Ercan Serdar TOKSOY

Kişisel veri kelimesini kavramsal olarak irdelemek için hareket noktası olarak kişisel ve veri kavramlarının tanımlanması isabetli olacaktır. Bu açıdan değerlendirildiğimizde Türk Dil Kurumu’nun Güncel Türkçe Sözlüğü’ne göre, kişisel kavramı, kişi ile ilgili, kişiye ilişkin, kişinin kendi malı olan, şahsi anlamlarına gelmektedir. Veri ise, bir araştırmanın, bir tartışmanın, bir muhakemenin temeli olan ana öğe, muta ve done anlamına gelmektedir. ⁽¹⁾

Kişisel veri tanımına, Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen ve 07.04.2016 tarih ve 29677 sayılı Resmî Gazete’de yayınlanan 6698 Sayılı Kanun’da da yer verilmiştir. Kanun’un 3/1-d maddesine göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade etmektedir.⁽²⁾ Kanunumuzda yer alan kişisel veri kavramının kaynağı OECD Rehberi, 108 sayılı Sözleşme, 95/46 sayılı Yönerge ve GVKT’de yer alan tanımdır.

Yargıtay 12. Ceza Dairesi’nin 05.02.2020 tarihli kararında kişisel veri kavramı ve Türk Ceza Kanunu’nda yer alan düzenlemeler değerlendirilerek, herkes tarafından bilinen ve/veya kolaylıkla ulaşılması ve bilinmesi mümkün olan kişisel bilgilerin de, yasal anlamda “kişisel veri” olarak kabul edilmesi gerektiğine hükmedilmiştir. ⁽³⁾

Kişisel veri genel anlamda değerlendirildiğinde üç unsurdan oluşmaktadır. Bu unsurlardan ilki veri – bilgi ayrımıdır. Bu iki kavram genellikle birbirine karıştırılmaktadır. Veri bilginin ham hali anlamına geldiğinden, işlenmesi ve anlamlandırılması gerekmektedir. ⁽⁴⁾ Enformasyon anlamlıdır, konu ile ilgilidir ve belirli bir amaç çerçevesinde şekillenmiştir.⁽⁵⁾

Kişisel verinin ikinci unsuru kimliğinin belirli veya belirlenebilir olmasıdır. Bu unsuru biraz daha açacak olursak kişisel verilerin korunmasına ilişkin en önemli kaynaklardan birisini oluşturan 108 Sayılı Sözleşme’nin modernize edilmesi suretiyle hazırlanan 108+ Sözleşmesi’nin Açıklayıcı Raporu’nda da belirlenebilir olmaya ilişkin önemli açıklamalara yer verilmiştir.⁽⁶⁾ Söz konusu Açıklayıcı Raporun 17. paragrafına göre, kişi doğrudan ya da dolaylı olarak belirlenebilir olabilecektir. Ancak bir kişinin belirlenmesinin makul olmayan bir zaman, emek ya da kaynak gerektirmesi halinde kişi belirlenebilir kabul edilmeyecektir. Makul olmayan bir zaman, emek ya da kaynakların varlığı hususunda, teknoloji ve diğer gelişmeler de dikkate alınarak, objektif kriterlere göre karar verilecektir.

Kişisel verinin üçüncü unsuru ise kişidir. 1982 Anayasasının 20. maddesinin 3. fıkrasında kişisel verileri koruma açısından herhangi bir ayrıma tabi tutulmaksızın kişi kavramına vurgu yapılmıştır. Anayasa Mahkemesi de, 04.12.2014 tarihinde verdiği bir kararında, Avrupa ve dünyadaki gelişimin, tüzel kişilerin de kişisel verilerin korunması kapsamında dâhil edilmesi gerektiği doğrultusunda olduğunu belirtmiştir. ⁽⁷⁾

Benzer şekilde, Yargıtay Hukuk Genel Kurulu da, 17.06.2015 tarihli kararında, kişisel verinin tanımını, tüzel kişilere ilişkin her türlü bilgiyi de dâhil edecek şekilde yapmıştır. ⁽⁸⁾ Ancak 6698 sayılı Kişisel Verileri Koruma Kanunu’nda ise, sadece gerçek kişilere ait veriler kişisel veri olarak kabul edilmektedir.

KİŞİSEL VERİLERİN KORUNMASININ VERGİ
HUKUKU AÇISINDAN DEĞERLENDİRİLMESİ

Vergi hukukunun önemli taraflarından biri olan mükellefler ile ilgili kişisel verilerin korunması ile ilgili hem vergi mevzuatında hem de iltisaklı olduğu diğer kanunlarda birçok hüküm yer almaktadır.

6102 sayılı Türk Ticaret Kanunu’nun 24. maddesinde, ticaret sicili müdürlükleri tarafından ticaret sicilinin tutulacağı ve ticaret sicili kayıt işlemlerinin elektronik ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel verilerin, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin mevzuata uygun bir şekilde korunacağı düzenlenmiştir. Söz konusu Kanun’un 780/2 maddesine göre ise, çek alacaklıları, ellerinde bulunan çek ile çek hesabı sahibine ve bu çeki düzenleyenlere ilişkin verilere karekod aracılığıyla erişim sağlayabilir. Bu çerçevede, çek hesabı sahibinin adı, soyadı, ticaret unvanı gibi çok sayıda veri, rıza aranmaksızın üçüncü kişilerin erişimine sunulmaktadır.

Benzer şekilde, hizmet sağlayıcı ve aracı hizmet sağlayıcının elde ettiği kişisel verilerin saklanmasından ve güvenliğinden sorumlu olduğunu ve bu verileri onay olmaksızın üçüncü kişilere iletemeyeceği/ başka amaçlarla kullanamayacağını düzenleyen 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 10. maddesi, 5421 sayılı Bankacılık Kanunu’nun sırların saklanmasına ilişkin 73. maddesi, 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu’nun sağlık hizmeti sunucularının kayıt ve bildirim zorunluluğu ve kontrol yetkisine ilişkin 78. maddesi, 5684 sayılı Sigortacılık Kanunu’nun sır saklama yükümlülüğüne ilişkin 31/A maddesi ile 4857 sayılı İş Kanunu’nun işçi özlük dosyasına ilişki 75. maddesinde de vergi mükelleflerinin verilerinin işlenmesine ilişkin düzenlemeler bulunmaktadır.

178 sayılı Kanun Hükmünde Kararname ile Hazine ve Maliye Bakanlığı’na ilişkin önemli hükümler sevk edilmiş olup, bu Kararname yürürlükten kaldırılmıştır. Bununla birlikte, 1 sayılı Cumhurbaşkanlığı Kararnamesi’nin 8. bölümünde, Hazine ve Maliye Bakanlığı’nın görev ve yetkilerine ilişkin oldukça kapsamlı hükümlere yer verilmiştir. Bu çerçevede, m. 217/1-g kapsamında, Hazine ve Maliye Bakanlığı’nın birtakım görevli ve yetkileri sayılmıştır. Buna göre, Bakanlığın temel görev ve yetkilerinden birisi de, vergi inceleme ve denetimlerine ilişkin politika ve stratejilerin belirlenmesi ve buna yönelik çalışmaların yürütülmesidir. Bu anlamda, vergi incelemelerinin yapılması açısından Bakanlığın en önemli yetkilerinden birisini de risk analizleri oluşturmaktadır. Nitekim Hazine ve Maliye Bakanlığı, m. 217/1-ğ hükmüne göre risk analizi yapmaya yetkilidir. Risk Analiz Genel Müdürlüğü tarafından, veri aktarımı da yapılabilecektir. Nitekim söz konusu Müdürlüğün m. 221/1-ç hükmüne göre risk analizi ve değerlendirme sonuçlarını birtakım kurum ve kuruluşlara iletmesi mümkündür.

Bakanlık bünyesinde risk analizleriyle ilgili yetkili tek kurum olarak Risk Analiz Genel Müdürlüğü olarak öngörülmemiştir. Nitekim Bakanlığın önemli hizmet birimlerinden biri olan Vergi Denetim Kurulu da, m. 228/4-b hükmü gereği risk analizi yapmaya yetkili kılınmıştır.