14 Ağustos 2019 Çarşamba

Kişisel Verilerin Korunması Hukuku Kapsamında Mali Bilgilerin İşlenmesi


Kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin temel ilkelerin düzenlendiği 6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 07 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.



Kişisel veri, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü doğrudan veya dolaylı bilgi” olarak tanımlanmaktadır. Kişisel veri, gerçek kişiye ilişkin olup tüzel kişilere ilişkin veriler kişisel veri tanımı dışındadır. Bu bağlamda kişinin kimlik, iletişim, lokasyon, özlük, hukuki işlem, müşteri işlem, fiziksel mekan güvenliği, işlem güvenliği, risk yönetimi, finans, mesleki deneyim, pazarlama, görsel ve işitsel kayıtlar, ırk ve etnik köken, siyasi düşünce bilgileri, felsefi inanç, din, mezhep ve diğer inançlar, kılık ve kıyafet, dernek üyeliği, vakıf üyeliği, sendika üyeliği, sağlık bilgileri, ceza mahkumiyeti ve güvenlik tedbirleri, biyometrik veri, genetik veriler yanında mali bilgileri de (vergi kimlik no, vergi ödeme tutarları, asgari geçim indirimi, malvarlığı bilgileri, sendikalılık bilgisi, vergi suçu kayıtları vb) kişisel veri olup bu kapsamdaki bilgiler kimlik, finans, özlük ve ceza mahkumiyeti ve güvenlik tedbirleri gibi veri kategorileri içerisinde yer alabilmektedir.

Kişisel verilerin işlenmesi ise “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak son derece geniş kapsamlı olarak tanımlanmıştır.

KVKK’nin yürürlüğe girmesi ile birlikte Vergi İdaresinin elde ettiği mali bilgilerin toplanması, uluslararası bilgi değişimi dahil aktarılması, saklanması ve imha edilmesi önemli konulardan biri haline gelmiştir.

Mali bilgiler, ekonomik ve sosyal hayat içerisinde gerek özel kuruluşlar (gerçek ve tüzel kişiler) gerekse kamu tüzel kişileri tarafından işlenip aktarılabilmektedir.

Mali bilgilerin özel kurum ve kuruluşlar tarafından işlenmesi

Özel kuruluşların (gerçek ve tüzel kişiler) kişisel verileri işlemesi ve aktarması, VUK’un “bilgi verme” başlıklı 148. maddesi, Gelir Vergisi Kanunu’nun “Asgari geçim indirimi” başlıklı 32. maddesi, “vergi tevkifatı” başlıklı 94. maddesi, “engellilik indirimi” başlıklı 31. maddesi veya vergi veya SGK teşviklerinden yararlanma gibi kapsamda işlenmekte ve aktarılmaktadır.

Veri sorumlusunun, “kanunlarda açıkça öngörülmesi”, “hukuki yükümlülüğün yerine getirebilmesi için zorunlu olması” veya “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hallerinde kişisel veri işlemesi ve aktarması, Kanun’un 5., 6. ve 7. maddeleri kapsamında yasal işleme/aktarma şartlarından (hukuka uygunluk hallerinden) olup bu hallerin varlığında ilgili kişiden açık rıza alınmasına gerek yoktur. İşverenin, muhtasar/prim hizmet beyannamesi vermesi, çalışana ait sendikalılık bilgisinin özlük dosyasında tutulması, engelli çalışana ilişkin rapor ve belgelerin işyeri hekimi tarafından işlenmesi, engelli bir kişinin ÖTV istisnasından yararlanabilmesi için sağlık raporlarının işyeri hekimi tarafından işlenmesi, vergi denetimi sırasında çalışanlarına veya müşterilerine ait bilgileri vergi müfettişinin incelemesine sunulması bu kapsamda değerlendirilebilir.

Mali bilgilerin yetkili kamu kurum ve kuruluşları tarafından işlenmesi

Bazı mali bilgilerin işlenmesi tam istisna kapsamında mütalaa edilmektedir. Kanunun 28.1.ç. maddesine göre; “Kişisel verilerin ..... ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi” tam istisna kapsamındadır. Suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda; yetkili birim (örneğin yükümlülerin uyum birimi) tarafından yürütülen faaliyetler kapsamında işlenen veriler bu istisna kapsamındadır. MASAK tarafından ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler “tam istisna” olarak Kanun kapsamı dışında tutulmaktadır.

Bazı mali bilgilerin işlenmesi ise 6698 sayılı Kanun’un 28.2.ç. maddesine göre; kısmi istisna kapsamına alınmıştır: “ç. Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması”. Fakat, bu durumda dahi veri işlenmesi Kanunun amacına ve temel ilkelerine uygun ve orantılı olması gerekmektedir.

“Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi ile disiplin soruşturma veya kovuşturması için gerekli olması” da “kısmi istisna” niteliğindedir. Örneğin, Vergi Denetim Kurulu ve vergi müfettişleri tarafından toplanan ve işlenen veriler kısmi istisna olarak kanun kapsamı dışında tutulmuştur.

Vergi Usul Kanunu (VUK)’nun “148 bilgi verme”, “149 devamlı bilgi verme”, “152/A uluslararası anlaşmalar gereğince bilgi değişimi” maddelerinde Maliye Bakanlığı’na bilgi toplama ve bilgi değişimi yetkileri verilmiş olup bilgi verilmemesi özel usulsüzlük cezasına bağlanmıştır. Ayrıca, 152. maddede toplanacak bilgiler istihbarat arşivlerinde gizli olarak saklanacağı hüküm altına alınmıştır.

Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla verilerin işlenmesi, aktarılması, imha edilmesi ve yurt dışına aktarılması (bilgi değişimi) gerekmektedir. Bu durumda dahi verilerin işlenmesi, silinmesi, yok edilmesi, aktarılması ve yurt dışına aktarılmasına ilişkin kanuni esaslara uyulması gerekmektedir. Bu durumlarda bile kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.

En önemlisi, veri sorumlusunun Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak gibi veri güvenliğine ilişkin yükümlülükleri ve bu yükümlülüklere aykırılıklardan doğan zararları tazmin sorumluluğu devam etmektedir.

Vergi işlemlerinde görev alan kişilerin süresiz sır saklama yükümlülüğü, VUK’un 5. maddesi “vergi mahremiyeti” başlığı altında düzenlenmiştir. Kamu görevlilerince yapılan adlî ve idarî soruşturmalar, tahsilat amacıyla bankalara verilen bilgiler, başka kamu kurum ve kuruluşlarının görevleriyle doğrudan ilgili ve görevlerinin ifası için zorunluluk ve süreklilik arz eden bilgilerin bu kuruluşlara verilmesi gibi hususlar vergi mahremiyetinin ihlaline neden olmayacağı belirtilmiştir.

Vergi Anlaşmaları Kapsamında Uluslararası Bilgi Değişimi

VUK’un “Uluslararası anlaşmalar gereğince bilgi değişimi” başlıklı 152/A maddesine göre; Maliye Bakanlığı Gelir İdaresi Başkanlığı veya vergi incelemesi yapmaya yetkili olanlar, usulüne uygun olarak yürürlüğe girmiş uluslararası anlaşmalarda yer alan bilgi değişimi hükümleri çerçevesinde, Maliye Bakanlığınca tespit edilecek usullere göre bu Kanunun 1 inci maddesinde belirlenen şümulle sınırlı olmaksızın bilgi toplayabilir.

6698 sayılı Kanun’un 9 uncu maddesinin son fıkrasında; kişisel verilerin yurtdışına aktarılmasına ilişkin ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Çifte Vergilendirmeyi Önleme Anlaşmaları, Bilgi Değişimi Anlaşmaları, çok taraflı işbirliği ve/veya yardımlaşma anlaşmaları kapsamında mali bilgilerin değişimi söz konusu olmaktadır. Bunun da ilgili uluslararası antlaşma ve 6698 sayılı Kanun’un 9 uncu maddesi son fıkrasına uygun bir şekilde yurt dışına aktarılması yapılabilmektedir.

Örneğin Gelir İdaresi Başkanlığı ile Vergi Denetim Kurulu tarafından yapılacak uluslararası bilgi değişimini düzenleyen Vergi Usul Kanunu’nun 152/A maddesi ile MASAK tarafından yapılacak uluslararası bilgi değişimini de içeren 1 sayılı Cumhurbaşkanlığı Kararnamesi’nin 231. maddesi öncelikli olarak uygulanacaktır. Ayrıca, Ülkemizin uluslararası anlaşmalar kapsamında ÇVÖA, FATCA, CRS ve bilgi değişimi anlaşmaları kapsamında yapacağı bilgi değişimleri hem Kanun atfı nedeniyle öncelikle uygulanma hem de Kurul’un yeterli korumanın bulunduğu ülkeler listesini hazırlarken dikkate alacağı unsurlar arasında olacaktır.

Veri Güvenliğine İlişkin Teknik ve İdari Tedbirler

Veri sorumlularının alması gereken teknik ve idari tedbirler konusunda uygulamada açıklık sağlanması ve iyi uygulama örnekleri oluşturması amacıyla Kişisel Verileri Koruma Kurulu tarafından Kişisel Veri Güvenliği Rehberi hazırlanmıştır.

Rehberde; idari tedbirler, “kişisel veri işleme envanteri hazırlanması, kurumsal politikalar (erişim, bilgi güvenliği, kullanım, saklama ve imha vb.), sözleşmeler (veri sorumlusu - veri sorumlusu, veri sorumlusu- veri işleyen arasında ), gizlilik taahhütnameleri, kurum içi periyodik ve/veya rastgele denetimler, risk analizleri, iş sözleşmesi, disiplin yönetmeliği (kanuna uygun hükümler ilave edilmesi), kurumsal iletişim (kriz yönetimi, kurul ve ilgili kişiyi bilgilendirme süreçleri, itibar yönetimi vb.) eğitim ve farkındalık faaliyetleri (bilgi güvenliği ve kanun), VERBİS bildirimi” şeklinde; teknik tedbirler ise “yetki matrisi, yetki kontrol, erişim logları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, şifreleme, sızma testi, saldırı tespit ve önleme sistemleri, log kayıtları, veri maskeleme, veri kaybı önleme yazılımları, yedekleme, güvenlik duvarları, güncel anti-virüs sistemleri, silme, yok etme veya anonim hale getirme, anahtar yönetimi” şeklinde özetlenmiştir.

6698 sayılı Kanuna aykırılık hallerinde veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında idari para cezaları; kamu kurumu personelleri hakkında disiplin cezaları uygulanabilecektir.

Sonuç

Mali amaçlarla Vergi Usul Kanunu ve Uluslararası Anlaşmalara göre toplanan mali bilgiler için 6698 sayılı Kişisel Verilerin Korunması Kanununda istisna düzenlemelerine yer verilmesine rağmen mali bilgilerin kanunun amacına ve temel ilkelerine uygun ve orantılı olarak işlenmesi, saklanması, imha edilmesi ve yurt dışına aktarılması süreçlerinde Maliye Bakanlığı bünyesinde 6698 sayılı Kişisel Verilerin Korunması Kanunu dikkate alınarak veri gizliliği ve güvenliği için her türlü teknik ve idari tedbirin gözden geçirilmesi ve bu düzenlemelerle uyumlu hale getirilmesi gerekmektedir.


Not: Makalenin tam hali Vergi Dünyası dergisinin 2019 yılı Ağustos sayısında yayımlanmıştır.

Hiç yorum yok:

Yorum Gönder