ayında bitmiş olacak. Duyumlarımız planlanan 60 modülerden, henüz 4-5 modülün tamamlandığı şeklinde. Bu konuda bilgi aldığımızda daha detaylı bir haber de yapacağız.
Ama bugün e-belediye konusunda yeni bir gelişme oldu. O da “tapu kayıtlarınının 3.parti yazılımlarla ilişkisinin kesilmesi”. Aralık ayında “Kanal İstanbul” projesi çevresindeki arazilerin tapularının basına sızması üzerine bir genelge yayınlanmıştı. Bu genelge 30 ocak 2020 tarihine kadar tapu kayıtlarının arayüzlerinin (API) kapatılması anlamına geliyordu. Fiili olarak bu kapatma bugün başladı. Tapu ve Kadastro Genel Müdürlüğü tarafından yayınlanan bu genelgeye burayı tıklayarak ulaşabilirsiniz.
Biz de konuyu Belediyelere Yazılım Geliştiren Firmaların derneği olan BEYSİAD [4] Başkanı Mehmet Özyirmidokuz’a sorduk;
turk-internet.com : Bugün erişime kapatılanlar hangi verilerdir ve kime kapatılıyor?
Mehmet Özyirmidokuz : Tapu Kadastro Genel Müdürlüğünce 2015 yılından beri Belediyelere ve bağlı işletmelerine protokol ile verilen, bilinen adı ile Takbis servislerinin bir kısmının kapatılmasıdır. Bunlar; şerh, beyan, rehin gibi detay sorgulamalardır. Tamamı ise temmuz ayından itibaren kapatılacaktır.
Bu genelge ile belediyelerin günlük işlemleri gereği kullandıkları Takbis servisine, özel sektör firmalarınca geliştirilen Belediye Otomasyon Uygulamaları ve Belediyelerin kendi geliştirdikleri uygulamalar üzerinden erişilemeyecektir.
turk-internet.com : Bunun nedeni olarak ne gösteriliyor?
Mehmet Özyirmidokuz : 26.12.2019 tarihli TKGM Genelgesini okuduğumuzda temel gerekçenin KVKK ile getirilen Kişisel verilerin korunması olduğunu görüyoruz.
turk-internet.com : Siz bu nedene katılıyor musunuz? Neden?
Mehmet Özyirmidokuz : Katılmıyorum. Genelge, Takbis sorgularının artık özel firmalarca geliştirilen veya belediyelerin kendi geliştirdikleri uygulamalarca yapılmayacağını, bu uygulamaların otomatik olarak kullandığı bu servisin sadece İçişleri Bakanlığınca geliştirilen eBelediye uygulaması üzerinde kullanılabileceğini söylüyor.
Bu servisler, belediyelerin günlük işlemlerini (Emlak Beyan işlemleri, İmar Uygulamaları, Abonelik, Kamulaştırma, Ruhsat İşlemleri, Sosyal Yardım işlemleri gibi) yaparken kullanmak zorunda oldukları servislerdir. Ve bu işlemlerin tamamı yetki matrislerince tanımlanan belediye personelince, işlemlere ait her türlü iz kayıtlarının (Kim? Ne zaman? Ne sorguladı? gibi) tutulduğu işlemlerdir.
Bu işlemlerin özel sektör veya Belediyece geliştirilen uygulama yerine Bakanlıkça geliştirilen uygulama üzerinden aynı belediye personelince yapılmasının KVKK gereği olduğunu iddia etmenin teknik bir açıklaması bulunmamaktadır. Eğer bu gerekçeleri doğru kabul edersek ülkemizde hiçbir özel sektör uygulamasının (Sigorta, haciz, alım/satım, Elektrik/Gaz/Telefon/İnternet Aboneliği gibi) kullanılması mümkün olamaz.
Sorgulamayı yapan aynı Belediye personeli olduğu sürece art niyetli kullanımı, uygulamaları kısıtlayarak çözmek mümkün olamaz.
turk-internet.com : Bu tür veriler kişisel veri midir? Ya da belediye bu verileri görmeli midir? Eğer görmemeli ise, devletin (kamu kurumlarının) hangi verilerimizi görmekte sorunu vardır?
Mehmet Özyirmidokuz : Soru hukuki bir cevap gerektiriyor. Bir uygulama üreticisi olarak cevaplamam gerekirse, Belediyelerin kanun ile tanımlanan yetkileri gereği yapmak zorunda oldukları işlemler gereğince kullandıkları bazı merkezi web servisleri söz konusudur. Bu servislerin nasıl kullanılacağı, hangi bilgileri paylaşacağı ve coğrafik olarak sorgulamanın yapılacağı alan, ilgili kamu kurumu ile belediye arasında yapılan protokol ile belirlenmektedir. Bir örnek vermek gerekirse; Belediyenin almak zorunda olduğu Emlak Beyanı işlemi yapılırken yapılan sorgulamalar vardır. Bu sorgulamalar;
- TC Kimlik numarası ile beyan veren kişinin kaç mülkiyetinin olduğu (Eğer birden fazla mülkiyeti var ise muafiyet uygulaması değişir)
- Beyan edilen Parsel/Bina’ya ait mülkiyet bilgileri (Tapu kaydı ile Emlak Beyanındaki Parsel/Bina mülkiyete ait tanım ve nitelik bilgilerinin kontrolü)
Bu sorguların her biri, ilgili web servislerini kullanarak, protokol ile belirlenen verilerin Belediye personelince görülmesini, doğru ise gelen verilerin beyana otomatik yansıtılmasını sağlar. Ve bu işin baştan sona iz kaydı tutulur. Üstelik bu işlemlerin hiçbirinde bulk (Toplu) veri çekilmez. Sadece sorgulamanın yapıldığı TCKimlik, Parsel veya Bina numarasındaki verilerin izin verilen kısmı gösterilir. Dolayısıyla soru, özel sektör uygulaması değil de bakanlık uygulaması kullanılması gerektiği şeklinde cevaplanamaz.
turk-internet.com : Yani bu genelge ile 1986’dan bu yana belediyelerde kullanılan Belediye yazılımlarının tapu, şerh, beyan ve rehin gibi konulara erişiminin bugün itibariyle kapatıldığını söylüyorsunuz. Bu belediyelere nasıl bir etki yapacak?
Mehmet Özyirmidokuz : Belediyelerin otomatik olarak yaptıkları ve kendilerine göre uyarladıkları uygulamaları etkisizleştiren bir gelişme olarak görmekteyiz. Bu genelge ile artık belediyeler çok kısa sürede ve otomatik olarak parsel ve/ya TCKimlik no girerek yaptıkları işlemleri artık yapamayacaklar. İşlemi bir yerden, sorgulamayı başka bir yerden yapmak zorunda kalacaklar. Bu durumda verimsizliğe, zaman kaybına ve işlemlerde hatalara sebep olacaktır.
turk-internet.com : Belediye yazılımı yapan firmalara nasıl bir etki yapacak?
Mehmet Özyirmidokuz : Firmaların uzun bir süredir geliştirdikleri ve belediyelere göre uyarladıkları gelişmiş otomasyon uygulamalarının etkinliği ve verimliliğini azaltacak, işlemler elle yapılır hale gelecektir.
İçişleri Bakanlığının daha önce de benzer şekilde kapattığı servisler dikkate alındığında bu uygulamanın amacının, içişleri bakanlığınca geliştirilen eBelediye uygulamasının belediyelerce kullanımını zorlamak olduğunu düşünmek yanlış olmaz. Belediyelerin kendilerine göre uyarlattıkları uygulamaları kullanmaya devam etmesini engellemek için düşünülmüş bir yöntemdir. Bu nedenle bu türden kısıtlamaların artarak devam edeceğini düşünmekteyiz.
turk-internet.com : Bu uygulamanın “Akıllı Şehir” uygulamalarına etkisi ne olur?
Mehmet ÖzYirmidokuz : Akıllı Şehir uygulamaları çok değişik amaçlarla yapılmaktadır. Trafik, Sağlık, Güvenlik, Enerji, Çevre, Sosyal Projeler gibi. Ancak, TKGM genelgesi, artık Belediyelerde Takbis servisinin kullanımına sadece içişleri uygulaması üzerinden izin vereceğini söylemektedir. Eğer Akıllı Şehir uygulamanız bir nedenden dolayı bu servisleri kullanması gerekiyor ise ne yazık ki kullanamayacak.
Örneğin Kentsel Dönüşüm projeniz var ve bu projeyi yaparken bölgede yaşayan insanları tematik olarak analiz edip ona göre proje geliştirmek ve sosyal donatılar planlamak istiyorsunuz. Bunun için de planlamanın yapıldığı bölgedeki mülkiyet, hisse, yaşayan, parsel, kadastro, yapı bilgilerine ihtiyacınız olacaktır. Size bu verileri sağlayacak servislere erişemeden bu bilgileri nasıl temin edeceksiniz? Bu merkezileştirici, kısıtlayıcı yaklaşımın Akıllı Şehir projelerine de büyük zarar vermesi kaçınılmaz bir gerçektir.
turk-internet.com : Aralık ayında genelge duyulduğunda, bu uygulamanın Kanal İstanbul projesi ve oradaki mülkiyet değişikliklerinin sorgulanması ile alakası olduğu iddia edilmişti. Sizce ilgisi var mıdır?
Mehmet Özyirrmidokuz : Bilemiyorum. Ama sonuçta sorgulamalar, uygulamalar üzerinden yapılmaktadır. Ve sorgulamanın nasıl yapılacağı, uzun zamandan beri, Belediyeler ile TKGM arasındaki protokol ile belirlenmektedir. Yapılan her sorgunun da iz kaydının tutulduğunu düşünürsek, sorgulamanın şu veya bu uygulama üzerinde yapılması, art niyetli kullanımı engellemeyecektir. Unutmayalım ki bu tür art niyetli bir kullanım TKGM bünyesinde ki bir personelce de yapılabilir.
Madem KVK Önemli, O zaman KPS Neden Kapatılmadı?
Konunun bir başka boyutunu da, konuya yakın bir kanyak şöyle değerlendirdi;
Şu andaki uygulamada Takbis sorgulamalarının log kaydı Belediye de ve TKGM de tutulmaktadır. Belediye, Bakanlık veya ilgili kurum istediği anda bu bilgilere erişebilmektedir. Ama TKGM nün genelgesinden sonra bu bilgiler artık Belediye de tutulmayacaktır. İçişleri ve TKGM de tutulacaktır. Dolayısıyla Belediyelerin bu tür işlemler sonucunda sorgulanması durumunda Belediyelerin kendilerini savunacakları bir mekanizma yok olacaktır.
Bu genelgenin amacı, İçişlerinin kendi uygulamasını kullanmaya zorlamaktır. Daha önce de Hacizli araç sorgulama servisini kapattırdılar. Orada da amaç aynıydı.
TKGM genelgesindeki gerekçeleri doğru kabul edersek, şu anda ülkemizde kullanılan ve merkezi web servisler üzerinde sorgulama yapan hiçbir özel sektör uygulaması hayatta kalamaz. Örneğin Elektrik, Gaz, Telefon, Internet aboneliği yapan uygulamalar gibi.
Eğer konu gerçekten KVKK ve veri güvenliği olsaydı öncelikle KPS (Kimlik Paylaşım Sistemi, Eski adıyla NVİ) de kapatılmalıydı. Ama KPS yi kapatsalardı çok daha büyük tepki alacaklardı. Çünkü KPS yi her uygulama kullanıyor.
Eğer ortada bir suç var ise suçu işleyeni cezalandırmak gerekir. Suçu işleyenin kullandığı uygulamaları cezalandırmak doğru değildir. Bu, bir polisin beylik tabancası ile birini yaralamasına benzer. Ne yapacaksınız? Tabanca üreten özel sektör firmalarını mı kapatacaksınız? Hayır. Suçun şahsiliği gereği suçu işleyen kişiyi cezalandıracaksınız.
Konunun hukuki boyutu olduğu için bir de bu yönden sorduk; DPC Kişisel Veri Güvenliği ve Danışmanlık Hizmetleri A.Ş.’den Avukat Sefa Karcıoğlu ile konuştuk.
turk-internet.com : Genelgeye bakıldığında “kişisel veriler” nedeni ileri sürülüyor. Bu tür veriler kişisel veri midir? Ya da belediye bu verileri görmeli midir? Eğer görmemeli ise, devletin (kamu kurumlarının) hangi verilerimizi görmekte sorunu vardır?
Av.Sefa Karcıoğlu : Kişisel Verilerin Korunması Kanunu kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla 2016 yılında yürürlüğe girmiştir. Kanun’un yürürlüğe girmesiyle birlikte kişisel veri işleyen gerçek ve tüzel kişi veri sorumluları için işlemiş oldukları kişisel verileri, gerekli teknik ve idari tedbirleri almak suretiyle korumaları bir yükümlülük olarak düzenlenmiştir.
Öncelikle belirtmek gerekir ki belediyeler de Kanun kapsamında veri sorumlusu niteliğindedir ve Kişisel Verilerin Korunması Kanunu’na tabidirler. İşbu kapsamda da gerçek kişilere ilişkin işlemiş oldukları tüm verilerin korunmasından ve bu verilere yetkisiz, usulsüz erişimin önlenmesinden sorumludurlar.
Kanun, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi’nin kişisel veri olduğunu belirterek çok geniş bir tanımlama yapmıştır. Tapu ve Kadastro Verilerinin Paylaşımı Hakkında Yönetmelik’in 5. Maddesinin “TAKPAS’daki veriler taşınmazın gerçek ve tüzel kişiyle ilişkilendirilmesi ve üzerindeki hakların gösterilmesine ilişkin bilgileri içerir” şeklindeki ifadesinden sarihen anlaşılacağı üzere TAKPAS üzerinden paylaşılan veriler, kişisel veri niteliğindedir ve bu verilerin yetkisiz erişimlere karşı korunması gerektiği şüphesizdir.
Ancak burada önemli olan husus, teknik ve idari tedbirlerin neler olacağıdır. Bu verilerin nasıl korunması gerektiği önemlidir.
Komisyon kararı ile TAKPAS Protokolü ile belediyelerin kullanımına açılan belediye görev alanı dışında taşınmaz sorgulama yetkileri ile kayıtlarda bulunan şerh/beyan/irtifak, muhdesat/teferruat/eklenti, rehin ve buna bağlı diğer verilerin kullanılmasına yönelik yetkilerinin 31.01.2020 tarihi itibari ile, gerçek ve tüzel kişi sorgulama, hissedar sorgulama, pasif parsel sorgulama, pasif malik sorgulama yetkilerinin ise 01.07.2020 tarihinde Genel Müdürlük ile belediyeler arasında imzalanan TAKPAS protokolünün “Tarafların Yetki ve Yükümlülükleri” başlıklı 5.4 maddesi ile aynı Protokolün “Sorgulama Kriterleri” başlıklı 7.2 maddesi kapsamında kapatılmasına karar verilmiştir.
Belediyelere, taşınmaz sorgulamalarını, sadece Tapu ve Kadastro Genel Müdürlüğü’nün Web-Tapu Sistemi Kurum Portalı ve İç İşleri Bakanlığı’nın e-Belediye Bilgi Sistemi Takpas Modülü ve Tapu Haciz Modülü üzerinden yapılabileceğinin belirtilmesi Kişisel Verilerin Korunması Kanunu kapsamında amacını aşan ve bu alanda faaliyet gösteren yazılım firmalarının ticari faaliyetlerini ciddi anlamda zedeleyecek bir önlemdir. Nitekim bu şekilde alınan önlemler, belediyelerin merkezi yönetimlerine müdahale sonucunu doğurabileceği gibi yerinden yönetim ilkesinin de ihlal edilmesi gibi istenilmeyen sonuçlara neden olabilecektir.
Nitekim, Tapu ve Kadastro Genel Müdürlüğü’nün Web-Tapu Sistemi Kurum Portalının ve İç İşleri Bakanlığı’nın e-Belediye Bilgi Sistemi Takpas Modülü ve Tapu Haciz Modülünün kullanılması ile yazılım firmaları tarafından geliştirilmiş belediye yazılımlarının kullanılması arasında Kişisel Verilerin Korunması Kanunu bakımından bir fark bulunmamaktadır. Her iki durumda da aynı riskler mevcut olacaktır ve olası veri sızıntılarının ya da olası yetkisiz erişimlerin önüne geçebilmek için aynı teknik tedbirler alınacaktır. Nitekim, yazılım firmaları tarafından geliştirilen belediye yazılımlarında da gelişmiş log kayıtları tutulabilmekte, hangi kullanıcının, hangi zamanda, hangi kişisel verilere ulaştığı raporlanmakta ve yine aynı kullanıcılar tarafından aynı yetki matriksi doğrultusunda kullanılmaktadır.
Şüphesizdir ki her medeni ülkede olduğu gibi yasaklayıcı bir yaklaşımdan ziyade gerekli teknik tedbirlerin alınması suretiyle TAKPAS sistemindeki usulsüz kişisel veri ulaşımlarının önüne geçilmesi gerekmektedir.
Bu bilgiler ışığında çözüm, belediye yazılımı hususunda hizmet veren firmaların ticari faaliyetlerini sınırlandırmak ya da yasaklamak olmamalıdır. Aksine, bu firmaların teşvik edilerek, olası sistem açıklarının önüne geçilmesi, el birliği ile daha güvenli bir sistemin kurulması hedeflenmelidir.
Keza, Kişisel Verileri Koruma Kurumu’nun yayımlamış olduğu ve veri sorumlularınca alınabilecek teknik tedbirler kullanılarak TAKPAS sistemlerinde ilgili kişilerin kişisel verileri pekala korunabilir.
Bu kapsamda belediyecilik hizmetlerinde yazılım şirketleri tarafından geliştirilen belediye yazılımlarının kullanılmalarının engellenmesi Kişisel Verilerin Korunması Kanunu kapsamında doğru bir yaklaşım olmayacaktır. Tapu ve Kadastro Genel Müdürlüğü’nün Web-Tapu Sistemi Kurum Portalı ve İç İşleri Bakanlığı’nın e-Belediye Bilgi Sistemi Takpas Modülü ve Tapu Haciz Modülü ile aynı teknik tedbirleri içeren, kişisel verilerin bulunduğu saklama alanlarına erişimlerin kayıt altına alınarak uygunsuz erişimlerin veya erişim denemelerinin kontrol altına alınabildiği, erişimlerde güvenli protokol ve özel algoritma ve şifrelemelerin kullanılabildiği özel yazılımların kullanılması Kişisel Verilerin Korunması Kanunu’nu açısından sakınca doğurmayacaktır.
[1] 5393 Sayılı Kanuna 7099 Sayılı Torba Kanunla Eklenen e-Belediye Maddesi
[2] Yeni e-Belediye Projesi 10.000’den Fazla İşsiz Yaratabilir/
[3] Bilişim STK’ları Süleyman Soylu’ya e-Belediye Konusunda Çağrı Yaptılar