SMMM Büroları İçin KVKK Uyum Analizi: Veri Sorumlusu Statüsü ve Kişisel Veri Envanteri
Kişisel Verileri Koruma Kurumu’nun yayınladığı Veri Sorumlusu ve Veri İşleyen Rehberine göre Serbest Muhasebeci Mali Müşavirler (SMMM), müşterilerinin hesaplarıyla ilgili kayıtları tutarken çoğu durumda veri sorumlusu sıfatına sahiptir. Zira işledikleri kişisel verilerle ilgili doğrudan kendilerine yüklenen yasal yükümlülükler bulunmaktadır ve bu yükümlülükler, müşterinin talimatından bağımsız olarak yürütülür.
Özellikle yolsuzluk şüphesi gibi durumlarda mali müşavirlerin, adli ve idari mercilere veya diğer yetkili kurumlara bildirim yükümlülüğü vardır ve bu bildirimi yaparken mükellefin talimatı doğrultusunda hareket etmedikleri açıktır. Bu nedenle mali müşavirler ve benzer uzman hizmet sağlayıcıları; mesleki yasal sorumlulukları devam ettiği sürece veri sorumlusu statüsündedir ve bu statüden doğan yükümlülüklerini sözleşme ile mükellefe devretmeleri mümkün değildir.
SMMM’ler: KVKK Rehberine göre çoğu durumda veri sorumlusudur.
Uyum çalışmaları: Envanter, aydınlatma metinleri, sözleşmeler ve teknik/idari tedbirler
buna göre kurgulanmalıdır.
VERBİS muafiyeti: Uyum muafiyeti değildir; SMMM’ler kişisel veri işleme faaliyetlerini
yine de KVKK’ya uygun hale getirmekle yükümlüdür.
1. KVKK’ya Göre SMMM’nin Veri Sorumlusu Statüsü
Kişisel Verileri Koruma Kurumu’nun Veri Sorumlusu ve Veri İşleyen Rehberine göre mali müşavirler; müşterilerinin hesaplarıyla ilgili kayıtları tutarken bu kayıtlarda yer alan kişisel verilerin işlenmesi bakımından veri sorumlusu kabul edilir.
Bunun temel nedeni, mali müşavirlerin işledikleri kişisel verilerle ilgili doğrudan kendilerine yüklenen mesleki ve yasal sorumluluklardır. Örneğin bir firmanın hesap hareketlerini incelerken herhangi bir yolsuzluk tespit edilmesi halinde SMMM’nin, durumu adli veya idari mercilere bildirme yükümlülüğü vardır. Bu bildirimi yaparken mükellefin talimatıyla değil, kanundan doğan sorumlulukları çerçevesinde hareket eder.
Dolayısıyla; mali müşavirler, kendi mesleki yasal yükümlülüklerine tabi oldukları sürece veri sorumlusu statüsündedir ve bu statüden doğan yükümlülüklerini bir sözleşmeyle mükellefe kısmen veya tamamen devretmeleri KVKK bakımından mümkün değildir.
Bu nedenle SMMM’ler; KVKK uyum çalışmalarını kendi bürolarının organizasyonu ve faaliyetleri üzerinden yürütmeli, kişisel veri envanterlerini, aydınlatma metinlerini ve KVKK belgelerini bu çerçevede hazırlamalıdır. Hazırlanan ve imzalanan sözleşmelerde veri sorumlusu–veri işleyen rollerinin bu perspektifle tanımlanması, uyum sürecini hem daha anlaşılır hem de daha yönetilebilir hâle getirecektir.
2. SMMM Bürosu Organizasyonu ve Faaliyet Alanları
SMMM bürosu, 3568 sayılı Meslek Yasası kapsamındaki mesleki faaliyetler ile bunların dışında kalan genel büro faaliyetleri açısından birlikte değerlendirilmelidir. Bir mali müşavirin vergi mükellefi olarak çalışmayı tercih etmesi halinde, tek başına çalışsa dahi mutlaka bir öz organizasyon alanı oluşur.
Bu organizasyon alanında tipik olarak aşağıdaki süreçler bulunur:
- İnsan kaynakları işlemleri (çalışan varsa),
- Büroya ait muhasebe ve finans süreçleri,
- Alım-satım, tedarik, sözleşme yönetimi,
- Genel yönetim ve büro operasyonları.
Bunlara ek olarak; 3568 sayılı yasa kapsamında sayılan mesleki faaliyetler ve bu mesleğe özgü “geleneksel faaliyetler” (diğer mükellef işleri) de SMMM bürosunun çalışma alanına girer. Uygulamada SMMM, kimi zaman mükellef adına veri işleyen gibi görünse de, KVKK ve Rehber çerçevesinde bu faaliyetlerin önemli bir kısmında uzmanlığı ve yasal sorumlulukları nedeniyle veri sorumlusu konumundadır.
3. SMMM Bürolarında Hizmet Grupları: 3568 Kapsamı ve Diğer Hizmetler
KVKK uyum analizi yapılırken, SMMM bürosunun sunduğu hizmetleri gruplamak kişisel veri işleme faaliyetlerini haritalamayı kolaylaştırır. Bu çerçevede üç temel yaklaşım ve iki ana hizmet grubu üzerinden düşünmek mümkündür.
3.1. SMMM’nin Faaliyet Yürütme Modelleri
SMMM’ler faaliyetlerini genel olarak şu şekillerde yürütebilir:
- Kendi bürolarında tek başlarına vergi mükellefi olarak,
- Vergi mükellefi olarak tüm işleri sadece mükellef işyerlerinde,
- Vergi mükellefi olarak kendi bürolarında çalışanlarıyla birlikte.
Her bir modelde; kişisel verilerin nerede, kim tarafından, hangi sistemler üzerinde işlendiği değişeceğinden envanter ve risk değerlendirmesi bu modele göre özelleştirilmelidir.
3.2. A. 3568 Sayılı Yasa Kapsamındaki Hizmetler
SMMM bürolarının 3568 sayılı yasa kapsamında sunduğu temel hizmetler özetle şunlardır:
- Defter tutulması ve beyanname verilmesi
- Sadece beyanname verilmesi
- SGK işlemlerinin yerine getirilmesi
Bu hizmetler, mükellefe ait çok sayıda kişisel verinin (çalışan, ortak, yönetici, tedarikçi vb.) işlenmesini içerir ve SMMM genellikle bu işleme faaliyetlerinde veri sorumlusu konumundadır.
3.3. B. 3568 Sayılı Yasa Dışındaki Sözleşmeli Hizmetler
Birçok SMMM, 3568 kapsamı dışında kalan ancak mesleğin doğası gereği sıkça talep edilen hizmetleri de sözleşme kapsamında verir:
- İK + Bordro İşlemleri: Mükelleflerin işe girişten başlayarak kişiye ait özlük dosyalarının tutulması dahil iş hukuku kaynaklı tüm iş ve işlemler.
- Hükmi kişilik işlemleri: Şirket, kooperatif, dernek, vakıf gibi tüzel kişilerin kuruluş ve organizasyon süreçleri, organların faaliyetlerine ilişkin işlemler.
- 5510 sayılı Kanun kapsamındaki iş ve işlemler: Sosyal güvenlik mevzuatına ilişkin bildirimler ve takipler.
- Kişi işleri takipleri: Bireylere ait vergi, SGK veya benzeri iş ve işlemlerin takibi.
Bu hizmetlerde de SMMM, işlediği kişisel veriler üzerinde mesleki ve yasal sorumluluk taşıdığından, çoğu durumda yine veri sorumlusu statüsüne sahiptir.
4. Tutulan Defterler, Belgeler ve Kayıtların KVKK Bakımından Değerlendirilmesi
Defterler, belgeler ve dijital kayıtlar; SMMM’nin kişisel veri işleme faaliyetlerinin çekirdeğini oluşturur. Bu nedenle hem mülkiyet hem de saklama süresi açısından KVKK bakış açısıyla yeniden değerlendirilmelidir.
4.1. Defter ve Belgelerin Mülkiyeti
Defter ve belgelerin hazırlanması veya hazırlatılması bakımından esas hak ve sorumluluk mükellefe aittir. Ancak SMMM, bu defter ve belgeler üzerinde işlem yaptığı ölçüde kişisel veri işler ve bu işlemden kaynaklanan yükümlülüklere tabidir.
4.2. Dönen Evrak
Dönen evrak; kayıt dayanağı olan sözleşme, fatura, belge, ana sözleşme vb. dokümanlardır. SMMM defter tutmasa dahi, bu belgelerle işlem yapıyor ve bunlara fiilen erişiyorsa, kişisel veri işleme faaliyeti söz konusudur.
4.3. Duran Evrak
Duran evrak; mükellefin sabit nitelikteki evrakını ifade eder. Örneğin:
- Genel kurul karar defteri,
- Yönetim kurulu karar defteri,
- Ana sözleşme değişiklikleri,
- Birlik ve oda kayıt dosyaları vb.
Uygulamada bu evrakların kopyalarının SMMM bürosunda alınıp saklandığı görülür. Bu durumda SMMM, bu kopyalar üzerinde de KVKK’ya uygun saklama ve imha politikası oluşturmalıdır.
4.4. Bilgisayar Kayıtları
Muhasebe programları, Excel dosyaları ve benzeri dijital kayıt ortamları; SMMM’nin veri işleme faaliyetinin en yoğun olduğu alanlardır. Sözleşmeler sona erdiğinde dahi, kanuni saklama süreleri (örneğin 5 yıl ve üzeri) nedeniyle kayıtlar belirli bir süre daha SMMM tarafından muhafaza edilebilir.
4.5. E-Defterler
E-defter; dijital ortamda tutulan ve e-defter yükümlüsü olan mükelleflerin tutmak zorunda olduğu defter türüdür. Noter onayı yerine e-defter beratı alınır. E-defter ortamları ve beratlardaki kişisel verilerin güvenliği, yedeklenmesi ve erişim yetkileri KVKK çerçevesinde ayrıca ele alınmalıdır.
4.6. Bilanço ve Mali Tablolar
Bilanço ve mali tablolar, 3568 sayılı yasa uyarınca SMMM tarafından oluşturulan ve sunulan belgelerdir. Bu belgelerin üretim sorumluluğu SMMM’ye ait olmakla birlikte, yasal saklama süreleri dolduktan sonra gereksiz saklamaya devam edilmemesi KVKK açısından önemlidir.
4.7. İnternet Vergi Dairesi ve Dijital Ortamlar
SMMM’ler; vergi kanunları ve bağlı mevzuata ilişkin pek çok işlemi İnternet Vergi Dairesi üzerinden yürütür. Bu altyapı, Hazine ve Maliye Bakanlığı’nın dijital vergi dairesi sistemi olup, SMMM tarafından sisteme girilen bilgiler mükellef ve diğer ilgili kişilere ait kişisel verileri içerir. Bu nedenle, kullanıcı adı/şifre güvenliği, yetkilendirme, loglama gibi konular KVKK kapsamında kritik önemdedir.
5. SMMM Bürosu Kişisel Veri Envanteri
SMMM bürolarının, iyi hazırlanmış bir kişisel veri envanteri ile KVKK uyum sürecini yönetmesi, hem pratik hem de hukuki açıdan büyük avantaj sağlar. Envanter; hangi süreçte, hangi veri kategorilerinin, hangi amaçlarla, hangi hukuki sebeplere dayanarak ve ne kadar süreyle işlendiğini sistematik biçimde ortaya koyar.
İyi Bir Envanter SMMM’ye Neler Kazandırır?
- KVKK dokümantasyonunun uyumlu hazırlanması: Aydınlatma metinleri, açık rıza metinleri, saklama ve imha politikaları ile veri işleme envanteri birbirini destekler.
- Faaliyet bazlı farkındalık: Bürodaki tüm faaliyetler, mükellef özelinde daha detaylı analiz edilir; hangi işlemde veri sorumlusu, hangi işlemde veri işleyen rolünde olunduğu netleşir.
- Hatalı uygulamaların giderilmesi: Uyumsuz veya gereksiz veri işleme uygulamaları tespit edilerek sonlandırılır; bu sayede yükümlüler karşısında hukuki zafiyet riski azalır.
Unutulmamalıdır ki; VERBİS kaydı muafiyeti, KVKK’ya uyum muafiyeti değildir. SMMM bürosu VERBİS’ten muaf olsa bile, kişisel veri işleme faaliyetlerini KVKK hükümlerine uygun hale getirmek, gerekli idari ve teknik tedbirleri almak ve dokümantasyonu oluşturmak zorundadır.
6. KVKK Uyumu ve VERBİS Kaydı Hakkında Önemli Notlar
SMMM büroları açısından KVKK uyum süreci; yalnızca bir “evrak doldurma” faaliyeti değil, mesleki faaliyetin tamamına nüfuz eden bir yönetim ve denetim sürecidir. Bu nedenle:
- Veri sorumlusu–veri işleyen ayrımı doğru yapılmalı,
- Sözleşmelerde rol ve sorumluluklar netleştirilmeli,
- Saklama süreleri, imha prosedürleri ve erişim yetkileri yazılı hale getirilmeli,
- Çalışanlar (varsa) düzenli eğitimlerle bilgilendirilmelidir.
VERBİS kaydı muafiyeti bulunan SMMM’ler dahi, KVKK uyum sürecini ertelememeli; envanter, politika ve prosedürlerini oluşturarak kişisel verilerin korunmasına ilişkin sorumluluklarını yerine getirmelidir. Aksi halde, bir veri ihlali veya şikâyet durumunda, veri sorumlusu sıfatıyla ciddi idari yaptırımlarla karşılaşılabilir.
7. SMMM ve KVKK Hakkında Sık Sorulan Sorular
SMMM’ler KVKK’ya göre veri sorumlusu mudur, veri işleyen midir?
KVKK Rehberine göre SMMM’ler; mesleki faaliyetlerinde, işledikleri kişisel veriler üzerinde yasal yükümlülük ve takdir yetkisine sahip oldukları için çoğu durumda veri sorumlusudur. Bazı teknik işlemlerde veri işleyen rolü öne çıksa da, yasal sorumluluk nedeniyle veri sorumlusu statüsü devam eder.
VERBİS kaydından muafım, yine de KVKK uyum çalışması yapmalı mıyım?
Evet. VERBİS muafiyeti yalnızca sicile kayıt yükümlülüğünden muafiyet anlamına gelir; kişisel veri envanteri, aydınlatma metni, saklama ve imha politikası gibi KVKK yükümlülüklerinden muafiyet sağlamaz. Uyum çalışması yapılması zorunludur.
Defter ve belgeleri ne kadar süre saklamalıyım?
Saklama süreleri; vergi, ticaret ve meslek mevzuatıyla belirlenir (örneğin birçok belge için 5–10 yıl). KVKK açısından, bu süreler dolduğunda kişisel verilerin işleme amacı sona ermiş sayılacağından, uygun yöntemlerle imha (silme, yok etme, anonim hale getirme) prosedürlerinin işletilmesi gerekir.
