Makale

Vergi idaresi, devletin anayasal vergi toplama görevini yerine getirirken gerçek kişi mükelleflerin mali, ekonomik ve şahsi nitelikteki devasa boyutlardaki kişisel verilerine temas etmektedir. Bu denli geniş bir veri işleme faaliyetinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili alt mevzuat kapsamında titizlikle yürütülmesi yasal bir zorunluluktur. Her ne kadar vergi idaresinin kamu gücü ayrıcalıklarından yararlanması ve KVKK'nın istisna hükümleri nedeniyle veri işleme süreçleri kolaylaşmış gibi görünse de, idarenin temel veri koruma ilkelerinden ve anayasal güvencelerden muaf tutulması hukuken mümkün değildir. İdarenin, vergi mahremiyeti ve kişisel verilerin korunması hakkı arasındaki hassas dengeyi gözeterek hukuka uygun veri işleme şartlarını sağlaması gerekmektedir. Aksi bir durum, yalnızca verisi işlenen mükelleflerin anayasal haklarının ihlali anlamına gelmeyecek; aynı zamanda vergi idaresinin ağır hukuki, mali ve disiplin sorumlulukları ile karşı karşıya kalmasına neden olacaktır. Bu makalede, vergi idaresinin KVKK kapsamındaki asli yükümlülükleri ve hukuka aykırı veri işleme faaliyetlerinin hukuki sonuçları, güncel mevzuat ışığında uygulamaya dönük olarak ele alınmaktadır.

Vergi İdaresinin Veri İşlemede Tabi Olduğu Temel Yükümlülükler

Vergi idaresi, kanunların kendisine verdiği yetkiler çerçevesinde hareket ederken, KVKK'nın 4. maddesinde düzenlenen genel ilkelere mutlak surette uymak zorundadır. Bu ilkeler; verilerin hukuka ve dürüstlük kurallarına uygun işlenmesi, doğru ve gerektiğinde güncel tutulması, belirli, açık ve meşru amaçlar için işlenmesi, işlemenin amacı ile bağlantılı, sınırlı ve ölçülü olması ve mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesidir. Özellikle vergi hukukundaki zamanaşımı süreleri dikkate alındığında, verilerin amacın gerektirdiğinden daha uzun süre tutulmaması ilkesi büyük önem taşır. Vergi idaresi, vergi kayıp ve kaçağını önlemek gibi meşru bir amaca dayanarak kişisel verileri işlese dahi, bu işlemi gerçekleştirirken şeffaf olmalı ve mükellefin beklemediği sonuçlar doğuracak keyfi müdahalelerden kaçınmalıdır.

VERBİS'e Kayıt ve Aydınlatma Yükümlülüğü

KVKK kapsamında veri sorumlusu sıfatını haiz olan idareler, kişisel veri işlemeye başlamadan önce Veri Sorumluları Sicil Bilgi Sistemine kaydolmak ve bir Kişisel Veri İşleme Envanteri hazırlamakla mükelleftir. Vergi idaresinin KVKK'nın 28. maddesinde belirtilen kısmi veya tam istisna halleri dışında kalan rutin işlemleri ve kendi personeline yönelik faaliyetleri bu kayıt yükümlülüğü kapsamındadır. Bunun yanı sıra, istisna hükümleri saklı kalmak kaydıyla, kişisel verilerin elde edilmesi sırasında mükelleflere yönelik aydınlatma yükümlülüğünün yerine getirilmesi şarttır. Aydınlatma metninde; vergi idaresinin kimliği, hukuki sebep, veri işleme amacı ve aktarım alıcıları gibi bilgilerin açıkça belirtilmesi, hukuk devleti ve hukuki güvenlik ilkelerinin bir gereğidir. Ayrıca, gereğinden uzun süre tutulan verilerin imhası için Saklama ve İmha Politikası belirlenmeli, idari ve teknik tedbirler zamanında alınmalıdır.

Veri Güvenliğini Sağlama ve İhlal Bildirimi Yükümlülüğü

Vergi idaresinin en kritik sorumluluklarından biri de KVKK'nın 12. maddesi kapsamında veri güvenliğini sağlamaya yönelik teknik ve idari tedbirleri almaktır. Vergi idaresi, siber saldırılar veya yetkisiz erişimler sonucunda mükelleflerin mali ve şahsi verilerinin hukuka aykırı olarak işlenmesini engellemek için güvenlik düzeyini en üstte tutmalıdır. Tüm bu güvenlik tedbirlerine rağmen bir veri ihlali gerçekleşmesi durumunda, idare bu durumu en geç 72 saat içerisinde Kişisel Verileri Koruma Kuruluna ve etkilenen mükelleflere bildirmek zorundadır. Olası ihlallerde hızlı hareket edebilmek adına idare bünyesinde bir veri ihlali müdahale planı bulunması ve personelin veri güvenliği ile vergi mahremiyeti konularında düzenli eğitime tabi tutulması hukuki riskleri azaltacaktır.

Kişisel Verilerin Hukuka Aykırı İşlenmesinin Hukuki Sonuçları

İdarenin kişisel verileri hukuka aykırı işlemesi durumunda, mükelleflerin kendilerini koruyabilecekleri etkili hukuki başvuru yolları bulunmaktadır. Mükellef öncelikle KVKK'nın 13. maddesi kapsamında vergi idaresine doğrudan başvuru hakkını kullanarak ihlalin giderilmesini, verilerin silinmesini veya düzeltilmesini talep edebilir. Vergi idaresinin bu başvuruyu reddetmesi, yetersiz cevap vermesi veya süresinde cevaplamaması halinde, mükellef Kişisel Verileri Koruma Kuruluna şikayet hakkını kullanabilir. Bunların ötesinde, hukuka aykırı işleme nedeniyle doğrudan bir zarar doğmuşsa, mükelleflerin Türk Medeni Kanunu ve Türk Borçlar Kanunu hükümleri saklı kalmak üzere maddi ve manevi tazminat davası açma hakkı idari yargıda tam yargı davası yoluyla her zaman mevcuttur.

Vergi İdaresi ve Kamu Görevlileri Açısından Yaptırımlar

Kişisel verilerin korunması hukukunda ihlallerin vergi idaresine getireceği yaptırımlar özel hukuk tüzel kişilerinden farklılık gösterir. KVKK'nın 18. maddesi uyarınca, yükümlülüklere aykırılık halinde Kurul tarafından öngörülen idari para cezaları doğrudan kamu idarelerine uygulanamaz. Ancak ihlalin devlet kurumları bünyesinde işlenmesi durumunda, Kurulun bildirimi üzerine hukuka aykırı fiili gerçekleştiren ilgili memurlar ve kamu görevlileri hakkında disiplin hükümleri uygulanır. Ayrıca, idarenin veri güvenliğini sağlamaması hizmet kusuru teşkil edeceğinden, idare aleyhine açılacak tazminat davaları neticesinde hazineden çıkan tazminat bedelleri, kusuru bulunan kamu görevlisine rücu edilebilir. Son olarak, fiilin aynı zamanda Türk Ceza Kanunu kapsamında bir suç teşkil etmesi halinde, ilgili görevliler hakkında cezai soruşturma süreci başlar.