Siz de bir şahıs şirketi işletiyorsanız, POS cihazından aldığınız kredi kartı/banka kartı sliplerinde kendi T.C. kimlik numaranızın yazdığını fark etmiş olabilirsiniz. Küçük bir alışveriş fişi üzerinde işletme sahibinin kimlik numarasının yer alması, ilk bakışta önemsiz görünse de hem yasal zorunluluklar hem de kişisel verilerin korunması açısından dikkat edilmesi gereken bir konudur. Bu makalede, POS sliplerinde T.C. kimlik numarasının neden yazdığını, bunun KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında ne anlama geldiğini ve şahıs şirketi sahipleri için oluşturabileceği riskleri ele alacağız. Ayrıca, yasal uyumluluk ile mahremiyet dengesinin nasıl korunabileceğine dair öneriler sunacağız.
Kişisel Verileri Koruma Kurumu (KVKK) tarafından T.C. kimlik numaralarının işlenmesine ilişkin yayınlanan rehber, kimlik numarasının diğer kişisel verilere erişim sağlayabildiğini ve bu durumun kişiler üzerinde olumsuz etki yaratabildiğini vurgulamıştır.
Kimlik numaralarının işlenmesinin, kişilerin diğer kişisel verilerine de erişim imkanı sağladığı aktarılan rehberde, bu durumun kişiler üzerinde olumsuz etkiler doğurabileceği bildirilmiş, T.C. Kimlik numaralarının "nitelikli kişisel veriler arasında oldukça önemli bir yere sahip olduğu" vurgulanmıştır. T.C. kimlik numaralarının, Kişisel Verilerin Korunması Kanunu'ndaki usul ve esaslara uygun şekilde işlenmesinin zorunlu olduğu hatırlatılmış, kişisel verilerinin korunması hakkına daha az müdahale eden yöntemlerin mümkün olup olmadığı gözetilerek varsa bu yöntemlerin tercih edilmesi gerektiği kaydedilmiştir.
Özellikle şahıs şirketi sahipleri, POS fişlerinde kendi T.C. numaralarının yer alması nedeniyle bu rehberde belirtilen risklerle karşı karşıya kalabilmektedir. En basitinden kötü niyetli olarak sadece kimlik numaraları kullanılarak aleyhlerine ilamsız icra takibi başlatılabilip itiraz süresi kaçırılınca takip kesinleştirilerek haciz gibi işlemlere geçilebilir.
NEDEN SLİPTE TC KİMLİK NUMARASI YAZIYOR?
Öncelikle bu uygulamanın kaynağı vergi mevzuatına dayanmaktadır. Şahıs şirketleri, tüzel kişiliği olmayan ve doğrudan gerçek kişi üzerinden vergilendirilen işletmelerdir. Türkiye’de 2006 yılından bu yana gerçek kişiler için vergi kimlik numarası olarak doğrudan T.C. kimlik numarası kullanılmaktadır.
Gelir İdaresi Başkanlığı’nın 3 seri numaralı Vergi Kimlik Numarası Tebliği ile, Türkiye Cumhuriyeti vatandaşlarının vergi kimlik numaraları T.C. kimlik numaraları ile eşleştirilmiş ve 1 Temmuz 2006 tarihinden itibaren tüm resmi belgelerde vergi kimlik numarası alanına 11 haneli T.C. kimlik numarasının yazılması uygulamasına geçilmiştir.
Bu düzenleme uyarınca, işletme sahibi gerçek kişi olan (yani şahıs şirketi şeklinde faaliyet gösteren) mükelleflerin düzenlediği fatura, fiş ve benzeri belgelerde işletmeye ait vergi kimlik numarası yerine şahsın T.C. kimlik numarası yer alır. POS cihazından çıkan slipler de çoğunlukla hem bankacılık işlemi belgesi hem de vergi mevzuatına uygun bir ödeme kaydedici cihaz fişi olarak kullanılmaktadır. Bu nedenle slip üzerinde işletme sahibinin adı, unvanı ve adresi ile birlikte vergi kimlik numarası (şahıs firmalarında T.C. numarası) basılması söz konusudur.
KİMLİK NUMARASININ KİŞİSEL VERİ OLARAK NİTELİĞİ
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca T.C. kimlik numarası “özel nitelikli veri” değildir ancak genel nitelikli kişisel veridir ve diğer verilerle birlikte kullanıldığında kişiyi belirlenebilir kıldığı için yüksek risk taşır. Kişisel Verileri Koruma Kurumu’nun 16 Ocak 2024 tarihli rehberi, kanunların açıkça öngördüğü durumlar dışında kimlik numarası işlenmesinin gerekçesiz ve orantısız olduğunu, aynı amaca başka verilerle ulaşılabiliyorsa T.C. kimlik numarası işlenmesinden kaçınılması gerektiğini vurgulamıştır. Rehber, T.C. kimlik numarasının kanunlarda açıkça öngörüldüğü bazı işlemler (fatura düzenlenmesi, sipariş ve kargo teslimi, mesafeli sözleşmeler, elektronik ödeme, noterlik işlemleri gibi) için ibraz edilmesini kabul etmekte ve bunları listelemektedir.Bu kapsamda POS cihazı fişi düzenlenirken T.C. kimlik numarası yazılması kanunlarda öngörüldüğünden veri işleme şartı vardır ve veri işleyenin açık rıza almasına gerek yoktur. Ancak dikkat çekmek gerekir ki kanun hükmü ve anılan rehbere göre veri sorumlusu, ''bu verinin yetkisiz kişilere ifşasını önlemek için gerekli teknik ve idari tedbirleri almakla yükümlüdür.''
KİMLİK NUMARASININ AÇIĞA ÇIKMASININ OLASI RİSKLERİ
T.C. kimlik numarasının her müşteriye verilen sliplerde bulunması, istenmeyen bazı riskler doğurabilir. Bunlardan en önemlisi, kötü niyetli kişilerin bu bilgiyi kullanarak çeşitli suistimaller yapabilmesidir. Türkiye’de pek çok işlemde T.C. kimlik numarası bir anahtar gibi kullanılır; bir kişinin kimlik numarası bilindiğinde, hakkında kamuya açık sorgulamalar yapılabilir veya farklı kurumlarda o kişi adına işlemler denenebilir. Örneğin, geçmişte yaşanan veri sızıntılarında kimlik numaraları ele geçirilen bireylerin adlarına sahte abonelikler açılması, internet üzerinden kişisel bilgilerine erişilmesi gibi olaylar görülmüştür. KVKK’nın rehberinde de kimlik numarasının tek başına bile başka verilere erişim imkânı tanıdığı ve bu yönüyle suiistimal halinde ciddi sonuçlar doğurabileceği ifade edilmiştir.
Somut bir senaryo düşünelim: Bir alışveriş merkezinde farklı küçük işletmelerden alışveriş yaptınız ve hepsi birer POS fişi verdi. Eğer bu işletmeler şahıs şirketi ise, fişlerin üzerinde muhtemelen her bir işletme sahibinin T.C. numarası yazıyor olacak. Bu fişler bazen müşteriler tarafından sağda solda bırakılabiliyor ya da çöpe atılabiliyor. Kötü niyetli biri ya da birileri bu fişleri toplarsa, çok sayıda kişinin T.C. kimlik numarasını ve adını bir araya getirebilir. Bu bilgilerle o kişiler adına telefon numarası sorgulamaktan tutun da sosyal mühendislik yoluyla dolandırıcılık girişimlerine kadar pek çok riskli teşebbüste bulunmak mümkün olabilir.
Kişisel Verileri Koruma Kurumu, izinsiz bir şekilde başkasına ait kişisel verilerin ele geçirilmesi veya yayılmasının 5237 sayılı Türk Ceza Kanunu uyarınca suç teşkil ettiğini hatırlatmaktadır . TCK 136. maddeye göre hukuka aykırı olarak bir başkasına ait kişisel veriyi ele geçiren veya yayan kişiler, ciddi cezalara çarptırılabilir. Dolayısıyla, slip üzerinde yazan kimlik numarasının ilgisiz üçüncü kişilerin eline geçmesi, hem veri sorumluları (işletme sahibi ve POS hizmet sağlayıcı) açısından itibar ve güven kaybına yol açabilir hem de bu veriyi kötüye kullananlar açısından cezai sorumluluk doğurabilir.
Yazımızın başında değindiğimiz örneği tekrarlarsak, herhangi bir kişi aleyhine ilamsız icra takibi başlatmak için kimlik numarası yeterli olabilmektedir. İcra hukukunda kabul edilen mevzuat gereği, borçlunun kendisine tebliğ edilen ödeme icra emrine yedi(7) gün içinde itiraz etmemesi sonucu borçlu hakkındaki icra takibi kesinleşir ve alacaklı sıfatına sahip taraf haciz işlemlerine geçebilir.
Çoğu vakada, gerek görevli memurun gerekse de kişilerin ihmali neticesinde habersizce yollanan bilumum tebligat usule uygun yapılmış kabul edilmektedir. Örneğin şahıs adresinde yokken kendisine gelen tebliğ, muhtara teslim edilmektedir. Ancak çoğu memur, muhtara teslim edildiğine dair bilgilendirime yazısını adresin kapısına bırakmamaktadır. Bu itibarla itiraz süresi işlemeye başlamaktadır. Hatta icra takibinin konusu borcun tutarı bazı durumlarda o kadar yüksek olmaktadır ki başvurulacak kanuni yollarda sadece mahkemeye ödenecek harç ve masraflar dahi hakkı ihlal edilen kişilerin karşılayabileceği tutarları fersah fersah aşmakta, dolayısıyla telafisi bazen çok zor bazen de imkansız zararlar oluşabilmektedir.
UYGULAMAYA KARŞI BAŞVURU VE ŞİKAYET YOLLARI
İşte bu aşamada veri sorumlusu ve veri sahibinin çeşitli hak ve yükümlülükleri karşımıza çıkmaktadır.
A-)Veri sorumlusuna başvuru
KVKK’nın 13. maddesi uyarınca, kişisel verisi işlenen ilgili kişi önce veriyi işleyen veri sorumlusuna başvurarak talepte bulunmalıdır. Şahıs şirketi sahibi, POS cihazı tedarikçisi veya ödeme kuruluşu tarafından T.C. kimlik numarası fişte tam olarak basıldığı için kişisel verisinin fazla paylaşıldığını düşünüyorsa, veri sorumlusuna aşağıdaki talepleri içeren yazılı başvuru yapabilir:
1-) T.C. kimlik numarası yerine maskeleme (örneğin son dört hanesinin gösterilmesi) gibi kişisel veriyi daha az ifşa eden bir yöntem kullanılmasını talep etmek; ancak bu talep, 435 sıra nolu Tebliğ uyarınca vergi kimlik numarasının tamamen silinmesine yönelik olmayacaktır.
2-) Veri sorumlularının, fişin işyeri nüshasında kimlik numarasını saklayıp müşteriye verilen kısımda göstermemek için Gelir İdaresi’ne izin isteyip istemediğini öğrenmek.
3-) Kişisel verisinin hukuka aykırı olarak paylaşılmasından doğan zararın giderilmesini talep etmek.
Veri sorumlusu, başvuruyu en geç 30 gün içinde ücretsiz olarak yanıtlamak zorundadır. Başvuru reddedilir veya verilen cevap yetersiz bulunursa veya 30 gün içinde cevap verilmezse, ilgili kişi Kurula şikâyet hakkını kullanabilir. Zira veri sağlayıcısına başvuru yapılmaksızın doğrudan kurula şikayet hakkının kullanımı kanun gereğince mümkün değildir.
B-)KVKK Kuruluna şikâyet
İlgili kişi, veri sorumlusundan aldığı cevabı öğrendiği tarihten itibaren 30 gün içinde, her hâlde başvuru tarihinden itibaren 60 gün içinde Kişisel Verileri Koruma Kurumu’na şikâyette bulunabilir . Kurul, şikâyet üzerine veya ihlal iddiasını resen öğrendiğinde inceleme yapar ve 60 gün içinde karar verir; karara karşı da idari yargıda dava açılabilir .
Bununla birlikte Kurul, veri sorumlusunun kimlik numarasını nasıl sakladığını ve üçüncü kişilerle paylaşımını değerlendirerek gerekli teknik ve idari tedbirleri almasını isteyebilir.
Kanunda Kurulun, şikâyet üzerine yapacağı inceleme sonunda cevap vermesi öngörülmüş, şikâyet tarihinden itibaren altmış gün içinde herhangi bir cevap verilmezse talebin reddedilmiş sayılacağı hükme bağlanmıştır. Buna göre, şikâyet tarihinden itibaren altmış günlük sürenin geçmesiyle idari yargıda dava açma süresi başlayacaktır.
C-) Diğer hukuki yollar
Veri sorumlusuna karşı tazminat davası
KVKK’nın 11. maddesi kapsamında kişisel verisi hukuka aykırı olarak işlenen ilgili kişi, Türk Borçlar Kanunu’na dayanarak tazminat davası açabilir. Ancak POS fişinde kimlik numarası yazılması kanunen zorunlu olduğundan, tazminat talebinin kabul edilme ihtimali düşüktür. Suç duyurusu: 5237 sayılı Türk Ceza Kanunu’nun 136. maddesi, kişisel verileri hukuka aykırı olarak başkasına veren veya yayan kişilere iki yıldan dört yıla kadar hapis cezası öngörmektedir Bir kimsenin T.C. kimlik numarasını yetkisiz kişilere vermek veya ilan etmek bu suça konu olabilir. Ancak POS fişlerinde kimlik numarasının bulunması kanuna dayalı olduğu için suç oluşmaz. Buna karşın, fişi alan kişinin numarayı kötüye kullanması hâlinde sorumluluk fişi alan kişiye aittir ve mağdur savcılığa başvurabilir.
DEĞERLENDİRME VE SONUÇ
Şahıs şirketlerinin POS cihazı fişlerinde T.C. kimlik numarasının yazılması, Vergi Usul Kanunu ve 4358 sayılı Kanun ile Gelir İdaresi’nin genel tebliğleri uyarınca yasal bir zorunluluktur. 435 sıra nolu Vergi
Usul Kanunu Genel Tebliği, yeni nesil ödeme kaydedici cihaz fişlerinde mükellefin vergi kimlik/T.C. Kimlik numarasının belirtilmesini özellikle şart koşmaktadır. Bu nedenle bankalar ve ödeme kuruluşları, şahıs şirketlerinin kimlik numaralarını POS fişlerinde göstermek zorundadır; kimlik numarasının gizlenmesi mevcut mevzuata aykırı olacaktır.
Ancak mevzuatta bu hükmün bulunması, kesinlikle kimlik numaralarının paylaşılması gerektiği şeklinde yorumlanmamalıdır. Zira mevcut haliyle hüküm KVKK ve Anayasa başta olmak üzere sair mevzuatla çelişmektedir.
Uygulamadan memnun olmayan şahıs şirketi sahipleri veya müşteriler, öncelikle POS cihazını sağlayan bankaya veya ödeme kuruluşuna başvurarak kişisel verinin daha az ifşa edilmesini talep edebilir, ardından veri sorumlusunun cevabına göre Kişisel Verileri Koruma Kurulu’na şikâyet yoluna başvurabilir ve gerekiyorsa idari yargı yoluna gidilebilir.
Av. Oğuzhan ŞAHİN
