Vergi müfettişi mükellefin dijital bilgilerini çaldırırsa
21 Mart 2015 10:09 tsi
Henüz başında olduğumuz e-gelir idaresi, e-denetim, e-defter ve e-fatura uygulamalarındaki verilerin siber korsanlarca ele geçirilmemesi veya sayıları 10 bini bulan vergi müfettişlerince kaybedilmemesi için zaman geçmeden tedbirler alınması mükellef hakla
Vergi müfettişi mükellefin dijital bilgilerini çaldırırsa
Nazmi KARYAĞDI / Gelir İdaresi E.Daire Bşk
Geçtiğimiz haftalarda DÜNYA Gazetesi'nden Burakhan Varol Türkiyenin Siber Güvenliği Alarm Veriyor başlıklı haberinde, Fortinet -2014 Threat Landscape Reporta göre, Türkiyenin en çok siber saldırıya uğrayan ülkeler listesinde ABD, Çin, Almanya, İngiltere, Brezilya, İspanya, İtalya ve Fransadan sonra 9uncu sırada yer aldığını bu kapsamda Türkiyedeki bilgisayarların yüzde 45inin siber saldırıya uğradığını belirtiyordu. Bu haberden hareketle gelin hep birlikte şu hikâyeye bakalım: Vergi Müfettişi X İstanbulda Vergi Denetim Kurulunda 3 yıldır çalışmaktadır. İnceleme yaptığı mükelleften bütün satışlarını, alışlarını ve defter kayıtlarının tamamını bir CDye kaydederek Excel formatında getirmesini talep eder. Mükellef birkaç haftalık çalışmanın neticesinde şirketine ait tüm bilgileri dijital ortamda Vergi Müfettişine teslim eder. Müfettiş bu bilgileri CDden devlet tarafından kendisine verilen dizüstü bilgisayara yükler ve ayrıca USB flash memory (taşınabilir bellek) diske yedekler.
Birkaç gün sonra müfettişin bilgisayarı evinde siber korsanlarca çökertilir, hassas verileri ele geçirilir. Plaza Türkçesiyle hacklenir. Kaza bu ya sonraki hafta eve giren hırsızlar bilgisayarı çalar ve vergi müfettişi de taşınabilir USB belleği düşürmek suretiyle kaybeder. Hemen şunu belirtelim. Yukarıda anlattığımız olay tamamen tesadüfi ve hayal ürünü. Ancak günümüzde bu tür durumlar olasılık dâhilinde. Peki, bu tür durumlarla karşılaşılması halinde ne yapacağımız hususunda mevzuatımız neyi öngörmektedir; bunu irdeleyelim.
Kayıtları, bilgileri dijital ortamda isteme
Vergi Usul Kanununun 148, 151, 256 ve mük. 257. maddeleri uyarınca vergi inceleme elemanlarının bilgi isteme, defter ve belge ibrazını talep etme yetkileri var. VUK 256. madde uyarınca gerçek ve tüzel kişiler muhafaza etmek zorunda oldukları her türlü defter, belge ve karneler ile vermek zorunda bulundukları bilgilere ilişkin mikro fiş, mikro film, manyetik teyp, disket ve benzeri ortamlardaki kayıtlarını ve bu kayıtlara erişim veya kayıtları okunabilir hale getirmek için gerekli tüm bilgi ve şifreleri muhafaza süresi içerisinde yetkili makam ve memurların talebi üzerine ibraz ve inceleme için arz etmek zorundalar. Örneğin e-defter uygulamasına geçen mükellefler elektronik defterlerini Maliye Bakanlığı'nca belirlenen formatta tutmak ve inceleme için ibraz etme zorundalar. Öte yandan e-fatura (UBL) uygulamasına geçen mükellefler faturalarını, e-arşiv uygulamasına geçen mükellefler de faturalarının ikinci nüshalarını elektronik ortamda Gelir İdaresi'ne sunmak durumundalar.
Dijital verilere ilişkin sorumluluklar
Vergi inceleme elemanlarına defter kayıtlarının, belgelerin dijital ortamda ve belirli formatta sunulacak olması bilgi güvenliğine ilişkin tedbirlerin alınmasını ve bir takım sorumlulukların net olarak belirlenmesini gerektiriyor. Çünkü dijitalleşen verinin bir yerden bir yere aktarılması kolay olduğu gibi ilgisiz hatta kötü niyetli kişilerin eline geçmesi de kolaydır. Devlet olarak siber ataklara (siber saldırılara) karşı tedbir alınırken mükellefin her türlü kişisel ve ticari bilgilerine ilişkin veri güvenliğini azami düzeyde sağlamış olmak mükellef haklarının da en temel ilkelerinden biridir.
Oysa ki Vergi Usul Kanunu ve vergi incelemesine ilişkin Vergi Denetim Kurulu'nca yayınlanan yönetmelikler incelendiğinde bu konuda açık ve net belirlemelerin yapılmadığı görülmektedir.
Vergi Denetim Kurulunca alınabilecek tedbirler
Bilgi güvenliği ve vergi mahremiyeti gözetilerek elektronik defter ve belge ibrazına ilişkin düzenlemeler netleştirilmelidir.
Kayıp, çalıntı veya siber saldırı nedeniyle mükellefe ait dijital veriler/kağıt dökümanlar elden çıkmışsa vergi müfettişlerinin uyması gereken süreç ve kurallar belirlenmelidir: Örneğin ABDde olduğu gibi, böyle bir durumun bir saat içinde idareye haber verilmesi zorunlu hale getirilmelidir.
Vergi müfettişlerine veri güvenliği ve alınacak tedbirler konusunda eğitimler verilmeli ve bu konuda bilinçlendirme artırılmalıdır.
Bu tür olayların gerçekleşmesi durumunda aynı hızda mükellefe de haber verilmeli ve bilgi kaybının boyutları hakkında açıklama yapılmalıdır.
Elden çıkan mükellef bilgileri konusunda risk değerlendirmesi yapılarak konu adli ve idari mercilere derhal aktarılmalıdır.
Hikâyeden gerçek hayata
Henüz başında olduğumuz e-gelir idaresi, e-denetim, e-defter ve e-fatura uygulamalarındaki verilerin siber korsanlarca ele geçirilmemesi veya sayıları 10 bini bulan vergi müfettişlerince kaybedilmemesi için zaman geçmeden tedbirler alınması mükellef hakları, hukuk devleti, etkin denetim ve etkin idare ilkeleri açısından zorunluluk arzediyor.
Başlangıçta anlattığımız kurgusal hikâye yerine bir yaşanmış bir olayla yazımızı bitirecek olursak; 2007de İngiliz Gelir İdaresi'nde (HMRC) 25 milyon vergi mükellefine ait çocuk yardımı verileri bir vergi dairesince CDye kaydedilip merkeze kargoyla gönderilmiş ancak CD merkeze ulaşmayınca CDnin ve dolayısıyla bütün mükellef bilgilerinin kaybedilmiş olduğu ortaya çıkmıştı. Sonuçta mükellef verilerinin mahremiyeti korunamadığı için İngiliz Gelir İdaresi Başkanı Paul Gray görevinden istifa etmişti.
Bu haber 1,353 defa okundu.
Yorumlar
+ Yorum Ekle