PORTFÖY YÖNETİM ŞİRKETLERİ’NİN KVKK, III-62.2 NO.LU TEBLİĞ, VII-128.9 NO.LU TEBLİĞ, SİBER OLAYLARA MÜDAHALE EKİBİ UYGULAMALARI VE FATCA – CRS ULUSLARARASI VERGİ ANLAŞMALARINA UYUM SÜRECİ HAKKINDA BİLGİ NOTU

Değerli Müvekkillerimiz ve İş Ortaklarımız;

İşbu Bilgi Notu; 6362 sayılı Sermaye Piyasaları Kanunu (“SPKn”) ve ilgili mevzuatı tabi olarak kurulan ve faaliyet gösteren portföy yönetim şirketlerinin aşağıda yer alan mevzuat ve düzenlemeler tahtında tabi olduğu usul ve esasların değerlendirilmesine ve portföy yönetim şirketlerinin anılan mevzuat doğrultusunda gerçekleştirilmesi muhtemel uyum süreçlerine ilişkindir;

  • 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”),
  • Bilgi Sistemleri Bağımsız Denetim Tebliği III-62.2 (“III-62.2 lu Tebliğ”),
  • Bilgi Sistemleri Yönetimi Tebliği VII-128.9 (“VII-128.9 lu Tebliğ”),
  • Ulusal Siber Olaylara Müdahale Merkezi ve Sektörel Siber Olaylara Müdahale Ekibi Uygulamaları
  • Amerikan Vergi Uyum Yasası (“FATCA”) ve
  • Ekonomik Kalkınma ve İş birliği Örgütü (Economic Co-operation and Development) (“OECD”) Vergi Uyum Düzenlemesi

BİRİNCİ BÖLÜM KİŞİSEL VERİLERİN KORUNMASI MEVZUATI KAPSAMINDA UYUM SÜRECİ

A. KİŞİSEL VERİ KAVRAMI VE KİŞİSEL VERİLERİN İŞLENMESİ

Kişisel veri; en geniş anlamda, kimliği belirli veya belirlenebilir bir gerçek kişiye ait her türlü bilgiyi ifade etmektedir. Bir gerçek kişinin adı-soyadı, telefon numarası, araç plakası, sosyal güvenlik numarası, pasaport numarası, özgeçmişi, fotoğrafı, görüntü ve ses kayıtları, parmak izi, genetik bilgileri gibi verileri sayılanlarla sınırlı olmamak kaydıyla kişisel veri olarak kabul edilmektedir. Bu noktada, tüzel kişilere veya yaşamı son bulan gerçek kişilere ait bilgilerin kişisel veri olarak kabul edilmesine olanak bulunmamaktadır.

Öncelikle belirtmek gerekir ki, KVKK kapsamında “Veri Sorumlusu” ve “Veri İşleyen” kavramları düzenlenmiş olup kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi “veri sorumlusu”; veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi de “veri işleyen” olarak tanımlanmıştır.

Bu kapsamda, uygulamada şirketler genellikle veri sorumlusu sıfatını haizken; bünyelerinde bulunan IT (bilgi teknolojileri) departmanlarındaki gerçek veya tüzel kişiler ise veri işleyen sıfatına sahip olmaktadırlar. Veri sorumluları ve veri işleyenlerin KVKK ve ilgili mevzuat uyarınca kişisel verilerin işlenmesi kapsamında uymaları gereken bir takım usul ve esaslar bulunmaktadır.

Kişisel verilerin işlenmesi geniş bir kavram olup gerçek bir kişiye ait herhangi bir verinin KVKK kapsamında işlenmiş olarak nitelendirilmesi için, o verinin muhakkak kullanılması şart değildir. Gerçek bir kişiye ait bir kişisel verinin sadece kaydedilmesi dahi kişisel verinin işlenmesi için yeterlidir. Zira uygulamada şirketler ticari faaliyetleri çerçevesinde müşterilerinin, iş ortaklarının ve kendi çalışanlarının kişisel verilerini internet sitesi, sosyal medya mecraları, mobil uygulamalar, düzenledikleri toplantı, eğitim, seminer, organizasyonlar ve benzeri vasıtalarla sözlü, yazılı ya da elektronik olarak kayıt altına almakta ve dolayısıyla işlemektedirler.

Kişisel verilerin; tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması, kullanılmasının engellenmesi gibi üzerlerinde gerçekleştirilen her türlü işlem kişisel verilerin işlenmesini ifade etmektedir.

Veri sorumlusu olan şirketlerin, KVKK’nın “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. (onuncu) maddesi uyarınca kişisel verilerini işledikleri veri süjeleri olan gerçek kişileri aydınlatma yükümlülükleri bulunmaktadır. Veri sorumluları işbu aydınlatma yükümlülüklerini yerine getirirken; KVKK’nın aradığı şartları ihtiva eden bir “Aydınlatma Metni” vasıtası ile yerine getirmektedirler.

Öte yandan KVKK’nın 4. (dördüncü) maddesi uyarınca; kişisel veriler işlenirken, KVKK’da yer verilen istisnai haller saklı kalmak üzere, veri süjesinin açık rızasının alınmış olması şartını aramaktadır.

B. KİŞİSEL VERİLERİN YURT İÇİNE VE YURT DIŞINA AKTARILMASI

Veri sorumlusunun işlemiş olduğu kişisel verileri yurt içindeki ve yurt dışındaki 3. (üçüncü) kişilere aktarabilmesi için kanunen aranan unsurlardan birinin var olması gerekmektedir.

Bu hususların yanı sıra, veri sorumlusunun kişisel verileri yabancı bir ülkede bulunan 3. (üçüncü) bir kişiye aktarmak istemesi halinde ilgili yabancı ülkenin Kişisel Verileri Koruma Kurulu tarafından güvenli ülke olarak ilan edilip edilmediğinin tespit edilmesi, ilgili yabancı ülkenin bu listede yer almaması halinde, veri sorumlusu ile ilgili yabancı ülkedeki veri sorumlusunun aktarılacak kişisel veriler bakımından yeterli korumanın sağlanacağına ilişkin yazılı bir taahhütnamenin Kişisel Verileri Koruma Kurulu’nun iznine sunmaları gerekmektedir.

C. VERİ SORUMLULARI SİCİLİ (“VERBİS”)’NE KAYIT YÜKÜMLÜLÜĞÜ

VERBİS veri sorumlularının kayıt olmak zorunda oldukları ve veri işleme faaliyetleri ile ilgili bilgileri beyan ettikleri bir kayıt sistemidir.

Çalışan sayısı elliden fazla olan veya yıllık mali bilanço toplamı 25.000.000,00.-TL (yirmibeşmilyonTürkLirası)’den fazla olan gerçek ve tüzel kişi veri sorumlularının 31.12.2019 tarihine dek Kişisel Verileri Koruma Kurulu (“Kurul”)’nun gözetiminde tutulmakta olan VERBİS’e kaydolmaları zorunludur.

Bu surette veri sorumlularının kimler olduğunun kamuya açıklanması ve bu yöntemle kişisel verilerin korunması hakkının daha etkin şekilde kullanılması hedeflenmektedir.

D. BİLGİ TALEP ETME HAKKI

Gerçek kişilerin kişisel verilerinin güvenli ve hukuka uygun bir şekilde korunmasını muhafaza eden KVKK’nın 11. (onbirinci) maddesi uyarınca ilgili kişilere bilgi talep etme hakkı tanınmıştır.

Bilgi talep etme hakkı kapsamında ilgili kişini veri sorumlusuna başvurma ve kişisel verisinin işlenip işlenmediğini, işlendiyse işlenme amacını ve kimlere aktarıldığı gibi hususları bilme ve öğrenme hakkı bulunmaktadır.

Öte yandan ilgili kişi, kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini ya da KVKK’ya uygun olarak kişisel verilerinin silinmesini veya yok edilmesini de talep edebilecektir.

Ayrıca ilgili kişinin, kişisel verilerinin işlenmesi sebebiyle kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme hakkı ile KVKK’ya aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme hakkı da bulunmaktadır.

İKİNCİ BÖLÜM SERMAYE PİYASASI MEVZUATI KAPSAMINDA UYUM SÜRECİ

A. III-62.2 NO.LU BİLGİ SİSTEMLERİ BAĞIMSIZ DENETİM TEBLİĞİ HÜKÜMLERİ KAPSAMINDAKİ YÜKÜMLÜLÜKLER

05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanmış ve 05.01.2018 tarihinde yürürlüğe girmiş olan III-62.2 No.lu Tebliğ ile bilgi sistemleri bağımsız denetimi faaliyetlerinin genel esasları, denetim metodolojisi, denetim sonuçlarının raporlanmasına ilişkin usul ve esaslar belirlenmiştir.

III-62.2 No.lu Tebliğ’in “Kapsam” başlıklı 2. (ikinci) maddesinin 1. (birinci) fıkrasının e) bendi uyarınca portföy saklayıcısı kuruluşlar III-62.2 No.lu Tebliğ’in hükümlerine tabi olmaktadır. Bu minvalde; III-62.2 No.lu Tebliğ’in “Yükümlülükler ve Muafiyetler” başlıklı 30. (otuzuncu) maddesinin 3. (üçüncü) fıkrası uyarınca III-62.2 No.lu Tebliğ’in yürürlük tarihi itibarı ile; “Asgari öz sermaye yükümlülüğü 5 Milyon TL ve daha az olan portföy yönetim şirketleri ve Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu A.Ş. üç yılda bir kez bu Tebliğ uyarınca bilgi sistemleri bağımsız denetimi yaptırmak zorundadır.”

Bununla birlikte III-62.2 No.lu Tebliğ’in 18. (onsekizici) maddesi hükmü uyarınca Tebliğ kapsamına giren portföy yönetim şirketleri, bilgi sistemleri bağımsız denetimine uygun olarak; bilgi sistemlerini denetime uygun ve hazır hale getirmek, denetçinin talep ettiği bilgi ve belgeleri temin etmek, denetçi ile denetlenen şirket organ ve personelleri arasında gereken koordinasyonu sağlamak, III-62.2 No.lu Tebliğ uyarınca yönetim beyanı hazırlamak ve bunu denetçilere sunmak gibi birtakım yükümlülükleri yerine getirmek durumundadırlar.

Anılan yükümlülüklerin yerine getirilmesi ve bilgi sistemleri bağımsız denetimin gerçekleşmesinin ardından, III-62.2 No.lu Tebliğ’in “Bilgi Sistemleri Bağımsız Denetim Sonuçlarının Raporlanmasına İlişkin Esaslar” başlıklı 5. (beşinci) bölümünde yer alan 23. (yürmiüçüncü) maddesi kapsamında; bilgi sistemleri denetçisinin, oluşturacağı raporlamayı tevsik edici bilgi ve belgeler ile destekleyerek raporunu tanzim etme yükümlülüğü bulunmaktadır. İşbu rapor, sorumlu bilgi sistemleri baş denetçisi tarafından imzalandığında kesinleşmektedir.

B. VII-128.9 NO.LU BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ HÜKÜMLERİ KAPSAMINDAKİ YÜKÜMLÜLÜKLER

05.01.2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanmış ve 05.01.2018 tarihinde yürürlüğe girmiş olan VII-128.9 No.lu Tebliğ ile bilgi sistemlerinin yönetimine ilişkin usul ve esaslar belirlenmiştir.

VII-128.9 No.lu Tebliğ uyarınca, bilgi sistemlerinin yönetimi, kurumsal yönetim uygulamalarının bir parçası olarak ele alınır. Kurum, Kuruluş ve Ortaklıklar, bilgi sistemlerinin yönetimine ilişkin politikaları, süreçleri ve prosedürleri tesis eder, düzenli olarak gözden geçirerek iş alanında gerçekleşen değişiklikler veya teknolojik gelişmeler doğrultusunda güncelliğini ve ilgili tüm birimlere duyurulmasını sağlar.

Bilgi sistemlerinin kurulması, işletilmesi, yönetilmesi ve kullanılmasına ilişkin; bilginin gizliliğinin, bütünlüğünün ve gerektiğinde erişilebilir olmasının sağlanmasına yönelik olarak bilgi güvenliği politikasının ilgili yönetim tarafından hazırlanması ve yönetim kurulu tarafından onaylanması gerekmektedir.

Kurum, kuruluş ve ortaklıkların üst yönetimi, bilgi güvenliği politikası kapsamında, bilgi sistemlerinden kaynaklanan güvenlik risklerinin yeterli düzeyde yönetildiğinden emin olmak için bilgi sistemlerinin ve üzerinde işlenmek, iletilmek, depolanmak üzere bulunan verilerin gizlilik, bütünlük ve erişilebilirliklerini sağlayacak önlemlere ilişkin kontrollerin geliştirilmesini, işletilmesini, güncelliğini sağlamakla ve gerekli yönetsel sorumlulukları tanımlamakla yükümlüdür.

Kurum, kuruluş ve ortaklıklar fiziksel erişimin yalnızca yetkilendirilmiş kişilerce yapılmasını sağlamak amacıyla, güvenli alanlar, ağ alanları ve gerekli giriş kontrolleri korunma mekanizmaları oluşturmakla yükümlüdür. Bu kapsamda ağların tehditlere karşı korunması ve ağları kullanan sistem, veri tabanı ve uygulamaların güvenliğinin sağlanması için kontroller tesis edilmeli ve etkin bir şekilde yönetilmelidir.

Yukarıdakilere ilaveten; kurum, kuruluş ve ortaklıklar, bilgi sistemleri üzerindeki riskleri, sistem veya faaliyetlerin karmaşıklığını ve kapsamının genişliğini göz önünde bulundurarak bilgi sistemlerinin kullanımına ilişkin etkin bir denetim izi kayıt mekanizması tesis etmekle yükümlüdür. Bu sayede, bilgi sistemleri dâhilinde gerçekleşen ve kurum, kuruluş ve ortaklıkların faaliyetlerine ait kayıtlarda değişiklik ve silmeye sebep olan işlemlere ilişkin denetim izlerinin yeterli detayda ve açıklıkta kaydedilmesi temin edilir. Kayıt mekanizmasının yetkisiz sistemsel ve kullanıcı erişimlerine karşı korunmasına yönelik önlemler alınır.

VII-128.9 No.lu Tebliğ’in “Bilgi sistemleri risk yönetimi” başlıklı 8. (sekizinci) maddesinin 5. (beşinci) fıkrasında belirtildiği üzere “Kurum, Kuruluş ve Ortaklıkların bilgi sistemleri, bilgi güvenliği gereklerinin yerine getirilmesi hususunda herhangi bir görevi bulunmayan ve sızma testi konusunda ulusal veya uluslararası belgeye sahip gerçek veya tüzel kişiler tarafından en az yılda bir kez sızma testine tabi tutulur.” Bu şekilde bilgi güvenliğinin gerekliliği hususunda en az yılda 1 (bir) kez sızma testine tabi tutulmuştur.

Kurum, kuruluş ve ortaklıklar tarafından elektronik ortamda sunulan hizmetlerden yararlanacak müşterilere, sunulan hizmetlere ilişkin şartlar, riskler ve istisnaî durumlarla ilgili olarak açık bir şekilde bilgilendirilecek mekanizmayı oluşturmakla ve söz konusu hizmetlere ilişkin risklerin etkisini azaltmaya yönelik olarak benimsenen bilgi güvenliği ilkeleri ve bu risklerden korunmak için kullanılması gereken yöntemleri müşterilerin dikkatine sunmakla yükümlüdür.

Bilgi sistemlerinden ve bunlara dayalı olarak verilen hizmetlerden dolayı müşterilerin yaşayabileceği sorunların takip edilebileceği ve müşterilerin şikâyetlerini ulaştırmalarına imkân tanıyacak mekanizmalar oluşturulmalıdır. İlgili şikâyet ve uyarıların şirket tarafından değerlendirilerek aksaklıkları giderici çalışmaların yapılması gerekmektedir.

ÜÇÜNCÜ BÖLÜM ULUSAL SİBER GÜVENLİK MEVZUATI KAPSAMINDA UYUM SÜRECİ

Ülkeler siber güvenliklerini sağlamak amacıyla idari yapılanmalar gerçekleştirmekte, teknik önlemler almakta ve hukuki altyapılar hazırlamaktadır. Bu kapsamda, 20.10.2012 tarihli Resmî Gazete’de Bakanlar Kurulu Kararı ile “Ulusal Siber Güvenlik Çalışmalarının Yürütülmesi ve Koordinasyonuna İlişkin Karar” (“Karar”) yayımlanmıştır.

İşbu Karar ile siber güvenliğe ilişkin program, rapor, usul, esas ve standartları onaylamak ve bunların uygulanmasını ve koordinasyonunu sağlamak amacıyla “Siber Güvenlik Kurulu” oluşturulmuştur. Siber Güvenlik Kurulu’nun ilk toplantısında “Ulusal Siber Güvenlik Stratejisi ve 2013-2014 Eylem Planı” (“Eylem Planı”) kabul edilmiş ve işbu Eylem Planı 20.06.2013 tarihinde Bakanlar Kurulu Kararı olarak yayımlanmıştır. Söz konusu eylem planı kapsamında temel görevi koordinasyon ve iş birliği olan Ulusal Siber Olaylara Müdahale Merkezi (“USOM”) 27.05.2013 tarihinde kurularak faaliyetlerine başlamıştır. Yine söz konusu Eylem Planı çerçevesinde, kritik sektörü düzenleyici ve denetleyici kurumlar ile düzenleyici ve denetleyici kurumlar kuruluncaya kadar ilgili bakanlık kamu kurum ve kuruluşları bünyesinde Sektörel Siber Olaylara Müdahale Ekipleri (“Sektörel SOME”) ve kamu kurum, kuruluşları ve kritik altyapı sektörlerindeki özel kurumlar bünyesinde ise Kurumsal Siber Olaylara Müdahale Ekipleri (“Kurumsal SOME”) oluşturulması öngörülmüştür.

USOM ile Sektörel ve Kurumsal SOME’ler siber olayları bertaraf etmede, oluşması muhtemel zararları önlemede veya azaltmada, siber olay yönetiminin ulusal düzeyde koordinasyon ve iş birliği içerisinde gerçekleştirilmesinde hayati öneme sahip kuruluşlardır.

Bu minvalde; 11.11.2013 tarihli ve 28818 sayılı Resmî Gazete’de “Siber Olaylara Müdahale Ekiplerinin Kuruluş, Görev ve Çalışmalarına Dair Usul ve Esaslar Hakkında Tebliğ” (“Tebliğ”) yayımlanmıştır.

Tebliğ’in 6. (altıncı) maddesinde Siber Güvenlik Kurulu tarafından belirlenen kritik sektörlerde, sektörün düzenleyici ve denetleyici kurumu veya sektörün ilgili olduğu bakanlık bünyesinde “Sektörel SOME” kurulmasının zorunlu olduğu belirtilirken 4. (dördüncü) maddesinde ise aralarında finans ve bankacılık sektörünün de olduğu kritik altyapı sektörlerindeki özel kuruluşların da “Kurumsal SOME” kurabileceği düzenlenmiştir.

Bahse konu Tebliğ’de SOME’lerin yapısı, görevleri ve USOM’la ilişkileri de açıklanmıştır. Siber Güvenlik Kurulu’nca ilk etapta “Ulaştırma, Enerji, Elektronik Haberleşme, Finans, Su Yönetimi, Kritik Kamu Hizmetleri” ülkemizin kritik sektörleri olarak belirlenmiştir.

A. SOME’LERİN KURULUŞU, YAPISI, GÖREV ve YÜKÜMLÜLÜKLERİ

  1. SEKTÖREL SOME’LERİN KURULUŞU, YAPISI, GÖREV VE YÜKÜMLÜLÜKLERİ

Tebliğ’in 6. (altıncı) maddesi gereğince; Sektörel SOME’ler düzenleyici ve denetleyici kurumların bünyesinde kendi sektörlerinde faaliyet gösteren kurum, kuruluş ve işletmeleri kapsayacak şekilde kurulur. Kritik sektörlerde sektörel SOME kurulması zorunlu olmakla birlikte, düzenleyici ve denetleyici kurumlardaki sektörel SOME’lerin eşgüdümü Bilgi Teknolojileri ve İletişim Kurumu (“BTK”) tarafından yürütülmektedir.

  1. KURUMSAL SOME’LERİN KURULUŞU, YAPISI, GÖREV VE YÜKÜMLÜLÜKLERİ

Kurumsal SOME’ler kamu kurumları bünyesinde veya kritik altyapı işletmecileri bünyesinde oluşturulur. Kritik altyapı işletmecileri, kamu veya özel sektör kurum/kuruluşu olabilir. Dolayısı ile bir kritik altyapı sektörü olan bankacılık ve finans sektöründe faaliyet gösteren özel sektör kuruluşları da bilgi işlem birimleri bünyesinde ya da ayrı olarak Kurumsal SOME oluşturabilirler.

B. SOME’LERİN USOM’LA İLİŞKİSİ

Kurumsal SOME’ler USOM ile ilişkilerini varsa birlikte çalıştıkları Sektörel SOME’ler üzerinden yürütmekte iken; birlikte çalıştıkları bir Sektörel SOME olmayan Kurumsal SOME’ler faaliyetlerini doğrudan USOM ile koordineli olarak yürütmektedir.

Siber olaylar ile ilgili olarak diğer ülkelerin eşdeğer makamları ve uluslararası kuruluşlarla iş birliği USOM tarafından yerine getirilir. Bununla birlikte, USOM gerekli gördüğü durumlarda gerek kurumsal SOME’ler ve gerek Sektörel SOME’ler ile doğrudan çalışma yürütebilir.

Kurumsal ve/veya Sektörel SOME’ler siber olayların tespiti, önlenmesi, zararlarının en aza indirilmesi gibi konularda USOM tarafından geliştirilen veya yürütülen projelerin gerçekleştirilmesinde USOM ile iş birliği içerisinde hareket ederler.

Kurumsal SOME’ler, USOM ve/veya birlikte çalıştıkları sektörel SOME’lerin planladığı eğitimlere katılım sağlamakla mükellef iken; Sektörel SOME’ler, USOM’un planladığı eğitimlere katılım sağlamak durumundadır.

DÖRDÜNCÜ BÖLÜM ULUSLARARASI VERGİ MEVZUATI KAPSAMINDA UYUM SÜRECİ

A. GİRİŞ

Uluslararası vergi anlaşmaları; birden fazla devletin katılımıyla ve taraf olan devletlerin egemenlik alanında geçerli olacak vergi düzenlemeleri yapılan iki taraflı veya çok taraflı anlaşmalardır. İşbu anlaşmalar, vergi kaçakçılığı ve vergiden kaçınma sorunlarıyla mücadele eden ülkelerin küresel anlamda iş birliğinin sağlanması açısında en önemli araçlardan biridir.

Uluslararası vergi anlaşmaları, taraf devletlerde varlığını idame ettiren kurum ve kuruluşlara bir takım edim ve yükümlülükler getirebilmektedir. Bu kapsamda, aşağıda izah edilen uluslararası vergi anlaşmaları çerçevesinde portföy yönetim şirketlerinin bir takım edim ve yükümlülüklerine ilişkin değerlendirmelerimiz bilgilerinize sunulmaktadır.

B. FATCA HAKKINDA

Yukarıda belirtilen çalışmaların temelini teşkil eden, FATCA, Amerika Birleşik Devletleri (“ABD”)’nde mukim vergi mükelleflerinin beyan dışı gelirlerinin tespit edilmesi amacıyla ABD’de mukim olmayan finans kuruluşlarına beyan edilmeyen ABD kaynaklı gelirlerden yapılan ödemelere belirli bir oranda vergi tevkifatı (stopaj) yapılması ve finansal kuruluşlara belirli hesaplarla ilgili bildirim yükümlülüğü öngören bir yasadır.

ABD ile Türkiye Cumhuriyeti (“Taraflar”), finansal kuruluşlar için ortak bildirim ve durum tespit standartlarına erişmek amacıyla uzun vadede birlikte çalışma taahhüdünde bulunmuş ve 28.03.1996 tarihinde Taraflar arasında Washington’da imzalanan Gelir Üzerinden Alınan Vergilerde Çifte Vergilendirme’nin Önlenme ve Vergi Kaçakçılığına Engel Olma Anlaşması (“ÇVÖA”)’nın 26. (yirmialtı) maddesinden hareketle vergi amaçlı bilgi değişim yetkisine dayanarak, ülkemizde 29.07.2015 tarihinde Ankara’da imzalanan “Türkiye Cumhuriyeti Hükümeti ile Amerika Birleşik Devletleri Hükümeti Arasında Genişletilmiş Bilgi Değişimi Yoluyla Uluslararası Vergi Uyumunun Artırılması Anlaşması ve eki Mutabakat Zaptı (“Anlaşma”) ” adıyla bilinen anlaşmayı akdetmiş ve işbu anlaşma, 16.03.2016 tarihinde Türkiye Büyük Millet Meclisi (“TBMM”)’nde onaylanarak yürürlüğe girmiştir.

Bu bağlamda FATCA mevzuatı aracılığıyla, ABD dışındaki finansal kuruluşların, ABD vatandaşı ve/veya ABD vergi mükellefi olabilecek müşterilerini belirlemeleri ve bu müşterilerinin varlık bilgilerini T.C. Maliye Bakanlığı Gelir İdaresi Başkanlığı’na yıllık olarak bildirmeleri yükümlülüğü söz konusu olacaktır.

C. CRS HAKKINDA

Ortak Raporlama Standartı (Common Reporting Standart) (“CRS”), Ekonomik İşbirliği ve Kalkınma Örgütü (“OECD”) tarafından belirlenen, uyma taahhüdünde bulunan ülkelerin kendi finansal kuruluşlarından finansal hesaplara ilişkin bilgileri temin ederek diğer taraf ülkelerle her sene otomatik olarak bilgi değişiminde bulunmasını hedefleyen bir düzenlemelerdir. Türkiye Cumhuriyeti de OECD tarafından yayımlanan işbu standartları uygulamayı taahhüt eden 100 (yüz)’ü aşkın ülkelerin arasındadır.

CRS’nin hayata geçirilmesi amacıyla 21.07.2014 tarihinde “Vergi Konularında Finansal Bilgilerin Otomatik Değişimi Hakkında Standartlar” ilan edilmiş ve Türkiye Cumhuriyeti bu standartlara uyacağını açıklamıştır.

Bununla birlikte yine CRS ilkelerine uygun olarak Vergi Konularında Karşılıklı İdari Yardımlaşma Sözleşmesi (“CRS İdari Yardımlaşma Sözleşmesi”) Türkiye Cumhuriyeti tarafından imzalanmış ve sözleşmenin uygun bulunmasına dair kanun ise 20.05.2017 tarihli Resmî Gazete’de yayımlanarak sözleşme, ulusal mevzuatımız kapsamına girmiştir. Bu kapsamda, T.C. Hazine ve Maliye Bakanlığı, uluslararası sözleşmeler uyarınca taahhüt ettiği raporlama yükümlülüğünü yerine getirebilmek adına, Gelir İdaresi Başkanlığı (“GİB”) kanalıyla Mukimlik ve Durum Tespitine İlişkin Kılavuz yayımlamış ve işbu kılavuzda yayımlanan CRS kapsamındaki yükümlülüklerin 01.07.2017 tarihi itibariyle uygulamaya alınacağını belirtmiştir.

Hem FATCA hem de CRS, her ne kadar kendisini oluşturan ülke ve sistemler farklı olsa da benzer gayeler için ortaya çıkmış iki sistemdir. Her iki sistem de sistem üyesi ülkelerin finansal kuruluşlarının çifte vergilendirmenin önüne geçmek ve kişilerin mukim ülkesinin vergi sisteminden varlık kaçırmalarının önüne geçmek amacı ile belli başlı bilgilerin değişimi, paylaşımını amaçlamaktadır.

Bu bakımdan FATCA ile CRS arasındaki temel farklılık FATCA doğrudan ABD’ye karşı raporlama yükümlülüğü getirirken, CRS OECD ülkelerinin kendi arasında karşılıklı raporlama yükümlülüğü getirmektedir.

Nitekim FATCA ve CRS, portföy yönetim şirketlerinin uyum sağlaması gereken iki ayrı düzenleme olarak bulunmaktadır. Bu iki düzenlemenin de hukuki amacı vergi kaçakçılığının engellenmesine yöneliktir. CRS uygulamasında kişinin vergi mukimi olduğu ülke veya ülkeler temel alınırken, FATCA yalnızca ABD ile ilgili kişilere odaklanmaktadır.