Doç.Dr.Memduh ASLAN / Avukat SMMM
Veri işleme faaliyetinin kişisel verilerin korunma hakkına uyumlu olarak yürütülmesi gerekliliğini tamamlamak için kişisel verilerin korunmasına ilişkin mevzuat yeterli değildir. Temel ilkeleri belirleyen bu düzenlemelerin veri işleme faaliyetine sebep olan veya izin veren diğer hukuki düzenlemelerle birlikte dikkate alınması gerekmektedir. Bu nedenle veri işleme faaliyetlerinde KVKK uyumluluğu kimin, hangi amaçla, hangi hukuki sebebe dayanarak ve kimlerin verilerini işlediğine göre değişebilmektedir. Temel kişisel verileri koruma kuralları artık hepinizin hem kendi verimizi korurken hem de başkalarının haklarına saygı duyabilmemiz için bilmemiz gereken vatandaşlık kuralları arasında yer almaktadır.
Kişisel Veri Nedir
Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiye kişisel veri denilmektedir. Kişisel veriler eğer kişiyi zor durumda bırakabilecek, ayrımcılığa tabi tutabilecek nitelikte ise özel nitelikli olarak kabul edilmekte ve işlenmesine özel kısıtlamalar getirilmektedir. Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak kabul edilmektedir.
Kişisel Verinin Vergilendirme Açısından Hukuki Temeli
Anayasamızın 73. maddesi gereğince; herkes, kamu giderlerini karşılamak üzere, mali gücüne göre, vergi ödemekle yükümlü tutulmuştur. Tam kamusal mal ve hizmetlerin faydası bölünemediğinden kamu hizmetlerinden sadece vatandaşlar değil herkes faydalanmaktadır, o halde finansmanı sağlayacaklar da vatandaş ile sınırlı tutulmamış ve genel bir ifade ile devletin üzerinde egemenlik gücünü kullanabileceği herkes yükümlü kapsamına alınmıştır.
Vergi adaletini sağlamak bakımından vergi yükümlülüğüne mali güç ölçüsü getirilmiştir. Devletin vergilendirme yaparken mali gücün kime ait olduğunu veya vergi yükümlüsünün ne kadar mali güce sahip olduğunu tespit etmesi adalet için önemlidir. Nitekim, vergi yükünün adaletli ve dengeli dağılımı, maliye politikasının sosyal amacı olarak tanımlanmıştır.
Vergi Usul Kanununda vergi idaresinin bilgi alma yetkisi muhatapların bilgi verme mecburiyetleri 86, 148, 149, 150, 256 ve 257. maddelerde açıkça belirtilmiş, vergi mükelleflerine bildirim yükümlülüğü getirilmiştir. Kısacası vergi idaresi vergi kanunlarını uygulayabilmek ve vergilendirme işlemlerini yerine getirmek bakımından gerçek kişi vergi mükelleflerinin, tüzel kişi vergi mükelleflerinin ortaklarının, çalışanlarının, kanuni temsilcilerinin, müşterilerinin, tüzel kişiliği olmayanları idare edenlerin, kısacası herkesin her türlü verisini işlemektedir.
Türk Hukuk Sisteminde Kişisel verilerin Korunması Düzenlemeler
Bilgisayar ve yazılım teknolojilerinin gelişmesi ile kişisel verilerin otomatik vasıtalarla işlenmesi kişilerin hak ve özgürlüklerine olası olumsuz etkilere sebep olma riskini de beraberinde getirmektedir.
Ülkemiz de 1981 yılında 108 sayılı Sözleşme olarak bilinen ve kişisel verilerin korunmasına ilişkin temel başlangıç kabul edilen Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine taraf olmuştur. Bu sözleşmenin onaylanması ise ancak 2016 yılında tamamlanmıştır. Halihazırda 108 sayılı Sözleşme, 6669 sayılı Kanunla onaylandığı için Anayasaya aykırılığı ileri sürülemeyecek kanun gücüne kavuşmuştur.
108 sayılı Sözleşmenin onaylanması gecikmiş de olsa 2005 yılında Türk Ceza Kanunumuzla sözleşme esas alınarak kişisel veriler aleyhine işlenen suçlar tanımlanarak cezalandırılmaya başlanmıştır. Öyle ki, şikâyete tabi dahi tutulmamıştır. 2010 yılında yapılan Anayasa değişikliği ile kişisel verilerin korunması hakkı Anayasamızın 20. maddesindeki özel hayatın gizliliğinin bir parçası haline gelmiştir.
Vergilendirme Açısından Kişisel Verilerin Korunmasının Önemi ve Yasal Düzenlemeler
Vergilendirme işlemleri için otomatik yolla veri işleyen vergi idaresi, bu verileri risk analizi yapmak, denetim hedefi seçmek, istisna ve muafiyetleri uygulamak gibi amaçlarla bazen kategorize ederek bazen de kişisel veriyi vergi mükellefinin rızası olmadan toplamaktadır.
6698 sayılı Kişisel Verilerin Korunması Kanununun 2016 yılında yürürlüğe girmesi ve sonrasında düzenleyici ve denetleyici kurumlardan Kişisel Verileri Koruma Kurumunun çalışmaları ile her geçen gün kişisel verilerin önemi ve korunması bakımından farkındalık artmaktadır.
Kişisel verilerin işlemesine ilişkin kurallar genel olup, devlet de dahil olmak üzere bu kurallara tabidir. Ancak 108 sayılı Sözleşmenin 9. maddesi ile devletin mali menfaatlerinin korunması bakımından demokratik toplum kurallarına uygun olarak ancak kanunla istisnalar getirilebileceğine yer verilmiştir. 6698 sayılı Kişisel Verilerin Korunması Kanununun 28. maddesi ile de kişisel veri işlemenin bütçe, vergi ve mali konulara ilişkin olarak Devletin ekonomik ve mali çıkarlarının korunması için gerekli olması istisna tutmuştur.
Kişisel verilerin işlenmesi kural olarak yasaklanmamış, verisi işlenen ilgili kişilere sağlanan haklara uyumlu olması aranmıştır. Buna göre verisi işlenen ilgili kişinin verileri toplanmadan ne amaçla ne kadar süre kullanılacağı konusunda aydınlatma yapılarak genel rızasının alınması gerekmektedir. Verilerin başka veri sorumlularına aktarılması veya özel nitelikli verilerin işlenmesinde de daha açık rıza aranmaktadır. Kişiler verdiği rızalara sadık kalmak zorunda değillerdir. Bu rızaları istedikleri anda geri çekebilecekleri gibi tutulan verilerin kullanılmasa bile silinmesini veya imha edilmesini de talep edebileceklerdir.
İlgili kişi rızası olsun olmasın, kişisel veri işleyenlerin veri işleme amaçları meşru olmalıdır. Bu meşruiyet amaçla ve hukukla sınırlılık olarak ortaya çıkmaktadır. Hukuka aykırı amaçla verinin işlenmesi mümkün olmadığı gibi veri toplama amacıyla uyumlu olmayan konularda da kişisel verilerin işlenmesi mümkün değildir.
Vergi usul Kanununun 5. maddesi ile de vergi mahremiyetine ilişkin kurallara yer verilerek, vergi işlemlerinde görev alanların bu görevleri nedeniyle vergi mükelleflerinin şahıslarına, işlem ve hesaplarına, işlerine, işletmelerine, servetlerine veya mesleklerine ilişkin öğrendikleri sırları veya gizli kalması gereken diğer bilgileri başkalarına açıklamaları ve kendi ve üçüncü kişilerin yararına kullanmaları yasaklanmıştır.
Vergi idaresinin her ne kadar sınırsız bir şekilde kişilerin her türlü bilgisine erişebilme yetkisi olsa da vergilendirme işlemlerinin gerektirmediği bilgilerin toplanması ve bunların işlenmesi 6698 sayılı Kanunun 28. maddesi ve 108 sayılı Sözleşmenin 9. maddesindeki istisnaların dışında kişisel verilerin ihlali anlamına gelecektir.