Kişisel verilerin işlenme şartlarının,
bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir
otoritenin oluşturulmasının, veri güvenliğine ilişkin temel ilkelerin
düzenlendiği 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 07 Nisan
2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
Kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye
ilişkin her türlü doğrudan veya dolaylı bilgi” olarak tanımlanmaktadır. Kişisel veri, gerçek kişiye
ilişkin olup tüzel kişilere ilişkin veriler kişisel veri tanımı dışındadır. Bu
bağlamda kişinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri
işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, finans,
mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar, ırk ve etnik köken,
siyasi düşünce bilgileri, felsefi inanç, din, mezhep ve diğer inançlar, kılık
ve kıyafet, dernek üyeliği, vakıf üyeliği, sendika üyeliği, sağlık bilgileri,
ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik veri, genetik veriler
yanında mali bilgileri de (vergi kimlik no, vergi ödeme tutarları, asgari geçim
indirimi, malvarlığı bilgileri, sendikalılık bilgisi, vergi suçu kayıtları vb)
kişisel veri olup bu kapsamdaki bilgiler kimlik, finans, özlük ve ceza mahkumiyeti
ve güvenlik tedbirleri gibi veri kategorileri içerisinde yer alabilmektedir.
Kişisel verilerin işlenmesi ise “kişisel verilerin tamamen veya kısmen
otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla
otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza
edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması,
devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının
engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak son derece geniş kapsamlı olarak
tanımlanmıştır.
KVKK’nin yürürlüğe girmesi ile birlikte Vergi
İdaresinin elde ettiği mali bilgilerin toplanması, uluslararası bilgi değişimi
dahil aktarılması, saklanması ve imha edilmesi önemli konulardan biri haline
gelmiştir.
Mali bilgiler, ekonomik ve sosyal hayat
içerisinde gerek özel kuruluşlar (gerçek ve tüzel kişiler) gerekse kamu tüzel
kişileri tarafından işlenip aktarılabilmektedir.
Mali bilgilerin özel kurum ve kuruluşlar
tarafından işlenmesi
Özel kuruluşların (gerçek ve tüzel kişiler)
kişisel verileri işlemesi ve aktarması, VUK’un “bilgi verme” başlıklı 148. maddesi, Gelir Vergisi Kanunu’nun “Asgari geçim indirimi” başlıklı 32. maddesi, “vergi tevkifatı” başlıklı 94. maddesi, “engellilik indirimi” başlıklı 31. maddesi veya vergi veya SGK teşviklerinden
yararlanma gibi kapsamda işlenmekte ve aktarılmaktadır.
Veri sorumlusunun, “kanunlarda açıkça öngörülmesi”, “hukuki yükümlülüğün
yerine getirebilmesi için zorunlu olması” veya “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu
olması” hallerinde kişisel veri
işlemesi ve aktarması, Kanun’un 5., 6. ve 7. maddeleri kapsamında yasal
işleme/aktarma şartlarından (hukuka uygunluk hallerinden) olup bu hallerin
varlığında ilgili kişiden açık rıza alınmasına gerek yoktur. İşverenin,
muhtasar/prim hizmet beyannamesi vermesi, çalışana ait sendikalılık bilgisinin
özlük dosyasında tutulması, engelli çalışana ilişkin rapor ve belgelerin işyeri
hekimi tarafından işlenmesi, engelli bir kişinin ÖTV istisnasından
yararlanabilmesi için sağlık raporlarının işyeri hekimi tarafından işlenmesi,
vergi denetimi sırasında çalışanlarına veya müşterilerine ait bilgileri vergi
müfettişinin incelemesine sunulması bu kapsamda değerlendirilebilir.
Mali bilgilerin yetkili kamu kurum ve
kuruluşları tarafından işlenmesi
Bazı mali bilgilerin işlenmesi tam istisna
kapsamında mütalaa edilmektedir. Kanunun 28.1.ç. maddesine göre; “Kişisel verilerin ..... ekonomik güvenliği
sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve
kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler
kapsamında işlenmesi” tam istisna kapsamındadır. Suç gelirlerinin aklanması, terörizmin
finansmanının önlenmesi ve mali suçların araştırılması konusunda; yetkili birim
(örneğin yükümlülerin uyum birimi) tarafından yürütülen faaliyetler kapsamında
işlenen veriler bu istisna kapsamındadır. MASAK tarafından ekonomik güvenliği
sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek
ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri
almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla
paylaşmak suretiyle işlediği veriler “tam istisna” olarak Kanun kapsamı dışında
tutulmaktadır.
Bazı mali bilgilerin işlenmesi ise 6698
sayılı Kanun’un 28.2.ç. maddesine göre; kısmi istisna kapsamına alınmıştır: “ç. Kişisel veri işlemenin bütçe, vergi ve
mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması
için gerekli olması”. Fakat, bu durumda dahi veri işlenmesi Kanunun amacına ve temel ilkelerine
uygun ve orantılı olması gerekmektedir.
“Kişisel veri işlemenin kanunun verdiği
yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu
kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme
görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli
olması” da “kısmi istisna”
niteliğindedir. Örneğin, Vergi Denetim Kurulu ve vergi müfettişleri tarafından toplanan
ve işlenen veriler kısmi istisna olarak kanun kapsamı dışında tutulmuştur.
Vergi Usul Kanunu (VUK)’nun “148 bilgi verme”, “149 devamlı bilgi verme”, “152/A uluslararası anlaşmalar gereğince bilgi
değişimi” maddelerinde Maliye
Bakanlığı’na bilgi toplama ve bilgi değişimi yetkileri verilmiş olup bilgi
verilmemesi özel usulsüzlük cezasına bağlanmıştır. Ayrıca, 152. maddede
toplanacak bilgiler istihbarat arşivlerinde gizli olarak saklanacağı hüküm
altına alınmıştır.
Kanunun amacına ve temel ilkelerine uygun ve
orantılı olmak kaydıyla verilerin işlenmesi, aktarılması, imha edilmesi ve yurt
dışına aktarılması (bilgi değişimi) gerekmektedir. Bu durumda dahi verilerin
işlenmesi, silinmesi, yok edilmesi, aktarılması ve yurt dışına aktarılmasına
ilişkin kanuni esaslara uyulması gerekmektedir. Bu durumlarda bile kişisel
verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun
olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için
işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve
ölçülü olma,
d) İlgili mevzuatta öngörülen veya
işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
En önemlisi, veri sorumlusunun Kişisel
verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka
aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik
ve idari tedbirleri almak gibi veri güvenliğine ilişkin yükümlülükleri ve bu
yükümlülüklere aykırılıklardan doğan zararları tazmin sorumluluğu devam
etmektedir.
Vergi işlemlerinde görev alan kişilerin
süresiz sır saklama yükümlülüğü, VUK’un 5. maddesi “vergi mahremiyeti” başlığı altında düzenlenmiştir. Kamu görevlilerince
yapılan adlî ve idarî soruşturmalar, tahsilat amacıyla bankalara verilen
bilgiler, başka kamu kurum ve kuruluşlarının görevleriyle doğrudan ilgili ve
görevlerinin ifası için zorunluluk ve süreklilik arz eden bilgilerin bu kuruluşlara
verilmesi gibi hususlar vergi mahremiyetinin ihlaline neden olmayacağı
belirtilmiştir.
Vergi Anlaşmaları Kapsamında Uluslararası
Bilgi Değişimi
VUK’un “Uluslararası anlaşmalar gereğince bilgi değişimi” başlıklı 152/A maddesine göre; Maliye Bakanlığı
Gelir İdaresi Başkanlığı veya vergi incelemesi yapmaya yetkili olanlar, usulüne
uygun olarak yürürlüğe girmiş uluslararası anlaşmalarda yer alan bilgi değişimi
hükümleri çerçevesinde, Maliye Bakanlığınca tespit edilecek usullere göre bu
Kanunun 1 inci maddesinde belirlenen şümulle sınırlı olmaksızın bilgi
toplayabilir.
6698 sayılı Kanun’un 9 uncu maddesinin son
fıkrasında; kişisel verilerin yurtdışına aktarılmasına ilişkin ilgili
kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Çifte
Vergilendirmeyi Önleme Anlaşmaları, Bilgi Değişimi Anlaşmaları, çok taraflı işbirliği
ve/veya yardımlaşma anlaşmaları kapsamında mali bilgilerin değişimi söz konusu
olmaktadır. Bunun da ilgili uluslararası antlaşma ve 6698 sayılı Kanun’un 9
uncu maddesi son fıkrasına uygun bir şekilde yurt dışına aktarılması
yapılabilmektedir.
Örneğin Gelir İdaresi Başkanlığı ile Vergi
Denetim Kurulu tarafından yapılacak uluslararası bilgi değişimini düzenleyen
Vergi Usul Kanunu’nun 152/A maddesi ile MASAK tarafından yapılacak uluslararası
bilgi değişimini de içeren 1 sayılı Cumhurbaşkanlığı Kararnamesi’nin 231.
maddesi öncelikli olarak uygulanacaktır. Ayrıca, Ülkemizin uluslararası
anlaşmalar kapsamında ÇVÖA, FATCA, CRS ve bilgi değişimi anlaşmaları kapsamında
yapacağı bilgi değişimleri hem Kanun atfı nedeniyle öncelikle uygulanma hem de
Kurul’un yeterli korumanın bulunduğu ülkeler listesini hazırlarken dikkate
alacağı unsurlar arasında olacaktır.
Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler
Veri sorumlularının alması gereken teknik ve
idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama
örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından
Kişisel Veri Güvenliği Rehberi hazırlanmıştır.
Rehberde; idari tedbirler, “kişisel veri işleme envanteri hazırlanması,
kurumsal politikalar (erişim, bilgi güvenliği, kullanım, saklama ve imha vb.),
sözleşmeler (veri sorumlusu - veri sorumlusu, veri sorumlusu- veri işleyen
arasında ), gizlilik taahhütnameleri, kurum içi periyodik ve/veya rastgele
denetimler, risk analizleri, iş sözleşmesi, disiplin yönetmeliği (kanuna uygun
hükümler ilave edilmesi), kurumsal iletişim (kriz yönetimi, kurul ve ilgili
kişiyi bilgilendirme süreçleri, itibar yönetimi vb.) eğitim ve farkındalık
faaliyetleri (bilgi güvenliği ve kanun), VERBİS bildirimi” şeklinde; teknik tedbirler ise “yetki matrisi, yetki kontrol, erişim
logları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, şifreleme,
sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri
maskeleme, veri kaybı önleme yazılımları, yedekleme, güvenlik duvarları, güncel
anti-virüs sistemleri, silme, yok etme veya anonim hale getirme, anahtar
yönetimi” şeklinde özetlenmiştir.
6698 sayılı Kanuna aykırılık hallerinde veri
sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında idari para
cezaları; kamu kurumu personelleri hakkında disiplin cezaları
uygulanabilecektir.
Sonuç
Mali amaçlarla Vergi Usul Kanunu ve
Uluslararası Anlaşmalara göre toplanan mali bilgiler için 6698 sayılı Kişisel
Verilerin Korunması Kanununda istisna düzenlemelerine yer verilmesine rağmen
mali bilgilerin kanunun amacına ve temel ilkelerine uygun ve orantılı olarak
işlenmesi, saklanması, imha edilmesi ve yurt dışına aktarılması süreçlerinde
Maliye Bakanlığı bünyesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu dikkate
alınarak veri gizliliği ve güvenliği için her türlü teknik ve idari tedbirin
gözden geçirilmesi ve bu düzenlemelerle uyumlu hale getirilmesi gerekmektedir.
Not: Makalenin tam hali Vergi Dünyası dergisinin 2019 yılı Ağustos sayısında yayımlanmıştır.
