İş Sözleşmesi ve İş İlişkisi Gereğince İşlenen Kişisel Verilerin İşlenmesi ve Korunması Prosedürü

İş Sözleşmesi ve İş İlişkisi Gereğince İşlenen Kişisel Verilerin İşlenmesi ve Korunması Nasıl Yapılır? 

Bu prosedürde İşyerinizde çalışanlarınızla ilgili olarak;

- işe alım ve sonrasında,

- veya işin devamında,

aday veya çalışandan alınan, işlenen, saklanan ve kullanılan kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile bu kanun gereğince “Veri Sorumlusu” sıfatıyla yüklenen sorumluluk çerçevesinde, verilerin güvenliğinin sağlanması ve korunması hususunda izlenilmesi gereken yollar anlatılmaktadır.

Kişisel Verilerin Korunmasına ilişkin genel açıklamalarımızı “Açıklama ve Uyarılar”  bölümünde bulabilirsiniz.

Uygulama Adımları: 

1. İşverenin ilk yükümlülüğü, Aydınlatma

1.1. Aydınlatma Yükümlülüğünün Yerine Getirilmesi ve Adımları

1.1.1. Kişisel verilerin kanun gereğince veya işçinin açık rızasının alınması ile işlenmesi öncesinde çalışanın kişisel verilerinin hangi amaçla ve kanuna göre hangi şartlara göre işlendiğine dair bilgilendirmeye yönelik aydınlatma bildirimi tüm çalışanlara yönelik olarak ve yazılı olarak yapılmalıdır.

1.1.2. İş ilişkisi başlangıcında veya kişisel verilerin sonradan işlenmesi gereğinin ortaya çıkması halinde, veriler işlenmeden olaya özgü aydınlatma metnini hazırlayarak işçiye bildirim olarak sunununuz, bu bildirimin yapıldığına dair imza alınız.

2 numaralı başlıkta açıklanan özlük dosyası tutulması tek başına bir veri işleme faaliyetidir, bu faaliyette yetki kanundan doğmaktadır ve ayrıca rıza alınması gerekmez, ne var ki bu konuda genel bir aydınlatma metnini çalışanlara bildirmeniz gerekir.

2. Kişisel Verilerin Kanun Gereğince İşlenmesi Adımları, Genel Olarak Özlük Dosyası

2.1. Özlük dosyası oluşturmak iş ilişkisinin başlangıcından sonuna kadar işveren açısından kanundan doğan bir yükümlülük olup, özlük dosyasında tutulan kişisel veriler de ilgili kanun gereğince kanuna uygun olarak işlenmelidir.  Dolayısıyla yukarıda açıklanan genel aydınlatma yükümlülüğü dışında, her çalışandan bu prosedürün gereği olarak bazı konularda açık rızalar alınması gerekebileceğini, ancak bazı konularda da kanun gereği yararlanılan bir hak ve hatta sorumluluk dolayısıyla bir bağışıklık (kapsam dışı olma) olduğunu hatırlayınız.

(Prosedür notu; Kişisel veriler kural olarak ilgili kişinin (veri sahibinin) açık rızası ile işlenebilmektedir. Ancak açık rızanın aranmayacağı haller Kanunda sınırlı olarak sayılmaktadır. Bu şartlarından birisi de kanunlarda açıkça öngörülmüş olmasıdır. İş ilişkisi gereğince kural olarak, özlük dosyasında tutulacak olan çalışanlara ait kişisel veriler İş Kanunu’nda düzenlenmiş olması dolayısıyla açık rıza aranmaksızın işlenebilecektir. Ancak özlük dosyasının zorunlu kapsamı dışına çıktığımızda açık rıza şarttır. Bu nedenle açıklama ve uyarılar bölümünde açıkladığımız bu ayrımı dikkatle okuyunuz.)

2.2. Çalışanın, özlük dosyasının içeriğini oluşturan kişisel verilerin işlenmesine ilişkin olarak hazırlanan muvafakatname örneklerinden kişisel verilerin kaydedilmesine muvafakat örneğini bu verilerin kanun gereği işleneceğine yönelik ve aydınlatma metnine ek bir belge olarak alınız. Bu muvafakati işe giriş sırasında muhakkak alınız, devam eden iş ilişkileri bakımından ise mutlaka tamamlayınız.

2.3. Özlük dosyasının tutulması kapsamında kanuni yükümlülük olarak işlenen, ancak Kişisel Verilerin Korunması Kanunu kapsamında “özel nitelikli kişisel veriler” arasında ayrıca düzenlenmiş bulunan “Sağlık Verileri” bakımından “sağlık bilgilerine erişilmesine dair muvafakatname” örneğini kullanarak çalışanın açık rızasını alınız.

(Prosedür notu 2; Sağlık ve cinsel hayata ilişkin kişisel veriler, açık rızanın dışında ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Dolayısıyla işyeri hekimliği bakımından bir hak, kanun bağışıklığı olan sağlık verilerinin işveren bakımından aynı statüde olup olmadığı tartışmalı olup, mutlaka sağlık verilerini işleme rızasını alınız. )

3. Açık Rızanın Alınmasını Gerektiren Diğer Haller ve İlgili Adımları

3.1. İşverenin denetim ve yönetim yükümlülüğü, koruma ve gözetme sorumluluğu sınırları içinde kalan ve kanundan doğan yükümlülüğünü yerine getirmek üzere işlediği çalışana ait kişisel verilerin dışında kalan, ancak yine de işverenlikçe işlenen/işlenmek istenen kişisel veriler bakımından işçinin ayrıca konuya özgü ve açık rızasının alınması gerekmektedir. Genel muvafakatnameler ileride ihtilaf yaşandığında yeterli görülmeyebilecektir. 

3.2. Örneğin,

-İşyerinde, elektronik postaların kontrol ve saklanması,

-görüntü ve ses kaydı alınması,

-özel eşya ve üst araması (kişisel verilere ulaşılması riskine binaen)

uygulamasına yönelik işlemler bakımından vermiş olduğumuz muvafakatname örneğini kullanarak işçinin bu uygulamalardan önce muvafakatini alınız.

3.3. İşçinin açık rızasının alınmasına yönelik diğer işyeri uygulamalarınız konusunda ise muvafakatname örneklerini özel duruma uyarlayarak kullanınız.

4. Aydınlatma Metni ile Muvafakatnamelerin Tamamının Tek Belge ile Sağlanması Örneği

Yukarıda prosedür adımlarında işlenecek kişisel verilerin özelliklerine göre özel olarak hazırlanan muvafakatname örneklerini iş akışı dahilinde tek tek kullanılmasının zorluğu ve evrak ve iş yoğunluğuna neden olacağını düşünerek (önerimiz bu şekilde kullanılması olduğunu hatırlatarak)  genel aydınlatma metni ve muvafakat içeren örneğini (ref. Genel aydınlatma ve muvafatname) kullanma yolunu tercih edebilirsiniz.

5. İşverenin Veri Sorumlusu olarak Veri Siciline Kayıt Yükümlülüğünüzü Yerine Getirme Adımı  

5.1. Veri Sorumlusu olarak, sicile kayıt şartlarını taşıması halinde Kişisel Verileri Koruma Kurumu nezdinde oluşturulan “Veri Sorumluları Sicil Bilgi Sistemi”ne kayıt olunması gerekmektedir. Bu nedenle işverenliğiniz bakımından bir veri sorumlusu seçiniz. Veri Sorumlusu, sadece çalışanların verileri ile sorumlu değildir, bu nedenle bu kişinin bu mevzuat kapsamında genel bir görev ifa ettiğini unutmayınız.

5.2. Veri kayıt sistemine kayıt bildirim ile yapılmaktadır. Bu bildirimde;  

• Veri sorumlusu ve varsa temsilcisinin kimlik ve adres bilgileri,
• Kişisel verilerin hangi amaçla işleneceği,
• Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,
• Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,
• Yabancı ülkelere aktarımı öngörülen kişisel veriler,
• Kişisel veri güvenliğine ilişkin alınan tedbirler,
• Kişisel verilerin işlendikleri amaç için gerekli olan azami süreye ilişkin bilgilere yer verilerek kayıt işlemi tamamlanır.

5.3. Veri Sorumluları Siciline kayıt https://verbis.kvkk.gov.tr/ adresi üzerinden yukarıdaki bilgi girişleri yapılarak tamamlayınız.

Mevzuat 

1- 6698 sayılı Kişisel Verilerin Korunması Kanunu

2- Veri Sorumluları Sicili Hakkında Yönetmelik

3- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

4- 4857 sayılı İş Kanunu

1- 6698 sayılı Kişisel Verilerin Korunması Kanunu:

Amaç 

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. 

Kapsam 

MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. 

Tanımlar 

MADDE 3- (1) Bu Kanunun uygulanmasında; 

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, 

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, 

c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, 

ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, 

d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, 

e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, 

f) Kurul: Kişisel Verileri Koruma Kurulunu, 

g) Kurum: Kişisel Verileri Koruma Kurumunu, 

ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,  

h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, 

ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.

Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. 

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: 

a) Hukuka ve dürüstlük kurallarına uygun olma. 

b) Doğru ve gerektiğinde güncel olma. 

c) Belirli, açık ve meşru amaçlar için işlenme. 

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. 

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. 

Kişisel verilerin işlenme şartları 

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. 

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 

a) Kanunlarda açıkça öngörülmesi. 

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. 

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. 

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. 

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Özel nitelikli kişisel verilerin işlenme şartları 

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. 

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. 

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. 

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi 

MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. 

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. 

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

2- Veri Sorumluları Sicili Hakkında Yönetmelik:

Kayıt yükümlülüğünün başlangıcı

MADDE 8 – (1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.

(2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.

(3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

Kayıt yükümlülüğü kapsamında iletilecek bilgiler

MADDE 9 – (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

b) Kişisel verilerin hangi amaçla işleneceği,

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,

e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;

a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,

f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alınır.

(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.

(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.

Kayıt başvurusu

MADDE 10 – (1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır. 

(2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan kayıt başvurusunu tamamlamak zorundadır.

Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri

MADDE 11 – (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.

(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.   

(3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde düzenlenir:

a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,

b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,

c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,

ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme,

d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.

(4) Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.

(5) Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.

3- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ :

Amaç ve kapsam

MADDE 1 – (1) Bu Tebliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemektir.

Dayanak

MADDE 2 – (1) Bu Tebliğ, 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 3 – (1) Bu Tebliğde geçen;

a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

ç) Kurul: Kişisel Verileri Koruma Kurulunu,

d) Kurum: Kişisel Verileri Koruma Kurumunu,

e) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,

f) Veri kayıt sistemi: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

g) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ğ) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayınlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi

ifade eder.

(2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.

Aydınlatma yükümlülüğünün kapsamı

MADDE 4 – (1) Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

Usul ve esaslar

MADDE 5 – (1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:

a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.

b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.

c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.

ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.

d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.

e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.

h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.

ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.

i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.

j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.

Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü

MADDE 6 – (1) Kişisel verilerin ilgili kişiden elde edilmemesi halinde;

a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,

b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,

c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada

ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.

Yürürlük

MADDE 7 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 8 – (1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.

4- 4857 sayılı İş Kanunu:

İşçi özlük dosyası 

Madde 75 - İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. 

İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.

İşin düzenlenmesine ilişkin hükümlere aykırılık 

Madde 104 - Bu Kanunun 63 üncü maddesinde ve bu maddede belirtilen yönetmelikte belirlenen çalışma sürelerine aykırı olarak işçilerini çalıştıran veya 68 inci maddesindeki ara dinlenmelerini bu maddeye göre uygulamayan veya işçileri 69 uncu maddesine aykırı olarak geceleri yedibuçuk saatten fazla çalıştıran; gece ve gündüz postalarını değiştirmeyen, 71 inci maddesi hükmüne ve bu maddenin son fıkrasında anılan yönetmelik hükümlerine aykırı hareket eden, 72 nci maddesi hükümlerine aykırı olarak bu maddede belirtilen yerlerde onsekiz yaşını doldurmamış erkek çocukları ve gençleri ve her yaştaki kadınları çalıştıran, 73 üncü maddesine aykırı olarak çocuk ve genç işçileri gece çalıştıran veya aynı maddede anılan yönetmelik hükümlerine aykırı hareket eden 74 üncü maddesindeki hükme aykırı olarak doğumdan önceki ve sonraki sürelerde gebe veya doğum yapmış kadınları çalıştıran veya ücretsiz izin vermeyen, 75 inci maddesindeki işçi özlük dosyalarını düzenlemeyen, 76 ncı maddesinde belirtilen yönetmelik hükümlerine uymayan işveren veya işveren vekiline binikiyüz Türk Lirası idari para cezası verilir. 

64 üncü (…) (3) maddede öngörülen hükümlere aykırı davranan işveren veya işveren vekiline bu durumda olan her işçi için ikiyüzyirmi Türk Lirası idari para cezası verilir.