Muhasebe ve Mali Müşavirlik Bürolarında KVKK Uyumu | Kapsamlı Rehber 2024

KVKK · Muhasebe Büroları · Mali Müşavirlik · Veri Koruma

Muhasebe ve Mali Müşavirlik Bürolarında KVKK Uyumu

Muhasebe ve mali müşavirlik büroları, mesleki faaliyetleri gereği müvekkil firmaların ortaklarından çalışanlarına kadar geniş bir yelpazede kişisel veri işlemektedir. 6698 sayılı KVKK kapsamında artan sorumluluklar, bu büroların veri koruma süreçlerini yasal bir zemine oturtmasını zorunlu kılıyor.

Bu rehberde, SMMM ve YMM bürolarının yükümlülüklerini, işlenen veri türlerini, aydınlatma yükümlülüğünü ve veri güvenliği için atılması gereken pratik adımları ele alıyoruz. Amacımız, hukuki karmaşadan uzak, gerçek iş akışlarına uygun bir uyum yol haritası sunmak.

Hangi Veriler İşleniyor? Uyum Adımlarını Gör Uzman Desteği Al

İçindekiler 1. Muhasebe Bürosu Veri Sorumlusu Mudur? 2. Hangi Kişisel Veriler İşleniyor? 3. Hukuki Sebepler ve Açık Rıza 4. Aydınlatma Yükümlülüğü 5. Veri Güvenliği ve Teknik Önlemler 6. Pratik Uyum Adımları 7. Sık Sorulan Sorular

Hızlı Özet

Muhasebe ve mali müşavirlik büroları, işledikleri finansal, vergisel ve bordro verileri nedeniyle veri sorumlusu sıfatı taşır. KVKK kapsamında müvekkile ve çalışanlara aydınlatma yükümlülüğü doğar; hukuki sebeplerden doğru olanı seçilmeli, verilere sınırlı erişim sağlanmalı ve gerektiğinde VERBİS kaydı yapılmalıdır.

KVKK m.5 Hukuki Sebepler Aydınlatma Yükümlülüğü VERBİS Kaydı Veri Güvenliği

Önemli Not: Bu rehber, genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez. Büronuza özgü KVKK uyum sürecini yürütmek için bir hukuk veya KVKK danışmanından destek almanızı öneririz. Sorularınız için iletişime geçebilirsiniz.

1. Muhasebe Bürosu Veri Sorumlusu mudur? Bu Soruyu Doğru Yanıtlamak Neden Önemli?

KVKK’nın getirdiği yükümlülükleri anlamak için önce “ben bu kanunda nereye düşüyorum?” sorusunu sormak gerekiyor. Kanun, kişisel veri işleyen tarafları iki ana başlık altında ele alıyor: veri sorumlusu ve veri işleyen. Bu iki kavram, mali müşavirlik büroları için oldukça kritik bir ayrım taşıyor.

KVKK kapsamında veri sorumlusu, veri işleme amaçlarını ve araçlarını belirleyen kişidir. Muhasebe büroları, hem kendi çalışanlarının hem de müvekkil firmaların verilerini yönettiği için asli veri sorumlusu konumundadır.

Sadece bordro hesabı gibi sınırlı işlerde veri işleyen sıfatı kullanılsa da, çoğu büro her iki rolü üstlenerek tam sorumluluk taşır.

1.1. VERBİS’e Kayıt Zorunluluğu Var mı?

Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) kayıt, belirli eşiklerin üzerindeki veri sorumlularına yönelik bir yükümlülüktür. Kişisel Verileri Koruma Kurulu’nun (KVKK Kurulu) güncel kararlarına göre aşağıdaki durumlarda kayıt zorunludur:

Yıllık çalışan sayısı 50’nin üzerinde olan ya da yıllık mali bilanço toplamı 25 milyon TL’yi aşan veri sorumluları,
Yurt dışında yerleşik veri sorumluları,
Yıllık çalışan sayısından veya mali bilanço toplamından bağımsız olarak özel nitelikli kişisel veri işleyen veri sorumluları.

Küçük ölçekli bürolar bu eşiklerin altında kalsa da KVKK’nın diğer yükümlülükleri —aydınlatma, veri güvenliği, ilgili kişi hakları— büyüklükten bağımsız olarak her veri sorumlusunu bağlamaktadır. Dolayısıyla “VERBİS’e kayıt olmak zorunda değilim” demek, “KVKK beni ilgilendirmez” anlamına gelmez.

1.2. Mali Müşavir ile Müvekkil Arasındaki Veri İlişkisi

Bir muhasebe bürosu ile müvekkili arasında imzalanan hizmet sözleşmesi, aynı zamanda bir veri işleme anlaşması niteliği de taşıyabilir. Avrupa’da GDPR kapsamında “Veri İşleme Sözleşmesi (DPA)” olarak bilinen bu mekanizme benzer şekilde, Türkiye’de de büro ile müvekkil arasındaki veri akışını güvence altına alacak yazılı düzenlemelerin yapılması profesyonel bir zorunluluktur. Bu hem büroyu korur hem de müvekkile güven verir.

Pratik Öneri: Büronuzun hangi rolleri üstlendiğini (veri sorumlusu mu, veri işleyen mi, her ikisi birden mi) net olarak belirlemek, tüm KVKK uyum sürecinin doğru kurgulanması açısından ilk ve en temel adımdır. Bu tespiti yapmadan aydınlatma metni yazmak veya veri envanteri hazırlamak, yanlış bir temele inşa yapmak gibidir.

2. Muhasebe Bürolarında Hangi Kişisel Veriler İşleniyor?

Muhasebecilik mesleğinin özü sayılardır; ancak bu verilerin arkasında gerçek kişiler yer alır. Bordro hesaplarından vergi beyannamelerine kadar işlenen her veri, KVKK kapsamında korunmaya değerdir.

Veri Kategorisi	Somut Örnekler	Kişi Grubu
Kimlik Verileri	Ad, soyad, T.C. kimlik numarası, pasaport no, doğum tarihi	Müvekkil, çalışan, ortak, yetkili
İletişim Verileri	Cep telefonu, e-posta adresi, ev/iş adresi	Müvekkil, çalışan
Finansal Veriler	Banka hesap numarası, IBAN, maaş bilgisi, kredi/borç bilgisi, vergi numarası	Müvekkil firmanın çalışanları, müvekkil gerçek kişiler
Özlük/İstihdam Verileri	SGK numarası, işe giriş/çıkış tarihleri, meslek, pozisyon, kıdem bilgisi	Müvekkil firmanın çalışanları
Sağlık Verileri (Özel Nitelikli)	İstirahat raporları, engel durumu, iş kazası bildirimleri	Müvekkil firmanın çalışanları
Vergisel Veriler	Vergi beyannameleri, e-fatura kayıtları, stopaj bilgileri	Müvekkil gerçek/tüzel kişiler ve çalışanlar
Büro Çalışanlarına Ait Veriler	Bordro, özgeçmiş, işe giriş evrakları, adli sicil kaydı, sağlık raporu	Büronun kendi çalışanları

2.1. Özel Nitelikli Veriler: En Hassas Bölge

Tablo dikkatli incelendiğinde, bordro işlemleri yürüten bir muhasebe bürosunun sağlık verisi işlediği görülür. İstirahat raporu, engellilik belgesi veya iş kazası bildirimi —bunların hepsi KVKK’nın 6. maddesinde sayılan özel nitelikli kişisel veriler arasındadır. Bu tür veriler için:

Açık rıza alınması ya da kanunda öngörülen istisnalardan birinin varlığı zorunludur,
Teknik ve idari güvenlik önlemleri çok daha sıkı tutulmalıdır,
Bu veriler asla gereksiz kişilerle paylaşılmamalıdır.

Özel nitelikli verileri işleyen bir büronun, bu hassasiyeti her adımda gözetmesi ve güvenlik protokollerini buna göre kurgulaması gerekir.

2.2. “Ben Sadece Sayılarla Uğraşıyorum” Denilebilir mi?

Zaman zaman muhasebecilerden şu ifadeyi duyarız: “Ben firmalarla çalışıyorum, bireylerle değil. Bu yüzden beni pek ilgilendirmiyor.” Bu yaklaşım maalesef hatalı. Tüzel kişilik olan müvekkil firmanın arkasında gerçek kişiler vardır ve siz onların verilerini —SGK bildirimleri, maaş bordroları, vergi beyannameleri aracılığıyla— doğrudan işliyorsunuz. Türk Vergi Hukuku’nun bile bu gerçek kişileri merkezine koyduğunu düşünürsek, KVKK’nın da bunu yapması son derece doğaldır.

Dikkat: Adli sicil kaydı da özel nitelikli kişisel veri kapsamında değerlendirilir. İşe alım süreçlerinde çalışanlardan adli sicil belgesi talep eden bürolar, bu belgelerin saklanması, imha edilmesi ve erişim kısıtlamaları konusunda ekstra dikkatli olmak durumundadır.

3. Hangi Hukuki Sebebe Dayanarak Veri İşlenebilir?

KVKK’nın 5. maddesi, kişisel verilerin hangi hukuki sebeplere dayanarak işlenebileceğini tek tek sıralıyor. Muhasebe büroları açısından en sık gündeme gelen hukuki sebepler şunlardır:

Hukuki Sebep	KVKK Maddesi	Muhasebe Bürosunda Kullanım Alanı
Sözleşmenin Kurulması veya İfası	m.5/2-c	Müvekkil ile imzalanan hizmet sözleşmesi kapsamında işlenen tüm veriler; büro çalışanlarının iş sözleşmesi kapsamındaki verileri
Hukuki Yükümlülük	m.5/2-ç	Vergi Usul Kanunu, SGK mevzuatı, e-fatura zorunlulukları gibi yasal gerekliliklerden doğan veri işleme faaliyetleri
Veri Sorumlusunun Meşru Menfaati	m.5/2-f	Büronun iç güvenliği, çalışan performans yönetimi, müvekkil portföy takibi gibi zorunlu ancak doğrudan yasal zorunluluğa dayanmayan faaliyetler
Açık Rıza	m.5/1	Pazarlama e-postaları, referans listesinde yer alma, bülten aboneliği gibi zorunlu olmayan iletişimler
Kanunda Açıkça Öngörülme	m.5/2-a	Meslek yasal düzenlemelerinden (TÜRMOB mevzuatı vb.) doğan yükümlülükler

3.1. Açık Rıza Her Durumda Gerekli Değil

Muhasebe bürolarında yapılan yaygın bir hata, her işlem için açık rıza almaya çalışmaktır. Oysa SGK bildirimi gibi yasal zorunluluklarda rıza almak gereksizdir ve karışıklık yaratabilir.

Önce açık rıza dışındaki sebepler (sözleşme, yasal yükümlülük vb.) değerlendirilmeli, bunlar yetersizse açık rızaya başvurulmalıdır.

3.2. Meşru Menfaat: Ne Zaman Kullanılabilir?

Meşru menfaat (KVKK m.5/2-f), muhasebe bürolarının zaman zaman gözden kaçırdığı ama aslında pratikte sıklıkla ihtiyaç duydukları bir hukuki sebeptir. Büronuzun siber güvenliği için çalışanların sistem erişim loglarını tutmanız, müvekkil iletişim geçmişini kayıt altına almanız ya da büroya giriş-çıkışların kamera ile izlenmesi gibi durumlar meşru menfaat kapsamında değerlendirilebilir. Ancak bu hukuki sebebe dayanabilmek için:

Menfaatin somut, meşru ve belirli olması,
İşlemenin bu menfaati sağlamak için zorunlu olması,
İlgili kişinin temel hak ve özgürlükleriyle makul bir denge kurulmuş olması

gerekmektedir. Meşru menfaat, “her şey yolsuz görünüyor ama nasılsa menfaat var” mantığıyla değil; özenli bir denge analiziyle kullanılması gereken bir araçtır.

Hatırlatma: Hukuki sebep seçimi yalnızca teknik bir tercih değildir; aydınlatma metninize, veri envanterinize ve olası denetim yanıtlarınıza yansır. Bu seçimi doğru yapmak, ileride karşılaşabileceğiniz soruşturma veya şikâyetlerde sizi koruyacak en önemli unsurlardan biridir.

4. Aydınlatma Yükümlülüğü: Müvekkile ve Çalışana Ne Söylemek Gerekiyor?

KVKK’nın temel ilkesi şeffaflıktır. Büronuza gelen her müvekkil ve çalışan, verilerinin işlenme süreci hakkında önceden aydınlatılmalıdır. Bu bilgilendirme belgelenebilir ve anlaşılır olmalıdır.

4.1. Bir Aydınlatma Metninde Neler Yer Almalı?

Kanun, aydınlatma metninde bulunması zorunlu unsurları açıkça belirlemiş. Bunlar:

Veri sorumlusunun kimliği (büronuzun ticaret unvanı, adresi, vergi numarası),
Hangi kişisel verilerin işlendiği,
Bu verilerin işlenme amacı,
Hangi hukuki sebebe dayandığı,
Verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı ve kimlerle,
Verilerin yurt dışına aktarılıp aktarılmadığı,
İlgili kişinin hakları (erişim, düzeltme, silme, itiraz vb.).

4.2. Müvekkil İçin Aydınlatma: Sözleşmeyle Birlikte

Yeni bir müvekkil kabul ettiğinizde, en pratik yol aydınlatma metnini hizmet sözleşmesiyle birlikte sunmaktır. Müvekkil sözleşmeyi imzalamadan önce, verilerinin nasıl işleneceğini bilmeli. Bazı bürolar bu metni sözleşmenin ekine koyuyor; bazıları ise ayrı bir belge olarak imzalatıyor. Her iki yaklaşım da geçerlidir; önemli olan belgenin müvekkil tarafından okunup anlaşıldığını ispatlayabilmektir.

Aydınlatma metninde özellikle vurgulanması gereken bir nokta var: muhasebe büroları müvekkil çalışanlarının SGK, bordro ve benzeri verilerini işlediğinden, bu üçüncü kişiler (müvekkil firmanın çalışanları) hakkında da aydınlatma yapılması gerekebilir. Bu konuyu müvekkilinizle açıkça konuşmak ve gerekli düzenlemelerin müvekkil tarafından yapılmasını talep etmek, büroyu koruyacak önemli bir adımdır.

4.3. Çalışan İçin Aydınlatma: İşe Başlarken

Büronuza yeni bir muhasebe elemanı ya da stajyer aldığınızda, işe başlama sürecinde çalışan aydınlatma metninin imzalatılması gerekir. Bu metin; hangi kişisel verilerin (özlük dosyası, maaş bilgisi, SGK kaydı, adli sicil vb.) hangi amaçlarla işlendiğini, kimlerle paylaşıldığını (muhasebe yazılımı, SGK sistemi, banka) ve çalışanın hangi haklara sahip olduğunu içermelidir.

Stajyerler de bu yükümlülüğün kapsamına girer. 18 yaşının altındaki stajyerlerde ise yasal temsilcinin bilgilendirilmesi de gerekebilir.

                         Aydınlatma Metninde Sık Yapılan Hatalar
                        Metni çok teknik ve anlaşılmaz dille yazmak — ilgili kişi gerçekten anlayamazsa
                                aydınlatma amacına ulaşmamış demektir.
Yalnızca web sitesine koymak ve müvekkile ayrıca sunmamak.
Aydınlatma metnini açık rıza metniyle karıştırmak — bunlar farklı belgelerdir ve farklı
                                amaçlara hizmet eder.
Güncel olmayan metinleri kullanmaya devam etmek; hizmet kapsamı değiştiğinde metin de
                                güncellenmelidir.

                    

Pratik Öneri: Aydınlatma metni hazırlarken “Bu metni okuyan biri gerçekten anlıyor mu?” diye kendinize sorun. Jargondan kaçının, cümlelerinizi kısa tutun. Birden fazla kişi grubunu (müvekkil, çalışan, üçüncü kişi) kapsıyorsa her grup için ayrı metin hazırlamak daha temiz bir yaklaşımdır.

5. Muhasebe Bürolarında Veri Güvenliği: Küçük Bürolar için Büyük Sorumluluk

Ciddi miktarda finansal ve özel nitelikli veri barındıran muhasebe bürolarında veri güvenliği, hem yasal hem de mesleki bir zorunluluktur. Olası bir ihlal, büronun güvenilirliğine ağır darbe vurabilir.

KVKK’nın 12. maddesi, veri sorumlularına veri güvenliğini sağlama yükümlülüğü getiriyor. Bu yükümlülük hem teknik hem de idari önlemleri kapsıyor.

5.1. Teknik Önlemler

Güçlü parola politikası: Muhasebe yazılımlarına, e-posta sistemine ve genel ağa erişimde karmaşık ve düzenli güncellenen parolalar kullanılmalı; mümkünse iki faktörlü kimlik doğrulama aktif edilmeli.
Yedekleme sistemi: Müvekkil ve çalışan verilerini içeren tüm dosyalar düzenli aralıklarla yedeklenmeli; bu yedekler şifreli ve erişimi kısıtlı ortamlarda saklanmalı.
Antivirüs ve güvenlik duvarı: Muhasebe bürolarına yönelik oltalama saldırıları son yıllarda belirgin biçimde artmıştır. Güncel antivirüs yazılımları ve güvenlik duvarı bu riskleri büyük ölçüde azaltır.
Şifreli iletişim: Müvekkile finansal belge veya kişisel veri içeren e-posta gönderilirken şifreli iletişim ya da güvenli paylaşım platformları tercih edilmeli; açık e-posta eklerinden kaçınılmalı.
Erişim yetkilendirmesi: Hangi çalışanın hangi müvekkile ait verilere erişebildiği belirlenmiş ve sınırlandırılmış olmalı. Muhasebe elemanı A, yalnızca kendi anlık müvekkil dosyalarına ulaşabilmeli.
Ekran kilitleme: Ofis ortamında bilgisayardan uzaklaşıldığında ekran otomatik kilitlenmeli. Bu küçük görünen detay, veri ihlallerinde sıkça karşılaşılan bir açık kapıdır.

5.2. İdari Önlemler

Gizlilik sözleşmesi: Büronuzda çalışan tüm personelinizin, stajyerlerinizin ve serbest çalışan destek aldığınız kişilerin gizlilik taahhüdü imzalaması gerekir.
Veri imha prosedürü: Artık gerekmeyen belgeler nasıl imha ediliyor? Kâğıt evraklar çöpe mi atılıyor yoksa makaslı imha makinesiyle mi yok ediliyor? Dijital veriler gerçekten siliniyor mu? Bu süreçlerin yazılı bir prosedürle düzenlenmesi gerekir.
Fiziksel güvenlik: Müvekkillere ait kâğıt belgelerin kilitli dolaplarda saklanması, ofise girişin belirli kişilerle sınırlı tutulması gibi önlemler de veri güvenliğinin ayrılmaz bir parçasıdır.
Veri ihlali müdahale planı: Bir veri ihlali yaşandığında ne yapacaksınız? KVKK, veri ihlalini öğrendiğinizden itibaren 72 saat içinde Kurula bildirme yükümlülüğü getiriyor. Bu süreyi yönetebilmek için önceden hazırlık yapılmış olması şarttır.

5.3. Muhasebe Yazılımları ve Bulut Sistemleri

Günümüzde pek çok muhasebe bürosu bulut tabanlı yazılımlar kullanıyor. Bu yazılımlar verileri genellikle üçüncü bir sunucuda tutuyor. Bu durumda yazılım sağlayıcısı bir veri işleyen konumuna giriyor ve aralarında yazılı bir veri işleme sözleşmesi bulunması gerekiyor. Yazılım şirketinin yurt dışında veri depolayıp depolamadığını kontrol etmek ve gerekiyorsa yurt dışı veri aktarımına ilişkin güvenli işlem mekanizmalarının varlığını doğrulamak da büronun sorumluluğunda.

İyi Haber: Veri güvenliği için mutlaka büyük bütçeler ayırmanız gerekmiyor. Çalışanları bilinçlendirmek, basit ama tutarlı prosedürler oluşturmak ve mevcut araçları doğru kullanmak, büyük maliyetler gerektirmeden veri güvenliği seviyesini önemli ölçüde artırır.

6. Pratik Uyum Adımları: Nereden Başlayacaksınız?

KVKK uyumu soyut bir kavram gibi görünebilir; ama pratikte somut adımlardan oluşan bir süreçtir. Bu süreci başlatmak için büyük bir hukuk firmasına ya da danışmanlık şirketine ihtiyacınız olmayabilir. Doğru noktalardan başlamak yeterlidir.

Aşağıdaki adımları sırasıyla takip etmek, büronuzda KVKK uyumunu sistematik biçimde kurgulamanıza yardımcı olacaktır:

Veri Envanteri Çıkarın
Büronuzda hangi kişisel verilerin işlendiğini, bu verilerin nereden geldiğini, nerede saklandığını, kimlerle paylaşıldığını ve ne kadar süreyle tutulduğunu yazılı olarak kayıt altına alın. Bu envanter, tüm uyum çalışmalarının temel taşıdır.
Hukuki Sebepleri Belirleyin
Her veri işleme faaliyeti için hangi hukuki sebebe dayandığınızı belirleyin. Sözleşme kapsamında mı? Yasal yükümlülük mü? Meşru menfaat mi? Bu analizi kayıt altına alın.
Aydınlatma Metinlerini Hazırlayın
Müvekkiller için ve çalışanlar için olmak üzere en az iki ayrı aydınlatma metni hazırlayın. Bu metinleri anlaşılır dilde yazın; hukuki jargon yerine sade Türkçeyi tercih edin.
Gizlilik ve Güvenlik Prosedürleri Oluşturun
Veri güvenliğine ilişkin teknik ve idari önlemleri belgeleyerek bir iç prosedür haline getirin. Çalışanlara bu prosedürü anlatın ve gizlilik taahhütnameleri aldığınızdan emin olun.
VERBİS Durumunu Kontrol Edin
Büronuzun VERBİS’e kayıt yükümlülüğü taşıyıp taşımadığını kontrol edin. Yükümlüyseniz veri envanterinizi temel alarak VERBİS kaydını tamamlayın.
İlgili Kişi Başvuru Sürecini Kurun
Müvekkil ya da çalışanlarınız KVKK kapsamında talepte bulunduğunda (verilerime erişmek istiyorum, verilerimi silin vb.) bu talepleri nasıl karşılayacaksınız? Bu süreci önceden tasarlayın. Yasal başvuru yanıt süresi 30 gündür.
Periyodik Gözden Geçirme Yapın
KVKK uyumu bir kez tamamlanan ve rafta bırakılan bir proje değildir. Yılda en az bir kez veri envanterinizi, aydınlatma metinlerinizi ve güvenlik önlemlerinizi gözden geçirin; değişiklik varsa güncelleyin.

6.1. Hangi Belgeler Hazır Olmalı?

Belge	Kapsam	Öncelik
Veri Envanteri (VERBİS Kaydı)	Tüm kişisel veri işleme faaliyetleri	Yüksek
Müvekkil Aydınlatma Metni	Hizmet sözleşmesiyle birlikte sunulur	Yüksek
Çalışan Aydınlatma Metni	İşe başlangıçta imzalatılır	Yüksek
Gizlilik Taahhütnamesi (Çalışan)	Tüm personel ve stajyerler için	Yüksek
Veri Güvenliği Politikası	Teknik ve idari önlemlerin yazılı kaydı	Orta
Veri İmha Prosedürü	Saklama süresi dolan verilerin imhası	Orta
İlgili Kişi Başvuru Formu ve Süreci	KVKK m.11 hakları kapsamında başvurular	Orta
Veri İşleyen Sözleşmesi (Yazılım Sağlayıcıları)	Bulut yazılım ve dış hizmet sağlayıcılar için	Orta

Uzman Desteği: Büronuzun KVKK uyum sürecinde nerede durduğunu anlamak ya da sıfırdan başlamak için destek alabilirsiniz. Nesil Teknoloji ile iletişime geçerek büronuza özel bir uyum yol haritası oluşturabilirsiniz.

7. Sık Sorulan Sorular

Küçük bir büro olarak KVKK beni bağlıyor mu?

Evet, kesinlikle bağlıyor. KVKK, büyüklükten bağımsız olarak kişisel veri işleyen tüm gerçek ve tüzel kişileri kapsar. Tek kişilik bir SMMM bürosu bile müvekkil ve çalışanlarına ilişkin kişisel veri işlediği için veri sorumlusu sıfatını taşır ve KVKK’dan doğan temel yükümlülüklere (aydınlatma, veri güvenliği, ilgili kişi hakları) uymak zorundadır. VERBİS kaydında eşik değerler geçerli olmakla birlikte, diğer yükümlülükler herkes için geçerlidir.

Müvekkil firmanın çalışanlarını ben mi aydınlatmalıyım?

Bu noktada sorumluluk paylaşımı gündeme gelir. Çalışan verilerini büronuza veren ve sizden bordro gibi hizmetler satın alan müvekkil firma, kendi çalışanlarını KVKK kapsamında bilgilendirmekle yükümlüdür. Ancak sizin de bu veri akışını hizmet sözleşmenizde net biçimde düzenlemeniz ve müvekkilinizi bu yükümlülük konusunda uyarmanız hem etik hem de hukuki açıdan doğru bir yaklaşımdır. Aksi hâlde siz de sorumluluktan azade olmayabilirsiniz.

Eski müvekkillere ait verileri ne kadar süre saklayabilirim?

KVKK, kişisel verilerin işlenme amacı sona erdiğinde silinmesini, yok edilmesini ya da anonimleştirilmesini öngörür. Muhasebe belgelerinde ise Vergi Usul Kanunu kapsamında 5 yıllık yasal saklama süresi vardır; bu süre dolduğunda vergi açısından saklama zorunluluğu ortadan kalkar ve KVKK kapsamında gerekli imha yapılmalıdır. Buna ek olarak Türk Ticaret Kanunu bazı belge türleri için farklı süreler öngörebilir. Dolayısıyla saklama takvimi oluşturulurken hem KVKK hem de ilgili sektör mevzuatı birlikte değerlendirilmelidir.

KVKK’ya aykırılık durumunda ne gibi yaptırımlar var?

KVKK Kurulu, veri ihlali ya da yükümlülük ihlali durumunda idari para cezası, durdurma kararı ve kamuoyu duyurusu gibi yaptırımlar uygulayabilir. Bunların yanı sıra veri ihlalinde zarara uğrayan kişiler tazminat davası açabilir. Ceza miktarları her yıl yeniden değerleme katsayısıyla güncellenmekte olup güncel tutarlar için Kişisel Verileri Koruma Kurumu’nun resmi sitesi takip edilmelidir. Küçük bir büro için bile bu cezalar ciddi maddi sonuçlar doğurabilir.

Muhasebe yazılımı sağlayıcım KVKK’ya uyumlu mu olmalı?

Evet. Muhasebe yazılımı sağlayıcınız, büronuzun kişisel verilerini işlediği için veri işleyen konumundadır. Bu sağlayıcıyla yazılı bir sözleşme (ya da sözleşme eki) yapılmalı ve sağlayıcının yeterli güvenlik önlemleri aldığından emin olunmalıdır. Sağlayıcı yurt dışında veri depoluyorsa yurt dışı aktarım koşullarının da ayrıca değerlendirilmesi gerekir.

Muhasebe Bürolarında KVKK SMMM Veri Koruma Mali Müşavirlik Kişisel Veri KVKK Aydınlatma Yükümlülüğü

Büronuz İçin KVKK Uyum Desteği Almak İster misiniz?

Muhasebe ve mali müşavirlik bürolarına özel KVKK uyum danışmanlığı, aydınlatma metni hazırlama, veri envanteri oluşturma ve VERBİS kaydı konularında profesyonel destek almak için bizimle iletişime geçin. Büronuza özel yol haritası çıkaralım.

İletişime Geçin Başa Dön