Kişisel verilerin korunması ile alakalı tüm Dünya’da son yıllarda hızlı bir ilerleme kaydedilmiştir. Teknoloji alanında hızlı inovasyonlar ve bilinçli tüketici-şirket yapısının inşası amacı, kişisel verilerin korunmasını zorunlu kılmıştır. Online veya yerinde satış söz konusu olduğunda hem Türk Ticaret Kanunu (“TTK”), hem de Kişisel Verilerin Korunması Hakkında Kanun (“KVKK”), şirketlere, fatura bilgilerinin saklanması ve imhasına ilişkin yükümlülükleri getirmektedir. KVKK nezdinde faturalar, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafazası gerekirken[1] şirketlerin TTK kapsamında ticari faaliyetlerinden kaynaklı tutmakla zorunlu kılındıkları defterlerini, 10 yıl süre ile saklamakla yükümlü kılınmış[2] ancak aynı zamanda Vergi Usul Kanunu’nda (“VUK”) 5 yıl olarak öngörülmüştür.[3] Şirketlerin, faturalarının aynı zamanda kişisel veri kabul edilmesi nedeniyle söz konusu saklamaya ilişkin şirketlerin sorumluluğu artmakta olduğu da ayrı bir gerçektir. Şirket, kişisel veri niteliğindeki faturayı 5 yıl mı yoksa 10 yıl süre ile mi saklamalı tartışması bir yana ayrıca hem 5 veya 10 yıl süre içerisinde kişisel verinin KVKK kapsamında ihlalini önlemeli, hem de sürenin sonunda kişisel veri niteliğindeki faturayı imha etmelidir.
Kişisel veri niteliğindeki faturaların, KVKK kapsamında, elektronik (sunucular, yazılımlar, bilgi güvenliği cihazları, kişisel bilgisayarlar, mobil cihazlar, optik diskler, çıkartılabilir bellekler, yazıcı vb.) veya elektronik olmayan (kağıt, manuel veri kayıt sistemleri, yazılı-basılı-görsel) ortamlarda kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmasının yanında ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerekmektedir.[4] Her ne kadar “gerekli süre” şeklinde ifade edilmiş olsa da KVKK kapsamında yapılan faaliyete ilişkin belirli süre öngörülmemiştir. Bilakis gerekli süre esas olarak, faaliyetin niteliği gereği KVKK ilkeleriyle uyumlu olmalı ve mağduriyete/haksız kazanca yol açmayacak süre şeklinde olmalıdır. Bu doğrultuda, hizmet sağlayıcılar, ilgili mevzuat çerçevesinde yapmakla yükümlü oldukları süreçleri yerine getirmek için, özellikle; faturaları düzenlemelerine, nihai hale getirilmiş faturaların ilgililere ibrazına, elektronik alanda faaliyet gösteriyorlar ise, e-arşiv faturalarının düzenlenmesine yönelik kişisel verileri işlemektedirler.
Günümüzde, tüm Dünya’yı saran pandemi süreciyle birlikte, elektronik alışverişlere talep artmıştır. Haliyle ticari hizmet sağlayan kurum ve kuruluşlar, tüketiciler ile yaptıkları işlemler neticesinde elde ettikleri kişisel verileri muhafaza ederek daha sonra ticari elektronik ileti gönderiminde kullanabilmektedir. Hizmet sağlayıcıların kişisel verilerin muhafazası ve daha sonrasında ticari elektronik ileti gönderimi için kullanma faaliyetleri KVKK kapsamında veri işleme faaliyeti olarak değerlendirilmektedir. Ne var ki, ticari hizmet sağlayan kurum ve kuruluşlar, tüketiciler ile yaptıkları işlemler neticesinde KVKK, TTK ve VUK kapsamında yükümlülükleri bulunmaktadır. Zira gerçekleşen hizmet veya satım sonucunda, fatura düzenlemeli, tüketiciye ibraz etmelidir. Bu kapsamda, şirketler, elektronik alanda faaliyet göstermeleri ile birlikte, e-fatura sistemine geçiş çalışmaları başlatmış ve e-fatura arşivleri tesis etmişlerdir. Kişisel verilerin muhafazası ve imhasına ilişkin, dijitalleşme ile şirketlere kolaylık sağlanmıştır. Ancak diğer yandan dijitalleşmiş verilerin korunmasına ilişkin yükümlülükleri devam etmektedir.
Şirketlerce toplanan verilerin yurt içindeki üçüncü kişilerle paylaşılması ise ancak meşru bir amaç doğrultusunda mümkün olmaktadır. Örneğin, ilgili alanlarında uzmanlar ile faaliyet kapsamında değerlendirme yapılması veya mevzuat kapsamında yükümlülüklerin yerine getirilmesi bakımından destek alınması için paylaşıldığı gibi aynı zamanda verilerin muhafazasına yönelik sunuculara da aktarımının sağlanması. Ne var ki, faturalar, uyuşmazlık durumlarında mahkemelere ve/veya hukuki makamlara sunulması, kurum ve kuruluşlara inceleme için ibraz edilmesi gibi hususlarda da üçüncü kişiler ile paylaşılmaktadır. Bu ve benzeri hallerde, şirketlerin, verileri, KVKK kapsamında işlendikleri amaç için gerekli süre kadar mı muhafaza edeceği yoksa TTK nezdinde mi yoksa VUK kapsamında mı belirlenen yasal süreye göre muhafaza edecekleri asli tartışma konusudur.
6102 sayılı TTK’nun 1.maddesi, “…Bu Kanundaki hükümlerle, bir ticari işletmeyi ilgilendiren işlem ve fiillere ilişkin diğer kanunlarda yazılı özel hükümler, ticari hükümlerdir.” şeklinde ifade etmiştir. Hal böyle iken, ticari faaliyette bulunan ve TTK kapsamında “şirket” kabul edilen, hizmet sağlayıcıları; KVKK kapsamında verileri işlendikleri amaç için gerekli süre kadar değil, TTK’da belirtilen “10 yıllık yasal süre”nin halihazırda KVKK’da belirtilen amaç için yeterli olması bu yüzden Şirketlerin, TTK’da belirtilen süre boyunca verileri saklamakla yükümlü olduğu savunulmaktadır. Bir başka anlatımla şirketler nezdinde esas teşkil eden TTK’ya bakıldığında, şirketlere ilişkin 10 yıllık süre öngörüldüğü, şirketlerin kişisel verilerinin işlendikleri amacın ticari olduğu kabulü doğrultusunda da, TTK ticari işlerden kaynaklı yükümlü kıldığı 10 yıllık süre esas alınacağı kabul görmektedir.
Ancak TTK kapsamında faturaların muhafaza süresi 10 yıl iken, VUK’ta 5 yıl olarak öngörülmüştür. Dikkat edilmelidir ki, TTK ve VUK muhafaza sürelerinin başlangıcı farklı kriterlere bağlanmıştır. TTK kağıt ve belgelerin kayıt tarihinden itibaren 10 yıllık zamanaşımı süresi öngörmüşken, vergi mevzuatında ilgili bulundukları yılı takiben takvim yılından başlayarak 5 yıldır.[5] VUK ve TTK’nın genel hukuk hükümleri gereğince özel kanun ve genel kanun tartışmasında değerlendirilmesi gerekmektedir. Hal böyle iken VUK, TTK’na göre daha özel kanun niteliğine haizdir. Kaldı ki, VUK maddesinde öngörülen 5 yıllık sürenin asli temeli, 5 yıl dolmadan önce ilgili belgelerin imhasını önlememek, muhafazasını sağlamaktır. Zira tüketici açısından değerlendirildiğinde, fatura saklamanın bir sorumluluk olarak tüketiciye yüklenilmesi beklenemez. Ancak tüketicinin mağduriyetine yol açmaması adına şirketler, faturaları daha uzun süreli saklamaları tüketicilere de fayda sağlayacaktır. Çünkü tüketici, herhangi bir olumsuzluk ile karşılaşması halinde, ne başvuruda bulunduğu şirkette ne de kendisinde faturanın bulunmadığı ihtimalinde, tüketicinin mağduriyeti kaçınılmaz olacaktır. Kaldı ki, 5 yılın ardından tüketici, faturalarının imhasını talep etmesi halinde şirketler muhafaza edebilecektir. İşbu sebeplerle değerlendirildiğinde, hem tüketici lehine sonuç alınmış olmakta hem de şirketler muhafaza yükümlülüğünü yerine getirmektedir.
Sonuç olarak, faturaların KVKK kapsamında kişisel veri olduğu kabul edilmektedir. VUK ve TTK arasında genel-özel kanun tartışması sonucunda, VUK’un daha özel kanun olduğu kabul edilmiştir. VUK’ta belirtilen yasal sürenin 5 yıldan önce imha edilmemesi şeklinde kabul edilmesi ve kişisel verinin tüketicinin mağduriyetine de yol açmaması gerektiği ortaya koyulmuştur. Hal böyle iken, TTK’da belirtilen 10 yıllık sürenin uygulanması faydalı olacağı kanaatine varılmıştır. Kaldı ki, tüketici, VUK gereğince zorunlu 5 yıllık fatura muhafaza süresinin dolması ile verinin imhasına ilişkin ilgili şirkete başvurması halinde, şirket faturayı imha edebilecektir. Bir başka anlatımla, Türk Hukuku nezdinde, kişisel veri olarak kabul edilen faturalar, en az 5 yıl muhafaza edilmeli ancak 10 yılın dolmasıyla da imha edilmelidir. Bu sayede şirketler, VUK, TTK ve KVKK kapsamında yükümlülüklerini yerine getirmiş olacaktır. Eğer tüketici, kişisel veri niteliğindeki faturasının imhasını şirketten talep etmek istiyorsa ancak fatura tanzim tarihinden itibaren 5 yılın dolması ile talep edebilmektedir. Ancak şirketler de tüketicinin talebini yerine getirmelidir.
[1] 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 4. Maddesi
[2] 6102 sayılı Türk Ticaret Kanunu’nun 82. Maddesi
[3] 213 sayılı Vergi Usul Kanunu’nun 114. Maddesi
[4] KVKK Veri Yönetimi Dairesi Başkanlığı, Kişisel Verileri Koruma Kurumu, Kişisel Veri Saklama ve İmha Politikası
[5] Mükelleflerin Yasal Defter ve Belgelerini Saklama Süresi ve İstisnaları, Memiş KÜRK, Mali ÇÖZÜM Sayı 98-2010