YAZARLARIMIZ
Olcay Er
Yeminli Mali Müşavir
olcayer@olcayer.com.tr



SMMM ve YMM ler açısından KVKK - Örnek Olayla Anlatım -2

5. İkinci Bölüme Giriş:

Yazı dizimizin birinci bölümünde “veri sorumlusu” ve “veri işleyen” ayrımı incelemiştik, bu bölümde ise “veri sorumlusu” ve “veri işleyen” olarak ayrı ayrı yükümlülüklerimizi ve yapmamız gerekenleri açıklayacağım. Yeni konuya girmeden önce bir hususun altını çizmek istiyorum. Kişisel Verileri Koruma Kurulu’nun yayınlamış olduğu “Veri Sorumlusu ve Veri İşleyen” rehberinde verdiği bir örnek aşağıdaki gibidir.

“Mali müşavirler, müşterilerinin hesaplarıyla ilgili kayıtları tutarken bu kayıtlardaki kişisel verilerin işlenmesi bakımından veri sorumlusudurlar. Zira mali müşavir işledikleri kişisel verilerle ilgili sorumluluk almasını zorunlu kılan yasal yükümlülükleri bulunmaktadır. Örneğin, bir şirketin hesaplarıyla ilgili kayıtları tutarken herhangi bir yolsuzluğa rastlamaları durumunda mali müşavirlerin adli ve idari birimler veya diğer yetkili kurumlara bildirimde bulunma zorunluluğu bulunmaktadır. Bildirimi yaparken müşterisinin talimatları doğrultusunda hareket etmiyor olacağı açıktır. Dolayısıyla bunun gibi uzman hizmet sağlayıcıları, kendi mesleki yasal yükümlülüklerine tabi oldukları sürece veri sorumlusu statüsünde bulunacaklardır ve veri sorumlusu olmaktan kaynaklanan yükümlülüklerini anlaşmayla müşteriye kısmen veya tamamen bırakmaları mümkün olmayacaktır.”

Kurulun yukarıda vermiş olduğu örnekteki “veri sorumlusu” olarak mali müşaviri işaret etmesinin kanuna uygun olmadığını, zorlama bir yorum olduğunu düşünüyor, ayrıca başta aydınlatma yükümlülüğü olmak üzere, buradan doğacak diğer yükümlülüklerin yerine getirilmesinin fiilen imkansız olduğu kanaatini taşıyorum. Bu konuyu ilerleyen dönemde, başka bir yazıyla daha detaylı bir şekilde incelemek üzere noktalıyorum.

Şimdi önceki yazıdaki örnekteki SMMM Deniz MİZAN’ın 

6.Veri Sorumlusu ve Veri İşleyenin Yükümlülükleri:

a) Veri Sorumlusunun Başlıca Yükümlülükleri;

i. İlgili kişilerin aydınlatılması yükümlülüğü (madde 10)

Örneğimizdeki SMMM Deniz MİZAN, müşterisini, çalışanını ve web sayfasındaki formu dolduran kişileri, işlemiş olduğu kişisel verilerle ilgili olarak aydınlatma yükümlülüğü bulunmaktadır. İş merkezine ait kamera kayıtlarıyla, ziyaretçi kayıtları iş merkezi yönetimi tarafından tutulduğundan, KVKK kapsamında SMMM Deniz MİZAN’ın herhangi bir yükümlülüğü bulunmamaktadır.

Ayrıca müşterilerini bilgilendirmek için kullandığı ara yazılımın sunucuları yurtdışında olduğun 6698 KVK Kanununa göre, müşterisinin isim, soyisim ve iletişim bilgileri yurtdışına aktarılmış sayılacağından, müşterisi İnci KEBİR’den bunun için ayrıca açık rıza alma şartı bulunmaktadır. Luca muhasebe programının sunucuları yurtiçinde olduğu müddetçe buraya işlenen verilerle ilgili açık rıza koşulu bulunmamaktadır.

ii. İlgili kişi başvurularının cevaplandırılması (madde 11)

SMMM Deniz MİZAN ilgili kişilere 6698 sayılı KVK Kanunun 11. Maddesinde düzenlenen haklarını aktarmak ve ilgili kişilerin başvurularını en geç 30 gün içerisinde yazılı olarak cevaplamak zorundadır.

iii. Veri güvenliğine ilişkin yükümlülükler (idari ve teknik tedbirler) (madde 12)

Veri sorumlusu olarak SMMM Deniz MİZAN işlediği kişisel verilerin Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı olarak erişilmesini önlemek,  verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.

Başlıca idari tedbirler şöyledir;

  • Kişisel Veri İşleme Envanteri Hazırlanması
  • Kurumsal Politikalar (Erişim, Bilgi Güvenliği, Kullanım, Saklama ve İmha vb.)
  • Sözleşmeler (Veri Sorumlusu - Veri Sorumlusu, Veri Sorumlusu - Veri İşleyen Arasında )
  • Gizlilik Taahhütnameleri (özellikle yetkili personelle ve dışarıdan hizmet alınan veri işleyenlerle (Avukatlık hizmeti, bilişim hizmeti, bulut hizmeti alınan firmalar gibi)
  • Kurum İçi Periyodik ve/veya Rastgele Denetimler
  • Risk Analizleri
  • İş Sözleşmesi, Disiplin Yönetmeliği (Kanuna Uygun Hükümler İlave Edilmesi)
  • Kurumsal İletişim (Kriz Yönetimi, Kurul ve İlgili Kişiyi Bilgilendirme Süreçleri, İtibar Yönetimi vb.)
  • Eğitim ve Farkındalık Faaliyetleri (Bilgi Güvenliği ve Kanun)
  • Veri Sorumluları Sicil Bilgi Sistemine (VERBİS) Bildirim

Burada altını çizmek istediğim husus personellere mutlaka farkındalık eğitimleri verilmeli ve kişisel verilere ilişkin gizlilik sözleşmesi imzalatılmalıdır. Çünkü herhangi bir veri ihlalinde veri sorumlusu hemen hemen kusursuz sorumluluk altında olup idari para cezalarının miktarı oldukça yüksektir. Veri ihlali aynı zamanda TCK’da hapis cezası öngördüğünden, aslında bu farkındalık eğitimleri ve gizlilik sözleşmeleri veri ihlalini önleyeceğinden, hem personeli hem de müşavirlik ofislerini koruma altına alınmış olacaktır. Kanuna uyum aslında kurumsal bir kültür seviyesinin gelişmesiyle mümkün olabilecektir. Zincirin herhangi bir halkasında meydana gelecek bir zafiyet, kuşkusuz tüm bağı koparacaktır.

Başlıca teknik tedbirler ise şöyledir;

  • Yetki Matrisi, Yetki Kontrol, Erişim Logları, Kullanıcı Hesap Yönetimi
  • Ağ Güvenliği, Uygulama Güvenliği, Log Kayıtları, Veri Maskeleme,
  • Şifreleme, Sızma Testi, Saldırı Tespit ve Önleme Sistemleri, Anahtar Yönetimi,
  • Veri Kaybı Önleme Yazılımları, Yedekleme, Güvenlik Duvarları,
  • Güncel Anti-Virüs Sistemleri, Silme, Yok Etme veya Anonim Hale Getirme

iv. VERBİS Veri sorumluları siciline kayıt olma yükümlülüğü (Madde 16)

Kişisel Verileri Koruma Kurulu 02.04.2018 tarih ve 2018/32 sayılı kararı ile SMMM ve YMM’leri VERBİS kayıt yükümlülüğünden istisna etmiştir. Bu sebeple gerçek kişi SMMM Deniz MİZAN’ın VERBİS kayıt yükümlülüğü bulunmamaktadır. Burada dikkat edilmesi gereken husus, bu istisna sadece gerçek kişi SMMM ve YMM’lere getirildiğinden, SMMM ve YMM şirketlerinin (tüzel kişiler) VERBİS kayıt yükümlülüğü çalışan sayısı ve aktif toplamına göre değişmektedir. Bu şirketlerin çalışan sayısı 50’den az veya Aktif toplamı 25.000.000 TL’yi geçmediği takdirde VERBİS kayıt yükümlülüğü doğmamaktadır.

v. Sır Saklama ve verilerin amacına uygun kullanılması yükümlülüğü (Madde 12/4)

Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.

b) Veri İşleyenin Yükümlülükleri;

Bu kısımda SMMM Deniz MİZAN’ın veri işleyen sıfatıyla yerine getirmesi gerek yükümlülükleri inceleyeceğiz. Öncelikle bu veriler hangileridir sıralayalım. Bu veriler “veri işleyen” sıfatıyla sadece veri sorumlusu (müşterisi) İnci KEBİR’le yaptığı hizmet sözleşmesinden doğan yükümlülüklerini yerine getirmek için işlediği, özel ve kamu kurumlarına aktardığı verilerdir. Örneğin fatura ve makbuzları işleyerek ortaya çıkan mizana göre vergi beyannamelerini, bordroları işleyerek oluşturduğu SGK hizmet belgelerini kamu kurumlarına iletmek ve tahakkukları müşterine ulaştırması. Yazımın başında belirttiğim Kurulun rehberindeki örnekteki gibi aynı zamanda bu verilerle ilgili olarak “veri sorumlusu” sıfatına haiz olup olmadığı, eğer haizse yükümlülüklerinin neler olduğuna ilerleyen dönemde başka bir yazı ile açıklık getirmeye çalışacağım. Şimdilik SMMM Deniz MİZAN’ın bu aşamada, öğrendiği/işlediği kişisel verilerle ilgili, veri işleyen sıfatıyla başlıca aşağıdaki yükümlülükleri bulunmaktadır.

i. Veri güvenliğine ilişkin yükümlülükler (idari ve teknik tedbirler) (madde 12)

Yukarıda açıkladığımız (6.a.iii)’de detaylı belirtilen yükümlülüklerin yerine getirilmesinin tamamından veri işleyen sıfatıyla SMMM Deniz MİZAN sorumludur. Aslında bu sorumluluk kanunun 12. Maddesinde direk olarak “veri sorumlusuna” atfedilirken, cümlenin sonuna eklenen “müştereken” ifadesinin kullanması sebebiyle “veri işleyeni” de bağlamıştır. Veri işleyene getirilen en önemli yükümlülük, idari ve teknik tedbirlerin alınması yükümlülüğüdür.

ii. Sır Saklama ve verilerin amacına uygun kullanılması yükümlülüğü (Madde 12/4)

Veri işleyenin diğer yükümlülüğü de yine 6698 sayılı KVK Kanunun 12/4 maddesinde belirtilen ve “sır saklama” ve “amacı dışında kullanmama” olarak özetlediğimiz yükümlülüğüdür.

Yazımın üçüncü bölümünde kanuna aykırılık durumunda ne gibi cezalar var, onu aktarmaya çalışacağım.

Faydalı olması dileğiyle, iyi okumalar.

05.01.2021

Kaynak: www.MuhasebeTR.com
(Bu makale kaynak göstermeden yayınlanamaz. Kaynak gösterilse dahi, makale aktif link verilerek yayınlanabilir. Kaynak göstermeden ve aktif link vermeden yayınlayanlar hakkında yasal işlem yapılacaktır.)

>> YIL SONU KAMPANYASI: Muhasebecilere Özel Web Sitesi 1.249 TL yerine 999 TL + KDV
     Ayrıntılar için tıklayın.

>> Duyurulardan haberdar olmak için E-Posta Listemize kayıt olun.

>> SGK Teşvikleri (150 Sayfa) Ücretsiz E-Kitap: hemen indir.

>> MuhasebeTR mobil uygulamasını Apple Store 'dan hemen indir.

>> MuhasebeTR mobil uygulamasını Google Play 'den hemen indir.


GÜNDEM