6698 sayılı “kişisel verilerin korunması kanunu” 07.04.2016 tarihinden resmi gazetede yayınlanarak yürürlüğe girmiştir. Kamuoyunda ve meslek camiamızda konunun odak noktasının müşterilerimizin uyum zorunluluğunun olduğu ve ofislerimiz için yapılması gerekenlerin bir parça ihmal edildiğini görmekteyim.
Üç bölümden oluşan bu yazı dizisinin ilk bölümünde “veri sorumlusu” ve “veri işleyen” ayrımı; ikinci bölümünde “veri sorumlusu” ve “veri işleyen” olarak ayrı ayrı yükümlülüklerimiz ve yapmamız gerekenler; üçüncü bölümde ise kanuna aykırılıklar ve cezalar hakkında detaylı bilgi paylaşımında bulunacağım.
6698 sayılı Kanunu’nun 3. Maddesinin ‘ğ’ ve ‘ı’ bendelerine göre;
ı) Veri Sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi ifade etmektedir.
g) Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir.
6698 sayılı Kanunda yapılan bu tanımlara göre, veri sorumlusu ve veri işleyen gerçek veya tüzel kişilik olabilmektedir. Verilerin işlenmesi hususunda veri sorumlusu karar alma mekanizması yani veri yönetimi sağlayan kişi iken; veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusunun kararlarını uygulayıcı konumundadır.
Veri sorumlusu ile veri işleyen farklı kişiler olabileceği gibi aynı kişi hem veri sorumlusu hem de veri işleyen sıfatına haiz olabilir. Konuyu ortalama bir muhasebe ofisi kurgulayarak, tüm yönleriyle inceleyelim.
Örneğin, S.M. Mali Müşavir Deniz MİZAN, İnci KEBİR’e bağımsız olarak SMMM hizmeti vermektedir. İnci KEBİR web tabanlı LUCA muhasebe programını kullanmaktadır. Ayrıca müşterilerini, tahsilat sürecini takip etme, müşterisinin ödemesi gereken vergi ve sgk tutarlarını hatırlatma ve vergi mevzuatındaki değişimler hakkında bilgilendirme amacıyla, sunucuları yurtdışında olan bir ara yazılım kullanmaktadır. SMMM Deniz MİZAN’ın yanında, muhasebe sistemine giriş yetkisi olan bir personel bulunmaktadır. Muhasebe ofisinin bulunduğu iş merkezinin güvenliğinin sağlanması amacıyla kamera sistemi bulunmakta ve iş merkezi yönetiminin personeli giriş çıkış kayıtlarını bilgisayar ortamında tutmaktadır. Ayrıca SMMM Deniz MİZAN, kendisine mali konularda danışmak isteyen kişiler için web sayfasında bir form açmış ve bu formu dolduran kişilerle iletişim kurmaktadır.
Buradaki örnekte başlıca 3 farklı veri işleme faaliyeti vardır. Birincisi; müşteri İnci KEBİR’in veri sorumlusu olduğu durumdur. Müşteri kendi işletme faaliyetleri için aldığı fatura, makbuz, kira kontratı, çalışan kimlik kartı gibi belgeler kanun kapsamında kişisel veriler ihtiva eder. Müşterinin bu belgeleri alması, kullanması, aktarması kanunda veri işleme faaliyeti olarak tanımlanmaktadır. Dolayısıyla bu durumda müşteri veri sorumlusu olup Kanuna göre veri işleme faaliyetleriyle ilgili yükümlülüklerini yerine getirmesi gerekmektedir. İkincisi SMMM Deniz MİZAN’ın, müşterisiyle imzaladığı sözleşmeyle sınırlı olarak yaptığı hizmetler kapsamında veri işleyen sıfatına haiz olmasıdır. Üçüncüsü ise SMMM Deniz MİZAN’ın kendi çalışanı, ziyaretçileri, müşterisine kestiği fatura, alacak için gönderdiği sms, web sayfasındaki form için ise veri sorumlusu sıfatına haiz olmasıdır.
Yazımın ikinci bölümünde veri sorumlusunun ve veri işleyenin ayrı ayrı yükümlülükleri nelerdir ve nasıl yerine getirilebileceğini aktarmaya çalışacağım.
Faydalı olması dileğiyle, iyi okumalar.
31.12.2020
Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)
>> Duyurulardan haberdar olmak için E-Posta Listemize kayıt olun.
>> Uygulamalı Enflasyon Muhasebesi (171 Sayfa) Ücretsiz E-Kitap: hemen indir.
>> SGK Teşvikleri (150 Sayfa) Ücretsiz E-Kitap: hemen indir.
>> MuhasebeTR mobil uygulamasını Apple Store 'dan hemen indir.
>> MuhasebeTR mobil uygulamasını Google Play 'den hemen indir.