İş Sözleşmesi ve İş İlişkisi Gereğince İşlenen Kişisel Verilerin İşlenmesi ve Korunması Prosedürü
İş Sözleşmesi ve İş İlişkisi Gereğince İşlenen Kişisel Verilerin İşlenmesi ve Korunması Nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) 7 Nisan 2016 tarih ve 29677 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiş bulunmaktadır. Bu Kanun yanında kişisel veriler hakkında uluslararası sözleşmeler ile Avrupa Birliği Direktifleri, TC Anayasa’sı ve Türk Ceza Kanunda “özel hayatın gizliliği” üst başlığı ile düzenlemeler de bulunmaktadır.
Kişisel verilerin korunması amacıyla getirilen bu düzenlemeler özellikle 6698 sayılı KVKK ile birçok alanda tutulan, saklanan ve kullanılan, işlenen kişisel verileri ilgilendirmektedir.
Bireysel iş hukuku alanına ve işverenlerin hukukuna baktığımızda, işçi ve işveren ilişkisinde de farklı şekillerde kişisel veriler tutulmakta, işlenmekte ve saklanmaktadır.
Bu prosedürde, sadece, çalışanın kişisel verilerini elinde bulunduran işverenin dikkat etmesi gereken hususlar, kişisel verilerin hangi şartlarda ve nasıl tutabileceği ve Kanun gereğince yapılması gereken yükümlülükler açıklanmaktadır.
Kişisel veri kavramı, gerçek kişiye ait, kişiyi belirli veya belirlenebilir kılan her türlü bilgiyi ifade etmektedir. Kanunda kişisel verilerin neler olduğu açık ve sınırlandırılacak şekilde sayılmamıştır. Her somut olaya göre değişmekle birlikte, bir verinin kişisel veri sayılıp sayılmayacağını anlamanın yolu, kişisel verinin en önemli kriteri olan “kişiyi tanımlayabilme” veya “kişi ile ilişkilendirilebilme” özelliğini sağlayıp sağlamadığının değerlendirilmesidir.
Kanunun 2. maddesine göre, yalnızca gerçek kişilerin verilerinin korunması öngörülmektedir. Bu nedenle Kanunda kişisel verisi işlenen gerçek kişiyi ifade etmek için “ilgili kişi” ifadesi kullanılmıştır. Korunması gereken kişi, düzenlemenin tanımlar kısmında açıkça belirtildiği üzere “gerçek kişi”dir. Dolayısıyla korunan yarar da gerçek kişinin yararıdır.
Tüzel kişiler Türk Ceza Kanununda ve Türk Ticaret Kanununda yer alan tüzel kişiler ile ilgili düzenlemelerdeki korumalardan (haksız rekabet, Şirket ve Bankacılık Sırlarının İfşası vs) yararlanabilmektedir. Dolayısıyla işveren olarak hizmet aldığınız taşeron şirket bu prosedür kapsamında olmamakla birlikte, taşeronun işçileri bu kanun kapsamına girmektedir.
Kanunda kişisel veri tanımının dışında özellikli olarak “özel (hassas) nitelikli kişisel veriler” den bahsedilmektedir. Bu özel nitelikli kişisel veriler Kanunun 6. maddesinde tek tek sayılmıştır. Bu nitelikli kişisel verilerin de neler olduğunun bilinmesinin önemli olduğu düşüncesindeyiz.
Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerdir.
İşverenler çoğunlukla işe giriş sırasında işçiden Kanunda özel nitelikli kişisel veriler olarak tanımlanan bu verilerden bazılarını işlemekte/tutmaktadır.
Özel nitelikli kişisel verilerin de ilgilinin açık rızası olmaksızın işlenmesi yasaktır. Ancak sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde (iş hukuku bakımından özlük dosyasında mutlaka bulunması gereken veriler) ilgili kişinin açık rızası aranmaksızın işlenebilir.
Ayrıca ve önemle belirtmek gerekir ki, çalışanınıza ait özel nitelikli verilerin saklanma süresi kadar saklanması ve bu süre sonunda hemen silinmesi/yok edilmesi veya anonimleştirilmesi gerekmektedir, saklama süresinde ise mümkün olduğunca bu verilere erişimin sadece yetkili kişilerce yapılmasının sağlanması gerekmektedir.
Buna göre, 6698 sayılı Kanunda kişisel verilerin işlenmesi belirli şartlara bağlanmıştır.
Eğer Kanundan kaynaklanan bir istisna yok ise kişisel verilerin işlenebilmesi için öncelikli şart kişinin açık rızasıdır. Yani kişinin rızası olmadan kişisel veriler işlenemez.
Kanunun 3. maddesinde açık rıza; “belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlanmıştır. Kanunun 3. maddesinde yer verilen açık rıza tanımı kapsamında, açık rızanın 3 unsuru bulunmaktadır:
• Belirli bir konuya ilişkin olması,
• Rızanın bilgilendirmeye dayanması,
• Özgür iradeyle açıklanması.
Ancak Kanun açık rızanın aranmadığı halleri 5. maddede sıralamıştır. Bunlar;
1. Kanunlarda açıkça öngörülmesi.
2. Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
3. Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
4. Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
5. İlgili kişinin kendisi tarafından alenileştirilmiş olması.
6. Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
7. İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
Bu şartlar kanunda sınırlı olarak sayılmış olduğundan bu şartlar dışında kişisel verilerin işlenmesi mümkün değildir.
Aşağıdaki tabloda kişisel verilerin açık rıza dışında kalan işlenme şartlarına ilişkin örnekler yer almaktadır:
(İşverenlikle ilişkili konular koyu renk ile gösterilmiştir.)
İşleme Şartları | Kapsam | Örnek |
Kanun Hükmü gereği işleme | Vergi Kanunları, İş Kanunu, Türk Ticaret Kanunu vb. | Çalışana ait özlük bilgilerinin kanun gereği tutulması, Vergi Kanunları gereği vergiyi doğuran olayın sebebi ticari işlem nedeniyle sağlanan bilgilerin işlenmesi ve gerektiğinde örneğin Şirket Yeminli Mali Müşaviri ve vergi dairesi ile paylaşılması. |
Sözleşmenin İfası nedeniyle işleme | İş Akdi, Satış Sözleşmesi, Taşıma Sözleşmesi, Eser Sözleşmesi vb | Çalışanın sağlık bilgilerinin özlük dosyasında toplanması, Teslimat yapılması için şirketin adres bilgilerinin kaydedilmesi. |
Fiili İmkânsızlık nedeniyle rıza alamama | Fiili imkânsızlık nedeniyle rıza veremeyecek olan ya da ayırt etme gücü olmayan kişi. | Bilinci kapalı, kazaya(iş kazası) uğramış kişinin kişisel sağlık bilgisi. Kaçırılan, ya da kayıp kişinin konum bilgisi. |
Veri Sorumlusunun Hukuki Sorumluluğu gereği paylaşım sebebiyle rıza almama | Mali Denetimler, Güvenlik Mevzuatı, Sektör Odaklı Regülâsyonlarla Uyum. | Bankacılık, enerji, sermaye piyasaları, iş veya sosyal güvenlik denetimleri gibi alanlara özel denetimlerde bilgi paylaşımı yapılması. |
Aleniyet Kazandırma sebebiyle rıza gerekmemesi | İlgili kişinin kendisine ait bilgileri kamunun bilgisine sunması. | Evini satmak isteyen kişinin, satış ilanında iletişim bilgisine yer vermesi, çalışanın facebook sayfasında telefon, ailevi hal veya sağlık bilgisini paylaşması |
Hakkın Tesisi, Korunması, Kullanılması amacıyla rıza almama | Dava açılması, tescil işlemleri, her türlü tapu işlemi vb. işlerde kullanılması zorunlu veriler. | İşten ayrılan bir çalışana ait gerekli bilgilerin dava zaman aşımı boyunca saklanması. |
Meşru Menfaat | İlgili kişinin temel haklarına zarar vermemek kaydıyla, veri sorumlusunun meşru menfaati için zorunlu olması halinde veri işlenmesi | Çalışan bağlılığını artıran ödül ve prim uygulanması amacıyla veri işlenmesi. |
Kaynak:
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/0517c528-a43d-49f5-b1eb-33dc666cb938.pdf
Kişisel verilerin işlenmesi kavramı zincirleme bir döngüyü ifade etmektedir. Kanunun 2. maddesinde, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme, şeklinde bahsedilmiştir.
Kişisel Verilerin İşlenmesi nedir?
Kanunun 3. Maddesinde “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınırlandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem" şeklinde tanımlanmaktadır.
Kişisel Verilerin İşlenme Şartları:
Kişisel verilerin işlenmesinde her zaman Kanunda ortaya konulan genel ilkelere uygun davranılmalıdır. 6698 sayılı Kanunun 4. Maddesinde bu ilkelere yer verilmektedir. Kişisel verilerin işlenmesinde genel ilkeler şunlardır:
a. Hukuka ve dürüstlük kurallarına uygun olma,
b. Doğru ve gerektiğinde güncel olma,
c. Belirli, açık ve meşru amaçlar için işlenme,
ç. İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d. İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenmesine ilişkin ilkeler, tüm kişisel veri işleme faaliyetlerinin özünde bulunmalı ve tüm kişisel veri işleme faaliyetleri bu ilkelere uygun olarak gerçekleştirilmelidir.
Yukarıda kişisel verilere ilişkin olarak yapılan genel açıklamalarda sonra konunun İş Hukuku bakımından öneminden bahsetmek gerekir.
İşverenler, işe alımdan iş ilişkisini sona ermesine kadar çalışanları hakkında kişisel veriler elde etmektedirler. Bunlardan en önemlisi özlük dosyasının oluşturulmasıdır. İş Kanunu’nda işverenlere işçinin özlük dosyasının tutulması zorunluluğu getirilmiş bulunmaktadır. Dolayısıyla bu durum işleme/tutma bakımından kanuna bağlı bir hak kullanımıdır.
İş Kanunu'nun özlük dosyasını düzenleyen 75. maddesinde “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.” denilmektedir.
Buna göre işçinin özlük dosyasında toplanan kişisel verilerin “işlenmesi” “kanunlarda açıkça öngörülmesi” şartına bağlı olarak ve Kanundan kaynaklanan bir yetki ve sorumluluk ile gerçekleştirilmektedir. Özlük dosyası içeriği çalışana ait kimlik bilgisi ve aile bilgilerini gösterir nüfus bilgileri, ikametgah bilgileri, adli sicil kaydı, eğitim durumuna ilişkin belgeler, sağlık durumuna ilişkin işçinin sunduğu kayıtlar, fotoğrafı ve imzasından oluşmaktadır.
Bunun dışında işçinin performans kayıtlarını oluşturan belgeler, elektronik posta ve telefon kayıtları, güvenlik gerekçesi ile alınan parmak izi veya retina taraması ile elde edilen kayıtlar ile işyerinde kamera kayıtları ile elde edilen sesli veya sessiz video görüntüleri ise özlük dosyasının dışında elde edilen kişisel verilerdir. Bu nedenle, işverenin kanunlarla kendisine yüklenen özlük dosyası tutma, iş ve işçi güvenliğini sağlamak, işçiyi koruma ve gözetme borcu dışında kalan veri işleme eylemlerinde, işçiyi aydınlatma yükümlülüğünü yerine getirerek konuyla ilgili açık rızasını alması gerektiğini düşünüyoruz.
Veri sorumlusu Kanunun 3. Maddesinde tanımlanmıştır. Buna göre gerçek kişiye ait kişisel verileri alan ve işleyen veya işlenmesi vasıtalarını belirleyen ve yönetilmesinden sorumlu gerçek veya tüzel kişileri ifade etmektedir. İşverenler çalışanları karşısında onların kişisel verilerinin korunması bakımından veri sorumlusudurlar.
İşverenlerin işçilerin kişisel verilerinin tutulması bakımından veri sorumlusu olarak Kişisel Verilerin Korunması Kurumu dahilinde kurulan veri kayıt siciline kayıt olmaları gerekmektedir.
Veri sorumlusunun kanun kapsamında belli başlı bazı yükümlülükleri bulunmaktadır. Bunlar;
1. Aydınlatma Yükümlülüğü
Veri sorumlusu, Kanunun 10. maddesi çerçevesinde kişisel verilerin elde edilmesi sırasında bizzat veya yetkilendirdiği kişi aracılığıyla aşağıdaki bilgileri ilgili kişiye (veri sahibine) sağlamakla yükümlüdür:
• Veri sorumlusunun ve varsa temsilcisinin kimliği,
• Kişisel verilerin hangi amaçla işleneceği,
• Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
• Kişisel veri toplamanın yöntemi ve hukuki sebebi,
• 11. Madde uyarınca ilgili kişinin hakları hakkında bilgilendirme yapma yükümlülüğü altındadır.
2. Veri Güvenliğini sağlama
Veri güvenliği, Kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı olarak erişilmesini önlemeye ve bunların hukuka uygun olarak muhafazasını sağlamaya yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasıdır.
Veri sorumlusu veri güvenliği sorumluluğu gereğince; kişisel verilerin hukuka aykırı olarak işlenmesini ve kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve de kişisel verilerin muhafazasını sağlamak ile yükümlüdür.
3. İlgili kişiler tarafından yapılan başvuruların cevaplanması ve kurul kararlarının yerine getirilmesi yükümlülüğü
4. Veri Sorumluları siciline kayıt olma
5. Bildirim yükümlülüğü
Veri sorumlusu işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, bu durumu en kısa sürede ilgilisine ve ilgili Kurula bildirmektir.
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun 16. maddesinde “Veri sorumluları, Kurul tarafından belirlenen ve ilan edilen süre içinde Veri Sorumluları Siciline kayıt yaptırmak zorundadır.” düzenlemesi ile veri sicili oluşturulması ve veri sorumluları bakımından bu sicile (VERBİS) kayıt zorunluluğu getirilmiş bulunmaktadır. Veri Sorumluları Sicili Hakkında Yönetmelik ile bu sicile ilişkin yürütülecek olan işlemler düzenlenmektedir.
Kural olarak, tüm veri sorumlularının Veri Sorumluları Siciline kaydolmaları gerekmektedir. Ancak veri sorumlusu bakımından sicile kayıt zorunluluğunun aynı zamanda bazı istisnaları da bulunmaktadır.
Bu istisnaların dışında kalan ve kayıt olma yükümlülüğü altında bulunan veri sorumluları bakımından sicile kayıt zamanları belirlenmiştir.
Buna göre;
- Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek veya tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü 01.10.2018 tarihinden 30.09.2019 tarihine kadardır.
- Yurtdışında yerleşik gerçek veya tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihi 01.10.2018 den 30.09.2019 tarihine kadardır.
- Yıllık çalışan sayısı 50’den az ve yıllık mali bilanço toplamı 25 milyon TL’den az olmakla birlikte ana faaliyet konusu özel nitelikli kişisel veri işleme olan gerçek ve tüzel kişi veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü 01.01.2019 dan 31.03.2020 tarihine kadardır.
- Kamu kurum ve kuruluşu veri sorumluları için Veri Sorumluları Siciline kayıt yükümlülüğü başlangıç tarihini 01.04.2019 olup, 30.06.2020 tarihine kadardır.
Devamını Gör
İş Sözleşmesi ve İş İlişkisi Gereğince İşlenen Kişisel Verilerin İşlenmesi ve Korunması Nasıl Yapılır?
Bu prosedürde İşyerinizde çalışanlarınızla ilgili olarak;
- işe alım ve sonrasında,
- veya işin devamında,
aday veya çalışandan alınan, işlenen, saklanan ve kullanılan kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile bu kanun gereğince “Veri Sorumlusu” sıfatıyla yüklenen sorumluluk çerçevesinde, verilerin güvenliğinin sağlanması ve korunması hususunda izlenilmesi gereken yollar anlatılmaktadır.
Kişisel Verilerin Korunmasına ilişkin genel açıklamalarımızı “Açıklama ve Uyarılar” bölümünde bulabilirsiniz.
Uygulama Adımları:
1. İşverenin ilk yükümlülüğü, Aydınlatma
1.1. Aydınlatma Yükümlülüğünün Yerine Getirilmesi ve Adımları
1.1.1. Kişisel verilerin kanun gereğince veya işçinin açık rızasının alınması ile işlenmesi öncesinde çalışanın kişisel verilerinin hangi amaçla ve kanuna göre hangi şartlara göre işlendiğine dair bilgilendirmeye yönelik aydınlatma bildirimi tüm çalışanlara yönelik olarak ve yazılı olarak yapılmalıdır.
1.1.2. İş ilişkisi başlangıcında veya kişisel verilerin sonradan işlenmesi gereğinin ortaya çıkması halinde, veriler işlenmeden olaya özgü aydınlatma metnini hazırlayarak işçiye bildirim olarak sunununuz, bu bildirimin yapıldığına dair imza alınız.
2 numaralı başlıkta açıklanan özlük dosyası tutulması tek başına bir veri işleme faaliyetidir, bu faaliyette yetki kanundan doğmaktadır ve ayrıca rıza alınması gerekmez, ne var ki bu konuda genel bir aydınlatma metnini çalışanlara bildirmeniz gerekir.
2. Kişisel Verilerin Kanun Gereğince İşlenmesi Adımları, Genel Olarak Özlük Dosyası
2.1. Özlük dosyası oluşturmak iş ilişkisinin başlangıcından sonuna kadar işveren açısından kanundan doğan bir yükümlülük olup, özlük dosyasında tutulan kişisel veriler de ilgili kanun gereğince kanuna uygun olarak işlenmelidir. Dolayısıyla yukarıda açıklanan genel aydınlatma yükümlülüğü dışında, her çalışandan bu prosedürün gereği olarak bazı konularda açık rızalar alınması gerekebileceğini, ancak bazı konularda da kanun gereği yararlanılan bir hak ve hatta sorumluluk dolayısıyla bir bağışıklık (kapsam dışı olma) olduğunu hatırlayınız.
(Prosedür notu; Kişisel veriler kural olarak ilgili kişinin (veri sahibinin) açık rızası ile işlenebilmektedir. Ancak açık rızanın aranmayacağı haller Kanunda sınırlı olarak sayılmaktadır. Bu şartlarından birisi de kanunlarda açıkça öngörülmüş olmasıdır. İş ilişkisi gereğince kural olarak, özlük dosyasında tutulacak olan çalışanlara ait kişisel veriler İş Kanunu’nda düzenlenmiş olması dolayısıyla açık rıza aranmaksızın işlenebilecektir. Ancak özlük dosyasının zorunlu kapsamı dışına çıktığımızda açık rıza şarttır. Bu nedenle açıklama ve uyarılar bölümünde açıkladığımız bu ayrımı dikkatle okuyunuz.)
2.2. Çalışanın, özlük dosyasının içeriğini oluşturan kişisel verilerin işlenmesine ilişkin olarak hazırlanan muvafakatname örneklerinden kişisel verilerin kaydedilmesine muvafakat örneğini bu verilerin kanun gereği işleneceğine yönelik ve aydınlatma metnine ek bir belge olarak alınız. Bu muvafakati işe giriş sırasında muhakkak alınız, devam eden iş ilişkileri bakımından ise mutlaka tamamlayınız.
2.3. Özlük dosyasının tutulması kapsamında kanuni yükümlülük olarak işlenen, ancak Kişisel Verilerin Korunması Kanunu kapsamında “özel nitelikli kişisel veriler” arasında ayrıca düzenlenmiş bulunan “Sağlık Verileri” bakımından “sağlık bilgilerine erişilmesine dair muvafakatname” örneğini kullanarak çalışanın açık rızasını alınız.
(Prosedür notu 2; Sağlık ve cinsel hayata ilişkin kişisel veriler, açık rızanın dışında ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Dolayısıyla işyeri hekimliği bakımından bir hak, kanun bağışıklığı olan sağlık verilerinin işveren bakımından aynı statüde olup olmadığı tartışmalı olup, mutlaka sağlık verilerini işleme rızasını alınız. )
3. Açık Rızanın Alınmasını Gerektiren Diğer Haller ve İlgili Adımları
3.1. İşverenin denetim ve yönetim yükümlülüğü, koruma ve gözetme sorumluluğu sınırları içinde kalan ve kanundan doğan yükümlülüğünü yerine getirmek üzere işlediği çalışana ait kişisel verilerin dışında kalan, ancak yine de işverenlikçe işlenen/işlenmek istenen kişisel veriler bakımından işçinin ayrıca konuya özgü ve açık rızasının alınması gerekmektedir. Genel muvafakatnameler ileride ihtilaf yaşandığında yeterli görülmeyebilecektir.
3.2. Örneğin,
-İşyerinde, elektronik postaların kontrol ve saklanması,
-görüntü ve ses kaydı alınması,
-özel eşya ve üst araması (kişisel verilere ulaşılması riskine binaen)
uygulamasına yönelik işlemler bakımından vermiş olduğumuz muvafakatname örneğini kullanarak işçinin bu uygulamalardan önce muvafakatini alınız.
3.3. İşçinin açık rızasının alınmasına yönelik diğer işyeri uygulamalarınız konusunda ise muvafakatname örneklerini özel duruma uyarlayarak kullanınız.
4. Aydınlatma Metni ile Muvafakatnamelerin Tamamının Tek Belge ile Sağlanması Örneği
Yukarıda prosedür adımlarında işlenecek kişisel verilerin özelliklerine göre özel olarak hazırlanan muvafakatname örneklerini iş akışı dahilinde tek tek kullanılmasının zorluğu ve evrak ve iş yoğunluğuna neden olacağını düşünerek (önerimiz bu şekilde kullanılması olduğunu hatırlatarak) genel aydınlatma metni ve muvafakat içeren örneğini (ref. Genel aydınlatma ve muvafatname) kullanma yolunu tercih edebilirsiniz.
5. İşverenin Veri Sorumlusu olarak Veri Siciline Kayıt Yükümlülüğünüzü Yerine Getirme Adımı
5.1. Veri Sorumlusu olarak, sicile kayıt şartlarını taşıması halinde Kişisel Verileri Koruma Kurumu nezdinde oluşturulan “Veri Sorumluları Sicil Bilgi Sistemi”ne kayıt olunması gerekmektedir. Bu nedenle işverenliğiniz bakımından bir veri sorumlusu seçiniz. Veri Sorumlusu, sadece çalışanların verileri ile sorumlu değildir, bu nedenle bu kişinin bu mevzuat kapsamında genel bir görev ifa ettiğini unutmayınız.
5.2. Veri kayıt sistemine kayıt bildirim ile yapılmaktadır. Bu bildirimde;
- Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
- Kişisel verilerin hangi amaçla işleneceği,
- Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
- Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
- Yabancı ülkelere aktarımı öngörülen kişisel veriler,
- Kişisel veri güvenliğine ilişkin alınan tedbirler,
- Kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin bilgilere yer verilerek kayıt işlemi tamamlanır.
5.3. Veri Sorumluları Siciline kayıt https://verbis.kvkk.gov.tr/ adresi üzerinden yukarıdaki bilgi girişleri yapılarak tamamlayınız.
Mevzuat
1- 6698 sayılı Kişisel Verilerin Korunması Kanunu
2- Veri Sorumluları Sicili Hakkında Yönetmelik
3- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ
1- 6698 sayılı Kişisel Verilerin Korunması Kanunu:
Amaç
MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir.
Kapsam
MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.
Tanımlar
MADDE 3- (1) Bu Kanunun uygulanmasında;
a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı,
b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini,
c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını,
ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi,
e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi,
f) Kurul: Kişisel Verileri Koruma Kurulunu,
g) Kurum: Kişisel Verileri Koruma Kurumunu,
ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,
h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini,
ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.
Genel ilkeler
MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.
(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur:
a) Hukuka ve dürüstlük kurallarına uygun olma.
b) Doğru ve gerektiğinde güncel olma.
c) Belirli, açık ve meşru amaçlar için işlenme.
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.
Kişisel verilerin işlenme şartları
MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Özel nitelikli kişisel verilerin işlenme şartları
MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.
(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.
(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi
MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.
(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır.
(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.
2- Veri Sorumluları Sicili Hakkında Yönetmelik:
Kayıt yükümlülüğünün başlangıcı
MADDE 8 – (1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.
(2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.
(3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.
Kayıt yükümlülüğü kapsamında iletilecek bilgiler
MADDE 9 – (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:
a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,
e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,
f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.
(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.
(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;
a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,
b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,
c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,
ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,
d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,
e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,
f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,
dikkate alınır.
(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.
(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.
Kayıt başvurusu
MADDE 10 – (1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır.
(2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan kayıt başvurusunu tamamlamak zorundadır.
Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri
MADDE 11 – (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.
(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.
(3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde düzenlenir:
a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,
b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,
c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,
ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme,
d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.
(4) Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.
(5) Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.
3- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ :
Amaç ve kapsam
MADDE 1 – (1) Bu Tebliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemektir.
Dayanak
MADDE 2 – (1) Bu Tebliğ, 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine dayanılarak hazırlanmıştır.
Tanımlar
MADDE 3 – (1) Bu Tebliğde geçen;
a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,
b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,
c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,
ç) Kurul: Kişisel Verileri Koruma Kurulunu,
d) Kurum: Kişisel Verileri Koruma Kurumunu,
e) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,
f) Veri kayıt sistemi: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,
g) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,
ğ) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayınlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi
ifade eder.
(2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.
Aydınlatma yükümlülüğünün kapsamı
MADDE 4 – (1) Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:
a) Veri sorumlusunun ve varsa temsilcisinin kimliği,
b) Kişisel verilerin hangi amaçla işleneceği,
c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,
d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.
Usul ve esaslar
MADDE 5 – (1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:
a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.
b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.
c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.
ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.
d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.
e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.
f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.
g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.
ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.
h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.
ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.
i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.
j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.
Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü
MADDE 6 – (1) Kişisel verilerin ilgili kişiden elde edilmemesi halinde;
a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,
b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,
c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada
ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.
Yürürlük
MADDE 7 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.
Yürütme
MADDE 8 – (1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.
İşçi özlük dosyası
Madde 75 - İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.
İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.
İşin düzenlenmesine ilişkin hükümlere aykırılık
Madde 104 - Bu Kanunun 63 üncü maddesinde ve bu maddede belirtilen yönetmelikte belirlenen çalışma sürelerine aykırı olarak işçilerini çalıştıran veya 68 inci maddesindeki ara dinlenmelerini bu maddeye göre uygulamayan veya işçileri 69 uncu maddesine aykırı olarak geceleri yedibuçuk saatten fazla çalıştıran; gece ve gündüz postalarını değiştirmeyen, 71 inci maddesi hükmüne ve bu maddenin son fıkrasında anılan yönetmelik hükümlerine aykırı hareket eden, 72 nci maddesi hükümlerine aykırı olarak bu maddede belirtilen yerlerde onsekiz yaşını doldurmamış erkek çocukları ve gençleri ve her yaştaki kadınları çalıştıran, 73 üncü maddesine aykırı olarak çocuk ve genç işçileri gece çalıştıran veya aynı maddede anılan yönetmelik hükümlerine aykırı hareket eden 74 üncü maddesindeki hükme aykırı olarak doğumdan önceki ve sonraki sürelerde gebe veya doğum yapmış kadınları çalıştıran veya ücretsiz izin vermeyen, 75 inci maddesindeki işçi özlük dosyalarını düzenlemeyen, 76 ncı maddesinde belirtilen yönetmelik hükümlerine uymayan işveren veya işveren vekiline binikiyüz Türk Lirası idari para cezası verilir.
64 üncü (…) (3) maddede öngörülen hükümlere aykırı davranan işveren veya işveren vekiline bu durumda olan her işçi için ikiyüzyirmi Türk Lirası idari para cezası verilir.