info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Vergi Mahremiyeti ile Kişisel Verilerin Korunması: VUK m.5 ve KVKK Arasındaki Hassas Dengeyi Nasıl Kurarız?

17 Eki 2025
0

Vergi Mahremiyeti ile Kişisel Verilerin Korunması: VUK m.5 ve KVKK Arasındaki Hassas Dengeyi Nasıl Kurarız?

1) Neden “ikili denge” konuşuyoruz?

Vergilendirme; kamu gelirlerinin temini için zorunlu, mülkiyet hakkına müdahale eden (ama meşru) bir kamu gücü kullanımıdır. Bu güç; kanunilik, belirlilik/öngörülebilirlik ve ölçülülük ilkeleriyle sınırlanır. Öte yandan vergi işlemleri; T.C. kimlik no, adres, gelir, banka hareketi, bordro gibi kişisel verilerin yoğun şekilde işlendiği bir alandır. Bu nedenle VUK m.5 (vergi mahremiyeti) ile KVKK (6698) arasındaki uyum, hem idare hem mükellef hem de özel sektör hizmet sağlayıcıları (mali müşavir, özel entegratör vb.) için hayatidir.

Çerçeve:

  • Vergi gizliliği: Kimlerin hangi bilgileri hangi şartlarda açıklayamayacağını belirler (koruma–ifşa yasağı eksenli).

  • KVKK: Hangi kişisel verilerin hangi hukuki sebeple, hangi amaçla ve ne kadar süre işleneceğini; aydınlatma, güvenlik, haklar ve aktarım rejimini düzenler (işleme–uyum eksenli).

2) Normatif tablo: Başlıca dayanaklar

  • VUK m.5 – Vergi mahremiyeti: Vergi işlerinde görev alanlar (idare personeli, komisyon üyeleri, bilirkişiler, vergiyle ilgili resmi görev yapanlar) ile vergi nedeniyle bilgi edinenlerin mükellefe ait sırları ifşa etmesini yasaklar; istisnaları sınırlıdır (kanunda yazılı haller).

  • KVKK m.5/2: Kişisel veriler, kanunlarda açıkça öngörülmesi (m.5/2-a) veya veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması (m.5/2-ç) gibi açık rıza dışı hukuki sebeplerle işlenebilir. Vergi amaçlı işleme çoğu kez bu temellere dayanır.

  • KVKK m.6: Özel nitelikli veriler (sağlık vb.) için ek güvenlik/adım şartları; vergi alanında genellikle finansal veriler özel nitelikli sayılmaz ama hassastır.

  • KVKK m.10–11: Aydınlatma ve ilgili kişinin hakları; vergi süreçlerinde de kural olarak geçerlidir.

  • KVKK m.12: Teknik ve idari güvenlik tedbirleri (erişim kontrolü, loglama, sızıntı önleme, saklama-imha politikaları).

  • KVKK m.28: Bazı istisnalar (ulusal güvenlik, suç soruşturması gibi); vergi alanında tam kapsamlı muafiyet değildir, dikkatle yorumlanır.

  • KVKK m.9: Yurt dışına veri aktarımı (yeterlilik kararı, taahhüt/standart sözleşme vb. mekanizmalar).

Pratik not: Vergi sebebiyle işlenen veriler, çoğu zaman açık rıza gerektirmez; zira kanunî dayanak veya hukuki yükümlülük mevcuttur. Ancak bu, amaçla sınırlılık, veri minimizasyonu ve güvenlik yükümlülüklerini ortadan kaldırmaz.

3) Vergi mahremiyetinin kapsamı ve istisnalar

3.1. Kimler sır saklamakla yükümlüdür?

  • Vergi dairesi personeli, denetim elemanları, komisyon üyeleri, bilirkişiler, vergi işlemlerinde görev alan tüm kamu görevlileri.

  • Vergi nedeniyle bilgi edinen diğer kişiler (ör. dış hizmet sağlayıcılar, entegratörler) – işleme ilişkisi ölçüsünde.

3.2. Neler ifşa edilemez?

  • Mükellefin kimlik, adres, gelir, kazanç, matrah, tarhiyat, iade, ceza, bankacılık hareketleri gibi vergisel sır niteliğindeki tüm bilgiler.

3.3. Kanunî istisnalar (özet mantık)

  • Kanunda açıkça öngörülen bilgi paylaşımları (ör. belirli kurumlara bildirim; yargısal makamların talepleri; MASAK yükümlülükleri; kamu alacağının korunması için zorunlu bildirimler).

  • İstatistikî/anonim veriler (kimliği belirlenebilirlik ortadan kaldırılmışsa).

  • Mükellefin açık rızasına dayalı paylaşımlar (vergi mahremiyetinde rızanın kapsamı da dikkatle sınırlandırılmalı—gereği kadar paylaşım).

Altın kural:Bilmesi gerekenle sınırlılık.” İstisna varsa bile paylaşım amaç-veri uyumu ve en az veri ilkesiyle yapılmalı.

4) KVKK perspektifi: Vergi süreçlerinde işleme şartı ve sınırlar

4.1. Hukuki sebepler (m.5/2)

  • Kanunî zorunluluk: Beyanname, yoklama, inceleme, uzlaşma, iade, tahsil.

  • Hukuki yükümlülük: Vergi dairesinin ve mükellefin defter-belge saklama, ibraz, e-defter/muhasebe kayıtları, VERBIS/imd-SİLME politikaları vb.

4.2. Temel ilkeler

  • Amaçla sınırlılık: Vergi için toplanan kişisel veri, pazarlama/başka amaçlarla kullanılamaz.

  • Veri minimizasyonu: Gereğinden fazla belge/ekstre talep edilmemeli; maskelenmiş versiyon tercih edilebilir (örn. IBAN’ın son 4 hanesi).

  • Doğruluk-güncellik: Yanlış matrah/kimlik verisi, haksız tarhiyat ve hukuki risk doğurur.

  • Saklama-imha: Süre dolunca imha/anonimleştirme (Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik ve iç politika).

4.3. Aydınlatma ve haklar

  • Kural olarak aydınlatma yükümlülüğü vergi süreçlerinde de geçerli.

  • İlgili kişinin erişim/düzeltme/silme/işlemeyi kısıtlama/itiraz gibi hakları, verginin kanunî gerekleriyle denge halinde kullanılır; istisnai sınırlamalar gerekçeli olmalıdır.

4.4. Güvenlik (m.12)

  • Rol-tabanlı erişim, loglama, Yetki Matrisi, DLP/şifreleme, iki faktörlü kimlik doğrulama.

  • Denetim izi: Kim, hangi veriye, ne zaman erişti?

  • Tedarikçi yönetimi: SMMM/YMM, özel entegratörlerle veri işleme sözleşmesi (KVKK m.12/2); denetim ve alt işleyen yasağı açık yazılmalı.

5) Veri paylaşımı ve aktarım (kurumlar arası ve yurt dışı)

5.1. Kurumlar arası paylaşım (yurt içi)

  • Kanunla öngörülen bildirim ve entegrasyonlar (ör. GİB-SGK-MASAK-adli merciler). Her paylaşım: amaç, kapsam, veri seti, alıcı grubu ve saklama süresi bakımından belgelendirilmeli (Kişisel Veri İşleme Envanteri).

5.2. Yurt dışına aktarım (KVKK m.9)

  • Yeterlilik kararı, taahhüt/standart sözleşme veya Kurul usulleri çerçevesinde hareket edilir.

  • E-fatura/e-arşiv/e-defter süreçlerinde kullanılan bulut veya yabancı yazılım hizmetleri, fiilî aktarım doğurabilir; bu nedenle kontrat ve lokasyon net olmalı (verinin Türkiye’de tutulması, yurt dışı aktarım varsa m.9’a uygunluk).

6) “Vergi gizliliği mi, KVKK mı?” — Çatışma değil eşgüdüm

Sıklıkla sorulur: “Vergi gizliliği varken KVKK uygulanır mı?” Evet. VUK m.5, ifşa yasağı ve sır saklama yükümlülüğünü; KVKK ise işleme rejimini belirler. Bir işlem hem VUK’a hem KVKK’ya uygun olmalıdır. Kanunda öngörülen vergi amaçlı işleme, KVKK bakımından hukuki sebep sağlar; ancak amaç-süre-güvenlik gibi KVKK ilkeleri aynen uygulanır.

Ana ilke: Kanunilik + ölçülülük + güvenlik. Vergi amacı, neyi neden işlediğinizi açıklar; KVKK nasıl işlemeniz gerektiğini düzenler.

7) Kurumsal ve uygulamacılar için “8 adımlı” uyum planı

  1. Hukuki dayanak matrisi oluşturun

    • Her veri kategorisi (kimlik/iletişim/finans/bordro/e-fatura) için KVKK m.5/2 dayanağını ve VUK gerekçesini yazın.

  2. Aydınlatma metinlerini vergi özelinde güncelleyin

    • Amaç (“vergisel yükümlülüklerin ifası”), hukuki sebep (m.5/2-a, ç), alıcı grupları (idare, yargı, denetçiler), saklama süresi, haklar.

  3. Veri işleme sözleşmeleri yapın

    • SMMM/YMM, entegratör, bordro firması, yazılım sağlayıcı: talimatla bağlı, alt işleyene devri yasak/izne tabi, güvenlik tedbirleri detaylı.

  4. Erişim ve log politikası uygulayın

    • “Bilmesi gereken” ilkesine göre rol verin; raporlanabilir log tutun; düzenli iç denetim.

  5. Maskeleme ve minimizasyon

    • Dış yazışmalarda TCKN/IBAN’ın yalnızca gerekli kısmı; bordro ve ekstreleri gereğine uygun kısaltma.

  6. Saklama-imha takvimi

    • VUK ve arşiv mevzuatı sürelerini KVKK imha politikası ile eşleştirin; süre dolunca imha/anonimleştime.

  7. Yurt dışına aktarım kontrolü

    • Sistemleriniz bulutta mı? Sunucu/servis nerede? m.9 uyum ve sözleşme koşullarını netleştirin.

  8. İhlal senaryosu ve bildirim planı

    • Olası veri ihlali için olay müdahale planı; Kurul ve ilgili kişiye sürelerinde bildirim; vergi mahremiyeti ihlallerinde ayrıca idari/cezai süreç.

8) Sık karşılaşılan gri alanlar ve yanıtlar

  • Vergi incelemesinde tüm banka ekstreleri talep edilebilir mi?
    Evet, kanuni yetki dahilinde; ancak amaçla sınırlı ve gereği kadar. Paylaşım yapılırken güvenli kanal (KEP/e-tebligat, şifreli dosya) tercih edilmeli.

  • Mükellefin açık rızası alınmalı mı?
    Vergi amaçlı zorunlu işlemede genellikle gerekmez (m.5/2-a, ç). Ancak vergi amacı dışında bir kullanım söz konusuysa rıza veya diğer hukuki sebepler gerekir.

  • Vergi dosyasında çalışan bordroları ve TCKN listeleri işleniyor; bu KVKK’yı tetikler mi?
    Evet. Amaç vergisel yükümlülük; aydınlatma, güvenlik ve saklama-imha şartları yine geçerlidir.

  • E-fatura entegratörü “veri işleyen” midir?
    Çoğunlukla evet. Sözleşmede KVKK m.12/2 tedbirleri, alt işleyen kısıtları, yurt dışına aktarım hükümleri açık olmalı.

9) Sonuç: Aynı gemide iki kaptan değil, iki harita

Vergi mahremiyeti ile KVKK, birbirine karşıt değil tamamlayıcı iki koruma katmanıdır. Verginin meşruiyeti kanunilik ve ölçülülükle; verinin meşruiyeti amaç-minimizasyon-güvenlikle sağlanır. Uygulamada başarı, “bilmesi gereken” ilkesi, sıkı erişim kontrolü, belgeli hukuki dayanak ve disiplinli imha politikalarıyla gelir. Böylece hem kamu yararı (vergilendirme) hem de bireyin mahremiyeti aynı anda korunur.

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button