Şenol KOCAER, Avukat (Eski Rekabet Uzmanı, Eski Hesap Uzmanı) | DL Hukuk
6698 sayılı Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile birlikte Vergi İdaresinin elde ettiği mali bilgilerin güvenliğinin sağlanması önemli konulardan biri haline gelmiştir.
Kişisel veri, bireylerin kimliklerini belirli hale getirmeye elverişli her türlü bilgi olarak tanımlanmaktadır. Bu bağlamda kişinin kimlik, iletişim, sağlık ile özel hayatına, dini inancına ve siyasi görüşüne ilişkin bilgiler yanında mali bilgileri de kişisel veridir.
2010 yılında Anayasanın 20 nci maddesinde yapılan düzenlemeyle, kişisel verilerin korunması temel bir insan hakkı olarak güvence altına alınmış ve detayların kanunla düzenlenmesi öngörülmüştür.
Başta 95/46/EC sayılı Avrupa Birliği Direktifi gibi uluslararası düzenlemeler de dikkate alınarak kişisel verilerin işlenme şartlarının, bireylerin aydınlatılmasının, bu alanı denetleyecek ve düzenleyecek bir otoritenin oluşturulmasının, veri güvenliğine ilişkin temel ilkelerin düzenlendiği 6698 Sayılı Kişisel Verilerin Korunması Kanunu ise 07 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girmiştir.
5237 sayılı Türk Ceza Kanununun 135 ve devamı maddelerinde ise kişisel verilerin hukuka aykırı olarak elde edilmesi, kaydedilmesi veya ifşa edilmesi fiilleri suç olarak düzenlenmiş ve hapis cezası yaptırımına bağlanmıştır. 6698 sayılı Kanunla, kişisel verilerin işlenmesine yönelik özel bir kanunun ihdas edilerek kişisel verilerle ilgili fiillerin ne zaman hukuka uygun; ne zaman hukuka aykırı olduğunun belirlenmesinde açıklık sağlanmıştır.
Vergi uygulamasında kişilere ait mali bilgiler, Maliye Bakanlığı, MASAK, Gelir İdaresi Başkanlığı, Vergi Denetim Kurulu ve vergi müfettişleri tarafından bankalar ile mükellefle ve vergi doğuran olayla ilgili diğer kişilerden istenebilmektedir. Vergi Usul Kanunu’nun 5 inci, 148 ila 152/A maddelerinde Maliye Bakanlığı’na bilgi toplama yetkileri verilmiş olup bilgi verilmemesi özel usulsüzlük cezası yaptırımına bağlanmıştır.
Mali bilgilerin Vergi İdarelerince işlenmesi, 6698 sayılı Kanunun tam veya kısmi istisnaları arasına alınmıştır.
6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamı dışında bırakılan konular, Kanunun “İstisnalar” başlıklı 28. Maddesinde düzenlenmiştir. Bu çerçevede, Kanun kapsamına girmeyen haller, 28. maddede tamamen veya kısmen kapsam dışı olan haller olmak üzere ikili bir ayrıma tabi tutulmuştur. Bu maddenin 1. fıkrasında “tam istisnalar”, 2. fıkrasında ise “kısmi istisnalar” düzenlenmiştir. Tam istisna halinde Kanun hükümleri hiçbir şekilde uygulanmamakta iken; kısmi istisna hallerinde ise Kanunun sadece bazı hükümleri (aydınlatma yükümlülüğü, ilgili kişinin hakları ve VERBİS’e kayıt hükümleri) uygulanmamaktadır.
Maddenin birinci fıkrasında; kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini veya ekonomik güvenliği sağlamaya yönelik olarak kanunla görev ve yetki verilmiş kamu kurum ve kuruluşları tarafından yürütülen önleyici, koruyucu ve istihbari faaliyetler kapsamında işlenmesi tam istisna kapsamında sayılmıştır. Suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve mali suçların araştırılması konusunda; görevli birimler tarafından yürütülen faaliyetler kapsamında işlenen veriler tam istisna kapsamındadır. Ayrıca, MASAK tarafından ekonomik güvenliği sağlamaya yönelik olmak üzere mali araştırma yapmak, mali istihbarat elde etmek ve üretmek, veri toplamak, şüpheli işlem bildirimleri ve diğer bildirimleri almak, analiz etmek, değerlendirmek, inceleme yapmak ve ilgili kurumlarla paylaşmak suretiyle işlediği veriler tam istisna olarak Kanun kapsamı dışında tutulmaktadır.
Maddenin ikinci fıkrasında; kısmen Kanun kapsamı dışında kalan hususlar düzenlenmektedir. Buna göre, kural olarak bu fıkrada sayılan haller kanun hükümlerine tabi olmakla birlikte, sadece fıkrada belirtilen kanun maddelerinde düzenlenen hükümler bakımından istisna tutulmaktadır. Bu bağlamda ikinci fıkrada, Kanunun amacına ve temel ilkelerine uygun ve orantılı olmak kaydıyla; veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10 uncu, zararın giderilmesini talep etme hakkı hariç, ilgili kişinin haklarını düzenleyen 11 inci ve VERBİS’e kayıt yükümlülüğünü düzenleyen 16 ncı maddelerinin uygulanmayacağı haller düzenlenmektedir.
Bu durumda dahi verilerin işlenmesi, silinmesi, yok edilmesi, aktarılması ve yurt dışına aktarılmasına ilişkin kanuni esaslara uyulması gerekmektedir. Bu durumlarda bile kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. En önemlisi, veri sorumlusunun Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak gibi veri güvenliğine ilişkin yükümlülükleri ve bu yükümlülüklere aykırılıklardan doğan zararları tazmin sorumluluğu devam etmektedir.
Kişisel veri işlemenin kanunun verdiği yetkiye dayanılarak görevli ve yetkili kamu kurum ve kuruluşlarınca, denetleme veya düzenleme görevlerinin yürütülmesi kapsamında işlenmesi yani Vergi Denetim Kurulu ve vergi müfettişleri tarafından toplanan ve işlenen veriler kısmi istisna kapsamında ele alınmıştır.
Kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması da kısmi istisna kapsamına alınmıştır. Fakat, bu durumda dahi veri işlenmesi Kanunun amacına ve temel ilkelerine uygun ve orantılı olması gerekmektedir.
Ayrıca, Maliye Bakanlığı Gelir İdaresi Başkanlığı veya vergi incelemesi yapmaya yetkili olanlar, usulüne uygun olarak yürürlüğe girmiş uluslararası anlaşmalarda yer alan bilgi değişimi hükümleri çerçevesinde bilgi toplayabilmektedirler. Çifte Vergilendirmeyi Önleme Anlaşmaları, Bilgi Değişimi Anlaşmaları, çok taraflı işbirliği ve/veya yardımlaşma anlaşmaları kapsamında mali bilgilerin değişimi söz konusu olmaktadır. Bunun da ilgili uluslararası antlaşma ve 6698 sayılı Kanun’un 9 uncu maddesine uygun bir şekilde yurt dışına aktarılması yapılabilmektedir. Fakat, söz konusu maddenin son fıkrasında kişisel verilerin yurtdışına aktarılmasına ilişkin ilgili kanunlarda yer alan hükümlerin saklı olduğu hüküm altına alınmaktadır. Buna göre, örneğin Gelir İdaresi Başkanlığı ile Vergi Denetim Kurulu tarafından yapılacak uluslararası bilgi değişimini düzenleyen Vergi Usul Kanunu’nun 152/A maddesi ile MASAK tarafından yapılacak uluslararası bilgi değişimini de içeren 1 sayılı Cumhurbaşkanlığı Kararnamesi’nin 231. maddesi öncelikli olarak uygulanacaktır. Ayrıca, Ülkemizin uluslararası anlaşmalar kapsamında FATCA ve CRS kapsamında yapacağı bilgi değişimleri hem Kanun atfı nedeniyle öncelikle uygulanma hem de Kurul’un yeterli korumanın bulunduğu ülkeler listesini hazırlarken dikkate alacağı unsurlar arasında olacaktır.
6698 sayılı Kanuna aykırılık hallerinde veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında idari para cezaları; kamu kurumu personelleri hakkında disiplin cezaları uygulanabilecek ve sonucu Kurula bildirilecektir.
Sonuç olarak, vergi amaçlı olarak Vergi Usul Kanunu ve Uluslararası Anlaşmalara göre toplanan mali bilgiler için 6698 sayılı Kanunda istisna düzenlemelerine yer verilmesine rağmen mali bilgilerin kanunun amacına ve temel ilkelerine uygun ve orantılı olarak işlenmesi, silinmesi, yok edilmesi ve yurt dışına aktarılması, en önemlisi gizlilik ve veri güvenliği için her türlü teknik ve idari tedbirlerin alınması zorunludur.
Bu çerçevede, mali bilgilerin gizlilik ve güvenliğini sağlayacak teknik ve idari yapılanma gözden geçirilebilir.