Siber saldırı sonucu zarar gören e-defterin verileri sonradan kurtarılırsa zayi belgesi verilir mi?

213 sayılı Vergi Usul Kanunu'nun Mükerrer 242’nci maddesinin 2’nci fıkrasında; “Maliye Bakanlığı, elektronik defter, belge ve kayıtların oluşturulması, kaydedilmesi, iletilmesi, muhafaza ve ibrazı ile defter ve belgelerin elektronik ortamda tutulması ve düzenlenmesi uygulamasına ilişkin usul ve esasları belirlemeye yetkili olduğu” belirtilmiş ve aynı Kanunun  Mükerrer 257'nci maddesinin birinci fıkrasının (3) numaralı bendinde de “Maliye Bakanlığı'nın, tutulması ve düzenlenmesi zorunlu defter, kayıt ve belgelerin mikro film, mikro fiş veya elektronik bilgi ve kayıt araçlarıyla yapılması veya bu kayıt ortamlarında saklanması hususunda izin vermeye veya zorunluluk getirmeye, bu konuda uygulama usul ve esaslarını belirlemeye yetkili olduğu” hükme bağlanmıştır.

Ayrıca 6102 sayılı Türk Ticaret Kanunu’nun “Defter Tutma Yükümlülüğü” başlıklı 64’üncü maddesinin 3 numaralı fıkrasında fiziki ortamda veya elektronik ortamda tutulan ticari defterlerin nasıl tutulacağı, defterlere kayıt zamanı, onay yenileme ile açılış ve kapanış onaylarının şekli ve esasları Gümrük ve Ticaret Bakanlığı ile Maliye Bakanlığınca birlikte çıkarılan tebliğle belirleneceği ifade edilmiştir.

Belirtilen bu yetkiler çerçevesinde; Gümrük ve Ticaret Bakanlığı ile Maliye Bakanlığınca ortaklaşa hazırlanan “Ticari Defterlere İlişkin Tebliğ” 19.12.2012 tarih ve 28502 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Elektronik ortamda tutulacak defterler ile ilgili 19.10.2019 tarihli ve 30923 sayılı Resmî Gazetede yayımlanan 1 Sıra Numaralı Elektronik Defter Genel Tebliğinde değişiklik yapılmasına dair 3 Sıra Numaralı Tebliğ hükümlerinin uygulanacağı hüküm altına alınmış olup, mezkur bu Tebliğin “Elektronik Defterlerin Muhafazası ve İbrazı “ başlıklı 4’üncü bölümünde de; Tebliğ kapsamında, mükelleflerin muhafaza ve ibraz ödevlerini yerine getirirken uymak zorunda oldukları kurallar aşağıdaki şekilde açıklanmıştır:

             “a) e-Defter dosyaları ve bunlara ait berat dosyaları birbirleri ile ilişkili şekilde elektronik ortamda, muhasebe fişleri ise kağıt ve/veya elektronik ortamda, istenildiğinde ibraz edilmek üzere muhafaza edilmek zorundadır.

b) e-Defter dosyaları, berat dosyaları ve elektronik ortamda oluşturulan muhasebe fişlerinin veri bütünlüğünün sağlanması ile kaynağının inkâr edilmezliği, NES veya Mali Mühür ile garanti altına alındığı için kağıt ortamında saklanmayacak (kağıt ortamda tutulması tercih edilen muhasebe fişleri hariç) ve elektronik ortamdaki bu dosyaların kağıt ortamdaki hali hukuken hüküm ifade etmeyecektir.

c) Defterlerini elektronik ortamında tutanlar, e-Defter dosyaları, elektronik ortamda oluşturulan muhasebe fişleri ve ilgili berat dosyalarını vergi kanunları, Türk Ticaret Kanunu ve diğer düzenlemelerde yer alan süreler dâhilinde elektronik, manyetik veya optik ortamlarda (kağıt ortamda tutulması tercih edilen muhasebe fişleri kağıt ortamda) muhafaza ve istenildiğinde elektronik, manyetik veya optik araçlar vasıtasıyla eksiksiz ve okunabilir şekilde ibraz etmekle yükümlüdür.

ç) Muhafaza ve ibraz yükümlülüğü, e-Defter dosyalarının, elektronik ortamda oluşturulan muhasebe fişlerinin ve berat dosyalarının doğruluğuna, bütünlüğüne ve değişmezliğine ilişkin olan (elektronik imza ve mali mühür değerleri dâhil) her türlü elektronik kayıt ve veri ile doğrulama ve görüntüleme araçlarının tümünü kapsamakta olup, e-Defterlere istenildiğinde kolaylıkla erişebilmeyi, anlaşılabilir ve eksiksiz bir biçimde görüntüleyebilmeyi ve okunabilir kağıt baskılarını üretebilmeyi sağlayacak biçimde yerine getirilmelidir.

d) e-Defter ve berat dosyalarının e-Defter uygulamasına dâhil olan mükelleflerin kendilerine ait bilgi işlem sistemlerinde muhafaza edilmesi mecburidir. Üçüncü kişiler nezdinde ya da yurt dışında muhafaza işlemi, muhafaza ve ibraz sorumluluğunu ortadan kaldırmamakta ve Başkanlık ve Genel Müdürlük açısından herhangi bir hüküm ifade etmemektedir. Muhafaza yükümlülüğünün Türkiye Cumhuriyeti sınırları içerisinde ve Türkiye Cumhuriyeti kanunlarının geçerli olduğu yerlerde yerine getirilmesi zorunludur.

e) e-Defter dosyaları ile bunlara ilişkin berat dosyalarının ikincil kopyalarının, gizliliği ve güvenliği sağlanacak şekilde e-Defter saklama hizmeti yönünden teknik yeterliliğe sahip ve Başkanlıktan bu hususta izin alan özel entegratörlerin bilgi işlem sistemlerinde ya da Başkanlığın bilgi işlem sistemlerinde 1/1/2020 tarihinden itibaren asgari 10 yıl süre ile muhafaza edilmesi zorunludur. e-Defter ve beratların teknik yeterliğe sahip ve Başkanlıktan bu hususta saklama izni verilen özel entegratörlerin bilgi işlem sistemlerinde muhafaza usulü ile muhafaza edilmesi sürecinde e-Defter uygulamasına dâhil olan mükellefler ve özel entegratörler tarafından uyulması gereken genel, gizlilik ve güvenliğe ilişkin usul ve esaslar, Başkanlık tarafından hazırlanarak edefter.gov.tr adresinde yayımlanan “e-Defter Saklama Kılavuzu”nda açıklanır. e-Defter ve berat dosyalarına ait ikincil kopyalarının bu fıkra uyarınca muhafazası için gerekli yükleme işlemlerinde bu Tebliğin (4.3.4) numaralı fıkrasında belirtilen süreler dikkate alınır.

f) Başkanlıktan e-Defter saklama hizmeti konusunda izin alan özel entegratörler, saklama hizmeti verdikleri mükelleflere ait e-Defter dosyaları ve beratları ile bunlara ilişkin bilgileri, mükellefin yazılı izni olmaksızın Başkanlık ve Genel Müdürlük dışında üçüncü kişilerle paylaşamazlar. Özel entegratörler, saklama hizmetini verdikleri mükelleflere ait e-Defterlerin bütünlüğünden, güvenliğinden, gizliliğinden ve Başkanlığın ve Genel Müdürlüğün uzaktan erişimine imkan sağlamaktan sorumludurlar. Mükellefin yazılı izni olmaksızın, e-Defter bilgilerini Başkanlık ve Genel Müdürlük dışındaki üçüncü kişilerle paylaştığı tespit olunan özel entegratörlerin diğer kanunların öngördüğü cezai sorumlulukları dışında ayrıca Başkanlık tarafından özel entegratörlük izinleri iptal edilebilir.

g) e-Defter ve berat dosyalarının ikincil kopyalarının muhafaza işleminin Başkanlıktan izin alan özel entegratörlerin ya da Başkanlığın bilgi işlem sistemlerinde muhafaza edilmesi, mükellefin asıl e-Defter ve berat dosyalarının muhafaza ve ibraz ödevlerini ortadan kaldırmaz. Bu çerçevede e-Defter ve berat dosyalarının yetkili makamlara ibrazı öncelikle ilgili mükelleften yazılı olarak istenecektir. İlgili mükellef tarafından e-Defter dosyaları ile beratlarının yazılı talebe rağmen yetkili makamlara ibraz edilmediğinin veya edilemediğinin tevsikini müteakip, saklama hizmetini veren özel entegratörden Başkanlık aracılığı ile ya da muhafaza işleminin Başkanlık sistemlerinde yapılması halinde ise Başkanlıktan, resmi yazılı talepte bulunularak ilgili e-Defter ve berat dosyalarının ikincil kopyalarının ibrazı istenebilecektir. Bu suretle Başkanlık aracılığı ile özel entegratörden e-Defter dosyaları ve beratlarının ibrazı talep edildiğinde, ilgili özel entegratör ivedilikle (her hal ve şartta talebin tebliğ tarihinden itibaren 15 günlük süreyi aşmayacak şekilde) Başkanlığa talep edilen e-Defter ve berat dosyalarını ibraz etmek mecburiyetindedir. e-Defter ve berat dosyalarının saklama hizmeti verme konusunda Başkanlıktan izin alan özel entegratörlerin listesi edefter.gov.tr adresinde Başkanlık tarafından yayımlanır. “

Yukarıda açıklamalarına yer verilen 3 Sıra Nolu Elektronik Defter Genel Tebliği’nin 4’üncü bölümünde belirtilmiş olduğu üzere;  elektronik defterler ve bunlara ait beratların Türkiye Cumhuriyeti sınırları içerisinde ve Türkiye Cumhuriyeti kanunlarının geçerli olduğu yerlerde ve elektronik defter izni verilenlerin kendi bilgi işlem sistemlerinde muhafaza edilmesi mecburidir.  

Günlük yaşamda mükellefler, faaliyette bulunurken e-defterlerin muhafazasında bilgisayara virüsün bulaşması, hard diskin arızalanması gibi bir takım problemler ile karşılaşmaktadır. Mükellefler tarafından tutulması zorunlu olan defterlere ilişkin Türk Ticaret Kanunu’nda (TTK) düzenleme yapılmıştır. Yevmiye defteri ve defteri kebirin elektronik ortamda tutulup beratlarının alınması gerektiği mezkur Tebliğde ifade edilmiştir. Sözkonusu defterlere ilişkin muhafaza ve ibraz süresi ise 10 yıl olarak belirlenmiştir. Bu süre içerisinde vergi idaresi, elektronik ortamda tutulan defterin ibrazını isterse mükellef bu yükümlülüğü yerine getirme mecburiyeti vardır.

 Zayi kavramı arapça bir kelime olup; yok olmuş, elden çıkmış anlamına gelmektedir. Zayi olan ticari defter veya belge tamamen yok olmaktadır. Zayi fiili sonucunda; kişi veya kurumların ticari defter ve belgelerin zayi olmasında herhangi bir kusurunun bulunmaması anlaşılmaktadır.Bir mükellefin saklamakla yükümlü olduğu defter ve belgeler için, zıyaı öğrendiği tarihten itibaren 15 gün içinde, işletmenin bulunduğu yerdeki asliye ticaret mahkemesine yoksa asliye hukuk mahkemesine dava açılması gerekmektedir. Ancak e-Defterlerin zarar görmesi veya yok olması durumunda sadece zayi belgesi alınması yeterli olmayacaktır. Bu çerçevede; e-Defter ve beratlarının siber saldırı, virüs, harddisk arızası gibi nedenlerle zayi olması halinde; Özel Amaçlı YMM Raporu, veri kurtarma merkezi tarafından hazırlanacak durum tespit tutanağı ve muhasebe programındaki muhasebe fişlerinin de zarar görmüş olması halinde ayrıca Cumhuriyet Başsavcılığına suç duyurusunda bulunulduğuna ilişkin belgenin temin edilmesi gereklidir.

Eğer e-Defter kayıtlarında siber saldırı, virüs, harddisk kaynaklı sorunlar ortaya çıkmış ve veriler sonradan kurtarılmış ise ne olacaktır?

TTK 82 nci Madde’nin 7 nci fıkrasında mükelleflerin saklamakla yükümlü olduğu defter ve belgelerin kanuni saklama süresi içinde zayi olması halinde buna ilişkin mahkemeden belge verilmesini isteyebileceği düzenlenmiştir. Maddede öngörülen zayi belgesinin verilmesi için saklama yükümlülüğü bulunan defter ve belgelerin zayi olması gerekir. Mükelleflerin tutmakla yükümlü oldukları e-Defter ve beratların bir kısmı bunların tutulduğu hard disklerde meydana gelen hasar (servere virüs girmesi nedeniyle sistemde mekanik arıza) nedeniyle zayi olmuş (elektronik ortamda yitirilmiş/ulaşılmaz olmuş) bunun üzerine hizmet tedarikçilerinin hard diske müdahalesi sonucu bu kayıtlara yeniden ulaşılmış olabilir. Buna göre e-Defter kayıtları ve beratların örnekleri sistem üzerinden yeniden oluşturulmuş olup TTK 82 nci Madde’nin 7 nci fıkrasında öngörülen zayi olma hali oluşmamıştır. Bu durumda zayi belgesi verilmesi talep edilemeyecektir. Söz konusu e defter kayıtları ve beratların asıllarına sistem üzerinden ulaşılması mümkün olmayıp ancak bunların örneklerine ulaşılıp yeniden oluşturulması halinde bu e-Defter ve beratların zayi olduğundan söz edilebilecek ise de, TTK 82 nci Madde’nin 7 nci fıkrası hükmüne göre mükellef ticari defter ve belgelerini özenle saklamakla yükümlü olup zayi belgesinin verilmesini talep edebilmesi için saklama yükümlülüğünü özenle yerine getirmesine rağmen 82 nci Madde’nin 7 nci fıkrasında öngörülen ve tacirden kaynaklanmayan mücbir sebepler nedeniyle defter ve belgelerin zayi olması gerekmektedir. Buna ilişkin 2021/205 Esas ve 2021/250 Karar nolu İstanbul Bölge Adliye Mahkemesi 13. Hukuk Dairesi’nin bakmış olduğu bir davada; “…dava dilekçesi ekinde bulunan ... Ltd. Şti. yazısına göre anılan e-defterlerin saklandığı hard disklerin yüzeyleri ciddi şekilde bozulmuş olup bu nedenle sağlıklı imaj alınamamıştır. Davacı tacir davaya konu e defterleri ile bunlara ilişkin beratları özenle sakladığını, kendisinden kaynaklanmayan mücbir sebeplerle bunların zayi olduğunu ispatlayamamıştır.” şeklinde ifade ederek davacının istinaf talebini reddetmiştir.  

Sonuç olarak mahkemenin e-Deftere ilişkin zayi belgesini verebilmesi için e-Defterler ile bunlara ilişkin beratların özenle saklandığı, mükellefin kendisinden kaynaklanmayan mücbir sebeplerle bunların zayi olduğunu ispatlaması gerekir.