Şahıs Şirketlerine Ait POS Fişlerinde T.C. Kimlik Numarasının Yer Alması

Vergi Mevzuatı Zorunluluğu ile Kişisel Verilerin Korunması Yükümlülüğü Arasındaki Dengenin Değerlendirilmesi

Şahıs şirketi şeklinde faaliyet gösteren işletmelerin kredi kartı ve banka kartı tahsilatlarında kullanılan POS cihazlarından çıkan fişlerde, işletme sahibine ait T.C. kimlik numarasının açık şekilde yer alması, uygulamada sıkça karşılaşılan ancak hukuki boyutları çoğu zaman göz ardı edilen bir durumdur.

Bu uygulama; bir yandan vergi mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesini amaçlarken, diğer yandan kişisel verilerin korunması, özel hayatın gizliliği ve veri güvenliği bakımından çeşitli riskleri gündeme getirmektedir.

Bu kurumsal yayında, söz konusu uygulama; vergi mevzuatı, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve Kişisel Verileri Koruma Kurulu’nun güncel yaklaşımı çerçevesinde ele alınacaktır.

II. VERGİ MEVZUATI BAKIMINDAN HUKUKİ DAYANAK

Şahıs şirketleri, Türk hukukunda tüzel kişiliği bulunmayan ve doğrudan gerçek kişi üzerinden vergilendirilen işletmelerdir. Bu nedenle işletmeye ait mali ve ticari belgelerde yer alan bilgiler, doğrudan işletme sahibine ilişkindir.

2006 yılında yapılan düzenleme ile birlikte;

·         Türkiye Cumhuriyeti vatandaşlarının

·         vergi kimlik numarası olarak T.C. kimlik numarasının kullanılmasıesası benimsenmiştir.

Bu doğrultuda, Gelir İdaresi Başkanlığı’nın ilgili tebliğleri uyarınca;

·         Fatura, fiş ve benzeri mali belgelerde,

·         Vergi kimlik numarası alanında,

·         11 haneli T.C. kimlik numarasının yer alması zorunlu hâle gelmiştir.

Yeni nesil ödeme kaydedici cihazlar ve POS sistemleri de bu kapsamda değerlendirilmekte; şahıs şirketlerine ait POS fişlerinde işletme sahibinin T.C. kimlik numarasının basılması, mevzuat gereği zorunlu tutulmaktadır.

III. T.C. KİMLİK NUMARASININ KİŞİSEL VERİ NİTELİĞİ

6698 sayılı KVKK uyarınca T.C. kimlik numarası, özel nitelikli kişisel veri olarak sınıflandırılmamakla birlikte, kişiyi doğrudan belirlenebilir kılan temel kişisel verilerden biridir.

Kişisel Verileri Koruma Kurulu’nun yayımladığı rehber ve ilke kararlarında;

·         Kimlik numaralarının,

·         Başka kişisel verilere erişim sağlayan bir “anahtar veri” niteliği taşıdığı,

·         Bu nedenle yüksek risk barındırdığıözellikle vurgulanmaktadır.

Kurul, kanunlarda açıkça öngörülmeyen hâllerde T.C. kimlik numarasının işlenmesini, ölçülülük ve gereklilik ilkeleri bakımından sorunlu görmektedir.

IV. POS FİŞLERİNDE KİMLİK NUMARASININ YER ALMASININ KVKK AÇISINDAN DEĞERLENDİRİLMESİ

POS fişlerinde T.C. kimlik numarasının yer alması, vergi mevzuatına dayalı bir veri işleme faaliyeti olduğundan, KVKK m.5 kapsamında ayrıca açık rıza aranmasına gerek bulunmamaktadır.

Ancak bu durum;

·         Veri sorumlularının,

·         Kişisel verilerin güvenliğini sağlama yükümlülüğünüortadan kaldırmamaktadır.

KVKK m.12 uyarınca veri sorumluları;

·         Kişisel verilerin hukuka aykırı olarak işlenmesini,

·         Yetkisiz kişilere erişiminiönlemekle yükümlüdür.

Bu kapsamda, POS fişlerinin her müşteriye açık şekilde kimlik numarası içermesi, veri güvenliği bakımından tartışmaya açık bir uygulama niteliği taşımaktadır.

V. UYGULAMANIN DOĞURABİLECEĞİ HUKUKİ VE PRATİK RİSKLER

POS fişlerinin çoğu zaman müşteriler tarafından muhafaza edilmemesi veya üçüncü kişilerin erişimine açık alanlarda bırakılması, kimlik numaralarının kontrolsüz şekilde dolaşıma girmesine neden olabilmektedir.

Bu durum özellikle;

·         Kimlik bilgileri kullanılarak ilamsız icra takibi başlatılması,

·         Sosyal mühendislik yöntemleriyle dolandırıcılık girişimleri,

·         Yetkisiz sorgulama ve işlem teşebbüslerigibi riskleri beraberinde getirmektedir.

İcra hukukunda, borçluya gönderilen ödeme emrine süresinde itiraz edilmemesi hâlinde takip kesinleşmekte ve haciz aşamasına geçilebilmektedir. Tebligat süreçlerinde yaşanan fiilî aksaklıklar dikkate alındığında, bu riskler teorik olmaktan çıkmaktadır.

VI. BAŞVURU VE DENETİM MEKANİZMALARI

A. Veri Sorumlusuna Başvuru

KVKK m.13 uyarınca, kişisel verisi işlenen ilgili kişi öncelikle veri sorumlusuna başvurmalıdır. Bu kapsamda;

·         POS fişlerinde kimlik numarasının maskeleme yöntemiyle gösterilmesi,

·         Müşteri nüshası ile işyeri nüshasının ayrıştırılması,

·         Alınan teknik ve idari tedbirlerin açıklanmasıtalep edilebilir.

Veri sorumlusu, başvuruyu en geç 30 gün içinde yanıtlamakla yükümlüdür.

B. Kişisel Verileri Koruma Kurulu’na Şikâyet

Veri sorumlusunun cevabının yetersiz bulunması veya süresinde cevap verilmemesi hâlinde, ilgili kişi Kişisel Verileri Koruma Kurulu’na şikâyette bulunabilir. Kurul, gerekli görmesi hâlinde veri sorumlularından ek tedbirler alınmasını isteyebilir.

C. Diğer Hukuki Yollar

·         Tazminat talepleri: KVKK m.11 ve Türk Borçlar Kanunu hükümleri çerçevesinde değerlendirilebilir.

·         Ceza hukuku yolları: Kimlik numarasını hukuka aykırı şekilde ele geçiren veya kullanan kişiler bakımından TCK m.136 kapsamında sorumluluk doğabilir.

VII. SONUÇ VE DEĞERLENDİRME

Şahıs şirketlerine ait POS fişlerinde T.C. kimlik numarasının yer alması, mevcut vergi mevzuatının bir sonucu olmakla birlikte, kişisel verilerin korunması bakımından yüksek riskli bir alan oluşturmaktadır.

Güncel KVKK yaklaşımı, asgari veri işleme ve ölçülülük ilkelerini merkeze almakta; veri sorumlularından, hukuki zorunlulukları aşan veri ifşasından kaçınmalarını beklemektedir.

Bu çerçevede, mevzuat ile kişisel veri güvenliği arasındaki dengeyi sağlayacak teknik ve idari çözümlerin geliştirilmesi, uygulamanın ilerleyen dönemde yeniden değerlendirilmesini gerekli kılmaktadır.

Not: Bu makale, hukuki konulara ilgi duyan kişilerin genel bilgilendirilmesi amacıyla hazırlanmıştır; ve hukuki danışmanlık yerine geçmez Kapsamlı bir kaynak olma iddiası taşımaz ve yasal tavsiye olarak değerlendirilmemelidir.