Vergi müfettişi mükellefin dijital bilgilerini çaldırırsa

Geçtiğimiz haftalarda DÜNYA Gazetesi'nden Burakhan Varol “Türkiye’nin Siber Güvenliği Alarm Veriyor” başlıklı haberinde, Fortinet -2014 Threat Landscape Report’a göre, Türkiye’nin en çok siber saldırıya uğrayan ülkeler listesinde ABD, Çin, Almanya, İngiltere, Brezilya, İspanya, İtalya ve Fransa’dan sonra 9’uncu sırada yer aldığını bu kapsamda Türkiye’deki bilgisayarların yüzde 45’inin siber saldırıya uğradığını belirtiyordu. Bu haberden hareketle gelin hep birlikte şu hikâyeye bakalım: Vergi Müfettişi X İstanbul’da Vergi Denetim Kurulu’nda 3 yıldır çalışmaktadır. İnceleme yaptığı mükelleften bütün satışlarını, alışlarını ve defter kayıtlarının tamamını bir CD’ye kaydederek Excel formatında getirmesini talep eder. Mükellef birkaç haftalık çalışmanın neticesinde şirketine ait tüm bilgileri dijital ortamda Vergi Müfettişine teslim eder. Müfettiş bu bilgileri CD’den devlet tarafından kendisine verilen dizüstü bilgisayara yükler ve ayrıca USB flash memory (taşınabilir bellek) diske yedekler. 

Birkaç gün sonra müfettişin bilgisayarı evinde siber korsanlarca çökertilir, hassas verileri ele geçirilir. Plaza Türkçesiyle “hacklenir”. Kaza bu ya sonraki hafta eve giren hırsızlar bilgisayarı çalar ve vergi müfettişi de taşınabilir USB belleği düşürmek suretiyle kaybeder. Hemen şunu belirtelim. Yukarıda anlattığımız olay tamamen tesadüfi ve hayal ürünü. Ancak günümüzde bu tür durumlar olasılık dâhilinde. Peki, bu tür durumlarla karşılaşılması halinde ne yapacağımız hususunda mevzuatımız neyi öngörmektedir; bunu irdeleyelim.

Kayıtları, bilgileri dijital ortamda isteme

Vergi Usul Kanunu’nun 148, 151, 256 ve mük. 257. maddeleri uyarınca vergi inceleme elemanlarının bilgi isteme, defter ve belge ibrazını talep etme yetkileri var. VUK 256. madde uyarınca gerçek ve tüzel kişiler muhafaza etmek zorunda oldukları her türlü defter, belge ve karneler ile vermek zorunda bulundukları bilgilere ilişkin mikro fiş, mikro film, manyetik teyp, disket ve benzeri ortamlardaki kayıtlarını ve bu kayıtlara erişim veya kayıtları okunabilir hale getirmek için gerekli tüm bilgi ve şifreleri muhafaza süresi içerisinde yetkili makam ve memurların talebi üzerine ibraz ve inceleme için arz etmek zorundalar. Örneğin e-defter uygulamasına geçen mükellefler elektronik defterlerini Maliye Bakanlığı'nca belirlenen formatta tutmak ve inceleme için ibraz etme zorundalar. Öte yandan e-fatura (UBL) uygulamasına geçen mükellefler faturalarını, e-arşiv uygulamasına geçen mükellefler de faturalarının ikinci nüshalarını elektronik ortamda Gelir İdaresi'ne sunmak durumundalar.

Dijital verilere ilişkin sorumluluklar

Vergi inceleme elemanlarına defter kayıtlarının, belgelerin dijital ortamda ve belirli formatta sunulacak olması bilgi güvenliğine ilişkin tedbirlerin alınmasını ve bir takım sorumlulukların net olarak belirlenmesini gerektiriyor. Çünkü dijitalleşen verinin bir yerden bir yere aktarılması kolay olduğu gibi ilgisiz hatta kötü niyetli kişilerin eline geçmesi de kolaydır. Devlet olarak siber ataklara (siber saldırılara) karşı tedbir alınırken mükellefin her türlü kişisel ve ticari bilgilerine ilişkin veri güvenliğini azami düzeyde sağlamış olmak mükellef haklarının da en temel ilkelerinden biridir.
Oysa ki Vergi Usul Kanunu ve vergi incelemesine ilişkin Vergi Denetim Kurulu'nca yayınlanan yönetmelikler incelendiğinde bu konuda açık ve net belirlemelerin yapılmadığı görülmektedir. 

Vergi Denetim Kurulu’nca alınabilecek tedbirler

Bilgi güvenliği ve vergi mahremiyeti gözetilerek elektronik defter ve belge ibrazına ilişkin düzenlemeler netleştirilmelidir.

Kayıp, çalıntı veya siber saldırı nedeniyle mükellefe ait dijital veriler/kağıt dökümanlar elden çıkmışsa vergi müfettişlerinin uyması gereken süreç ve kurallar belirlenmelidir: Örneğin ABD’de olduğu gibi, böyle bir durumun bir saat içinde idareye haber verilmesi zorunlu hale getirilmelidir.

Vergi müfettişlerine veri güvenliği ve alınacak tedbirler konusunda eğitimler verilmeli ve bu konuda bilinçlendirme artırılmalıdır.
Bu tür olayların gerçekleşmesi durumunda aynı hızda mükellefe de haber verilmeli ve bilgi kaybının boyutları hakkında açıklama yapılmalıdır.

Elden çıkan mükellef bilgileri konusunda risk değerlendirmesi yapılarak konu adli ve idari mercilere derhal aktarılmalıdır.

Hikâyeden gerçek hayata

Henüz başında olduğumuz e-gelir idaresi, e-denetim, e-defter ve e-fatura uygulamalarındaki verilerin siber korsanlarca ele geçirilmemesi veya sayıları 10 bini bulan vergi müfettişlerince kaybedilmemesi için zaman geçmeden tedbirler alınması mükellef hakları, hukuk devleti, etkin denetim ve etkin idare ilkeleri açısından zorunluluk arzediyor.
Başlangıçta anlattığımız kurgusal hikâye yerine bir yaşanmış bir olayla yazımızı bitirecek olursak; 2007’de İngiliz Gelir İdaresi'nde (HMRC) 25 milyon vergi mükellefine ait çocuk yardımı verileri bir vergi dairesince CD’ye kaydedilip merkeze kargoyla gönderilmiş ancak CD merkeze ulaşmayınca CD’nin ve dolayısıyla bütün mükellef bilgilerinin kaybedilmiş olduğu ortaya çıkmıştı. Sonuçta mükellef verilerinin mahremiyeti korunamadığı için İngiliz Gelir İdaresi Başkanı Paul Gray görevinden istifa etmişti.