Veri sorumlusu; kişisel verilerin işlenme amacını ve yöntemini belirleyen, yani işbu işleme faaliyetinin amacını ve hangi yöntemle yapılacağının belirleyen kişidir. Buna göre; mali müşavirler de kendi ofislerinde çalıştırdıkları personeller, almış oldukları kamera kayıtları ve müşterilerinin defterleriyle, SGK bildirgeleri işlemleri ilgili kayıtları tutarken veri sorumlusu sıfatına haizlerdir. Bu sebeple kanun kapsamında yükümlülükleri yerine getirmeleri gerekmektedir.
Mali müşavir işledikleri kişisel verilerle ilgili sorumluluk almasını zorunlu kılan yasal yükümlülükleri bulunmaktadır. Örnek verirsek, bir firmanın hesaplarıyla ilgili kayıtları tutarken herhangi bir yolsuzluğa rastlamaları durumunda mali müşavirlerin adli ve idari birimler veya diğer yetkili kurumlara bildirimde bulunma zorunluluğu bulunmaktadır. Bildirimi yaparken müşterisinin talimatları doğrultusunda hareket etmiyor olacağı açıktır. Dolayısıyla bunun gibi uzman hizmet sağlayıcıları, kendi mesleki yasal yükümlülüklerine tabi oldukları sürece veri sorumlusu statüsünde bulunacaklardır ve veri sorumlusu olmaktan kaynaklanan yükümlülüklerini anlaşmayla müşteriye kısmen veya tamamen bırakmaları mümkün olmayacaktır.
Dolayısıyla mali müşavirler veri sorumlusu olup kanunun kendisine yüklediği yükümlülükleri yerine getirmesi gerekecektir.
A- İlgili Kanunu’nun 10.maddesinde aydınlatma yükümlülüğü vardır. Veri sorumlusu;
-) Veri sorumlusunun ve varsa temsilcisinin kimliği,
-) Kişisel verilerin hangi amaçla işleneceği,
-) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
-) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
-) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.
B- Kişisel veri saklama ve imha politikası ve özel nitelikli kişisel veri politikası oluşturmalıdır.
C- Bilgi güvenliği politikaları oluşturmalıdır.
D- Kişisel Veri Envanteri oluşturmalıdır.
E- Veri aktarımı yaptığı şirketlerle veri aktarımına dair gizlilik sözleşmeleri yapmalıdır. Bu şirketlere muhasebe programı şirketleri örnek verilebilir.
F- Çalışanlarına KVKK kapsamında eğitim vermekle yükümlüdür.
Kişisel Verilerin Korunması Kanununun 16. Maddesi uyarınca; kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır. Fakat yine aynı Kanun maddesinin devamında Kurulca belirlenecek objektif kriterler de göz önüne alınmak suretiyle, Kurul tarafından Veri Sorumluları Siciline kayıt zorunluluğuna istisna getirilebileceği belirtilmiştir. Mali müşavirlik şirketleri işbu istisna kapsamında yer almamaktadır. Dolayısıyla Veri Kayıt Yükümlülüğü şartlarını taşıyan mali müşavirlik şirketleri de VERBİS’e kaydolmak zorundadırlar.
Kaldı ki VERBIS kayıt yükümlülüğünden istisna tutulan mali müşavirlerin bu istisnası sadece VERBIS bildirimine ilişkin olup her halükarda kanun kapsamında veri sorumlusu olarak işledikleri verilere, amaçlarına, toplama yöntemine ve hukuki sebebe göre aydınlatma yapmak, açık rıza almak, idari ve teknik tedbirleri almak gibi diğer yükümlülüklerini yerine getirmesi gerekecektir.
KVK Kanunu’nun Kabahatler başlıklı 18.maddesinde veri sorumlusu ve veri işleyenlerin yükümlülüklerini yerine getirmemesi durumunda karşılaşabileceği idari para cezaları belirlenmiştir. Bu cezalar, yükümlülüğe uymayan veri sorumluları tespit edildiği takdirde Kişisel verileri koruma kurulu tarafında kesilmektedir.
Cezaların yeniden değerleme oranıyla son halleri aşağıda ki gibidir.
Olarak belirlenmiştir.
Dolayısıyla mali müşavirler örneğin birlikte çalıştığı personellerine işlediği veriler kapsamında aydınlatma yapmıyor veya mükelleflerine karşı aydınlatma açık rıza alma yükümlülüklerini yerine getirmiyorsa 946.308,00 TL ‘ye kadar idari para cezası ile cezalandırılabilecektir.
İlgili idari cezalarla ilgili kurum bir duyuru yapmıştır. Duyuruyu aşağıdaki şekilde özetleyebiliriz;
Kanun’un 18’inci maddesinin birinci fıkrasında yer alan hüküm gereğince Sicile kayıt ve bildirim yükümlülüğünü doğru bir şekilde yerine getirmeyen veri sorumluları hakkında Kurul tarafından re’sen inceleme yapılmaktadır. Bu kapsamda, Sicile kayıt ve bildirim yükümlülüğü bulunduğu tespit edilen yaklaşık 130.600 veri sorumlusundan bu yükümlülüğünü doğru yerine getirmediği tespit edilen yaklaşık 16.350 veri sorumlusu hakkında Kurul tarafından Kanun’un 18’inci maddesi uyarınca VERBİS incelemesi yapılmasına ve yapılan inceleme sonucunda yıllık mali bilanço aktif toplamı tutarlarına göre hazırlanan algoritma tablosu temel alınarak 9.463.213 TL’ye kadar idari para cezası uygulanmasına devam edilmektedir.
Söz konusu incelemeler akabinde, Sicile kayıt ve bildirim yükümlülüğü olduğu halde bu yükümlülüğünü yerine getirmeyen yurtiçinde ve yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularına Kurul tarafından, 01.08.2024 tarihi itibariyle 503.935.000 TL idari para cezası düzenlenmiş olup kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşlarına da disiplin hükmü uygulanmıştır.
https://www.kvkk.gov.tr/Icerik/7980/KAMUOYU-DUYURUSU-Veri-Sorumlulari-Sicili-01082024