Çalışan Özlük Dosyaları Uyumu


NASIL YAPILIR?


Çalışan Özlük Dosyalarında KVKK Uyum İşlemleri Nasıl Uygulanır?

Çalışanların özlük dosyalarının uyumu ayrı bir başlık olarak incelenmekte ise de veri sorumlusu bünyesinde oluşturulan Kişisel Verileri Koruma Ekibi veya KVKK Komitesi çalışmaları genel uyum süreci ve çalışanların dosyalarının uyum süreci şeklinde eş zamanlı olarak da yürütülebilir. O nedenle bu başlığın ikinci sırada işlenmesi bu işlemlerin ikini sırada uygulanacağı anlamına gelmemektedir. 

 İŞLEMLERİN ÖZETİ

1. Özlük dosyalarının tümü bakımından iş süreçleri ve mevcut durum tespiti yapılması ; Çalışan adayları ile ilgili iş süreçlerinin ve mevcut  durum tespitinin yapılması, 

2. Çalışanlar ve çalışan adayları bakımından KVKK'ya UYUMLU hale getirilmiş iş süreçleri hazırlanması, 

3. Özlük dosyalarının uyumlu hale getirilmesi; 

3.1.Mevcut çalışanların uyumu bakımından çalışan aydınlatma metinlerinin hazırlanması ve yürürlüğe konulması, yeni çalışmaya başlayanlar bakımından uyumlu aydınlatma süreçlerinin oluşturulması,

3.2. Kişisel Verilerdeki Kanunda sayılan açık rıza gerektirmeyen uygulamaların tespiti ile  kanundaki uygulamalara girmemesi nedeniyle açık rıza gerektiren diğer iş süreçleri bakımından açık rızaların/ muvafakatnamelerin alınması, gereken bildirimlerin uygulanması, 

4. Hazırlanan yeni iş süreçlerinin uygun şekilde kişisel veri işleme envanterine işlenmesi, 

5. Güncelleme ve Denetim.


Prosedür Adımlarının Ayrıntılı Açıklanması: 

Bu prosedürde İşyerinizde çalışanlarınızla ilgili olarak;

        - işe alım öncesi, işe alım ve sonrasında,

        - veya işin devamında,

aday veya çalışandan alınan, işlenen, saklanan ve kullanılan kişisel verilerin, 6698 sayılı Kişisel Verilerin Korunması Kanununun yürürlüğe girmesi ile bu kanun gereğince “Veri Sorumlusu” sıfatıyla yüklenen sorumluluk çerçevesinde, verilerin güvenliğinin sağlanması ve korunması, imha edilmesi, yok edilmesi veya anonim hale getirilmesi  hususunda izlenilmesi gereken yollar anlatılmaktadır.


Uygulama Adımları: 

1-2- İşverenin KVKK Mevzuatına Uyum Konusundaki ilk yükümlülüğü, Mevcut Durum Tespiti ile KVKK ya Uyumlu Yeni İş Süreçlerinin Hazırlanması 

Özlük Dosyaları ve İş İlişkisine Dönüşmemiş Başvurular (CV, Başvuru) Bakımından Durum tespiti;  çalışanlardan hangi verilerin alındığı, ne amaçla alındığı, bunların alınmasının kanunen zorunlu olup olmadığı, kanunen zorunlu değil ise hangi sebeple alındığı, bu amaçların hukuken meşru (korunabilecek) bir amaç olup olmadığı noktalarında, veri  sorumlusu olarak verilerin kanuna uygun toplanması ve tutulması ile işlenmesi,  havuzda kanuna aykırı ve gereksiz çalışan verisinin toplanmasını engelleme, olanları yok etme, imha etme amacıyla yapılmalıdır. Ayrıca bu çalışma Veri Sorumlusu olarak İşverenin gerçekleştirdiği risk analizinin de önemli bir adımıdır. 

Bu kapsamda; 

a. Aday aşamasından istihdam aşamasına kadar iş sürecinizi gözden geçirerek, çalışanlardan işe başvuru aşaması dahil hangi iş süreci adımında, hangi verileri, bilgi ve belgeleri aldığınızı teker teker listeleyiniz, 

b. Belge ve adımların yanlarına bunların hangi amaçla yapıldığını, belgenin hangi amaçla alındığını, hukuki sebebin ne olduğunu, (sözleşme, kanuni yükümlülük, çalışan meşru menfaatleri vs) ,  ne kadar süre  ve ne şekilde işleneceğini, aktarma yapılıp yapılmayacağını, iş ilişkisi doğmamış olsa dahi veri elde edildikten sonra ne kadar süre saklanacağını, iş ilişkisinin başlaması halinde veri elde edildikten sonra veya  iş ilişkisi sona erdikten sonra ne kadar süre saklanmaya devam edileceğini, ne zaman imha edileceğini, yok edileceğini veya anonim hale getirileceğini listeye muhakkak işleyiniz. 

Bu suretle işe alma ve iş süresince aldığınız verilerin kanuna uygun hale gelmesiyle ilgili önemli bir adım atmış olacaksınız. 


3.Özlük Dosyasının Uyumlu Hale Getirilmesi 

3.1. Aydınlatma İşlemlerinin Tasarlanması ve Uygulamaya Konulması (mevcut çalışanlar ve yeni istihdam edilebilecekler bakımından)

Aydınlatma yükümlülüğü veri sorumlusunun en önemli  yükümlülüklerinden biridir. Bir işyerinde en büyük veri kaynaklarından-girişlerinden biri olan çalışanlar bakımından gerek adaylık gerek ise iş ilişkisinin başlamasından sonuna kadar aydınlatma yükümlülüğü tam olarak gerçekleştirilmelidir.

3.1.1. Aydınlatma Yükümlülüğünün Yerine Getirilmesi ve Adımları

3.1.2. Kişisel verilerin kanun gereğince veya ilgili hallerde işçinin açık rızasının alınması ile işlenmesi öncesinde çalışanın "kişisel verilerinin hangi amaçla ve kanuna göre hangi şartlara göre alındığına, işlendiğine, saklandığına, aktarılıp aktarılmadığına, saklama süresine dair bilgilendirmeye yönelik aydınlatma bildirimi" tüm çalışanlar bakımından genel ve tercihen yazılı olarak yapılmalıdır. Bu nedenle bir önceki başlık altında oluşan yeni iş süreçlerinize uygun yazılı aydınlatma metnini hazırlayınız.

3.1.3. İş ilişkisi başlangıcında veya kişisel verilerin kapsamının genişletilerek sonradan da işlenmesi gereğinin ortaya çıkması halinde, bu kapsamdaki veriler alınmadan ve işlenmeden evvel,  işyerinizin veri işleme politikasına uygun aydınlatma metnini hazırlayarak işçiye bildirim olarak sununuz, bu bildirimin yapıldığına dair imza alınız.

Daha evvel (Uyum çalışmalarına başlamadan evvel-ötedenberi)  tutmaya başladığınız özlük dosyaları bakımından da tüm özlük dosyalarını gözden geçirip yeni kişisel veri işleme politikanıza uygun hale getirdikten sonra çalışanlarınıza mevcut veri işleme ve devam edecek veri işleme faaliyetlerinize dayanak aydınlatmay yapınız ve özlük dosyalarına takınız. 

Aşağıda 3 numaralı başlıkta açıklanan "özlük dosyası tutulması" tek başına kapsamlı bir veri işleme faaliyetidir, bu faaliyette yetki kanundan  ve sözleşme tarafı olmaktan doğmaktadır ve genel olarak ayrıca rıza alınması gerekmez, ne var ki bu konuda da genel bir aydınlatma metnini, özel nitelikli verileri de içerebilecek şekilde  çalışanlara bildirmeniz gerekir. Çünkü rıza alınması gerekmemesi aydınlatma yükümlülüğünü ortadan kaldırmaz. 

3.2. Kişisel Verilerin Kanun Gereğince İşlenmesi ve Açık Rıza

3.2.1. Özlük dosyası oluşturmak iş ilişkisinin başlangıcından sonuna kadar işveren açısından kanundan doğan bir yükümlülük olup, özlük dosyasında tutulan kişisel veriler de ilgili kanun gereğince kanuna uygun olarak işlenmelidir. 

Dolayısıyla yukarıda açıklanan genel aydınlatma yükümlülüğü dışında, her çalışandan bu prosedürün gereği olarak bazı konularda (özel nitelikli kişisel veriler) açık rızalar alınması gerekebileceğini, ancak bazı konularda da kanun gereği yararlanılan bir hak ve hatta sorumluluk dolayısıyla bir bağışıklık (kapsam dışı olma-rıza almaya gerek olmama) olduğunu hatırlayınız.

(Prosedür notu;  Kişisel veriler kural olarak yani Kanundaki diğer bağışıklık halleri yok ise ilgili kişinin (veri sahibinin) açık rızası ile işlenebilmektedir. Ancak açık rızanın aranmayacağı haller Kanunda sınırlı olarak sayılmaktadır. Bu şartlarından birisi de veri işlemenin kanunlarda açıkça öngörülmüş olmasıdır. İş ilişkisi gereğince kural olarak, özlük dosyasında tutulacak olan çalışanlara ait kişisel veriler İş Kanunu’nda düzenlenmiş olması dolayısıyla açık rıza aranmaksızın işlenebilecektir. Ancak özlük dosyasının zorunlu kapsamı dışına çıktığımızda  veya özel nitelikli veri olması nedeniyle işlenmesi kanuni yükümlülük de olsa açık rıza şartı getirilmiş olan kişisel verilerde açık rıza şarttır. Bu verilerden örneğin sağlık verileri sadece işyeri hekimi veya sağlık görevlisi tarafından işlenilebilecektir. Bu nedenle açıklama ve uyarılar bölümünde açıkladığımız bu ayrımı dikkatle okuyunuz.)

3.2.2. Çalışanın, özlük dosyasının içeriğini oluşturan kişisel verilerin işlenmesine ilişkin olarak hazırlanan muvafakatname örneklerinden kişisel verilerin kaydedilmesine muvafakat örneğini bu verilerin kanun gereği işleneceğine yönelik ve aydınlatma metnine ek bir belge olarak alınız. Bu muvafakati işe giriş sırasında muhakkak alınız, devam eden iş ilişkileri bakımından ise mutlaka tamamlayınız.

3.2.3. Özlük dosyasının tutulması kapsamında kanuni yükümlülük olarak işlenen, ancak Kişisel Verilerin Korunması Kanunu kapsamında “özel nitelikli kişisel veriler” arasında ayrıca düzenlenmiş bulunan “Sağlık Verileri” bakımından “sağlık bilgilerine erişilmesine dair muvafakatname” örneğini kullanarak çalışanın açık rızasını alınız. Bu muvafakatnameyi tüm sağlık verileri işyeri dosyasında tutulsa da tamamlayınız.

(Prosedür notu 2; Özlük dosyası bakımından Sağlık ve cinsel hayata ilişkin kişisel veriler, açık rızanın dışında ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla; sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebilir. Dolayısıyla işyeri hekimliği bakımından bir hak, kanun bağışıklığı olan sağlık verilerinin işveren bakımından aynı statüde olup olmadığı tartışmalı olup, mutlaka sağlık verilerini işleme rızasını alınız. )

3.2.4. Açık Rızanın Alınmasını Gerektiren Diğer Haller 

3.2.4.1. İşverenin denetim ve yönetim yükümlülüğü, koruma ve gözetme sorumluluğu sınırları içinde kalan ve kanundan doğan yükümlülüğünü yerine getirmek üzere işlediği çalışana ait kişisel verilerin dışında kalan, ancak yine de işverenlikçe işlenen/işlenmek istenen kişisel veriler bakımından işçinin ayrıca konuya özgü ve açık rızasının alınması gerekmektedir. Genel muvafakatnameler ileride ihtilaf yaşandığında yeterli görülmeyebilecektir. 

3.2.4.2. Örneğin,

-İşyerinde, elektronik postaların kontrol ve saklanması,

-görüntü ve ses kaydı alınması, özellikle görüntü kayıtlarının işyeri içinde veya internet sitesinde farklı amaçlar ile işlenmesi, 

-özel eşya ve üst araması (kişisel verilere ulaşılması riskine binaen)

uygulamasına yönelik işlemler bakımından vermiş olduğumuz muvafakatname örneğini kullanarak işçinin bu uygulamalardan önce muvafakatini alınız.

3.2.4.3. İşçinin açık rızasının alınmasına yönelik diğer işyeri uygulamalarınız konusunda ise muvafakatname örneklerini özel duruma uyarlayarak kullanınız.


4. Hazırlanan Yeni İş Süreçlerinin Uygun Şekilde Kişisel Veri İşleme Envanterine İşlenmesi

Uyumlu hale getirilen iş süreçleri dikkate alınarak İk birimi kişisel veri envanterindeki  kendi departmanına özgü bilgileri ve özellikleri düzenler. 


5.Denetim ve Güncelleme Yapılması

Kişisel veri işlenmesi her gün gerçekleşen ve işletme ayakta olduğu sürece, hatta sona erdikten sonra da, yasal süreler içinde vaktiyle işlenmiş ve yok edilmemiş verileri koruma, vakti geldiğinde yok etme zorunluluğu anlamında sürekli devam eden, hayatın içinde bir konusudur. O nedenle bu çalışmaların güncel bir şekilde sürdürülmesi, hatta zaman zaman da konunun önemi ve ihlallerin ciddi ve sert yaptırımlara bağlanmış olması nedeniyle uyumluluk, uygunluk denetiminin periodik olarak gerçekleştirilmesi gerekir. 

O nedenle İşyeri içinde var ise iç denetim birimi bu birim tarafından, yok ise KVKK konusunda periodik olarak 6 ayda bir oluşturulacak 3 kişilik  bir denetim ekibi ile denetim gerçekleştirilmelidir. 




Devamını Gör
İLGİLİ MEVZUAT


Mevzuat 

1- 6698 sayılı Kişisel Verilerin Korunması Kanunu

2- Veri Sorumluları Sicili Hakkında Yönetmelik

3- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ

4- 4857 sayılı İş Kanunu



1- 6698 sayılı Kişisel Verilerin Korunması Kanunu:

Amaç 

MADDE 1- (1) Bu Kanunun amacı, kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. 

Kapsam 

MADDE 2- (1) Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır. 

Tanımlar 

MADDE 3- (1) Bu Kanunun uygulanmasında; 

a) Açık rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rızayı, 

b) Anonim hâle getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesini, 

c) Başkan: Kişisel Verileri Koruma Kurumu Başkanını, 

ç) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi, 

d) Kişisel veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi, 

e) Kişisel verilerin işlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi, 

f) Kurul: Kişisel Verileri Koruma Kurulunu, 

g) Kurum: Kişisel Verileri Koruma Kurumunu, 

ğ) Veri işleyen: Veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi,  

h) Veri kayıt sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemini, 

ı) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi, ifade eder.

Genel ilkeler

MADDE 4- (1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. 

(2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: 

a) Hukuka ve dürüstlük kurallarına uygun olma. 

b) Doğru ve gerektiğinde güncel olma. 

c) Belirli, açık ve meşru amaçlar için işlenme. 

ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. 

d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme. 

Kişisel verilerin işlenme şartları 

MADDE 5- (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. 

(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 

a) Kanunlarda açıkça öngörülmesi. 

b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. 

c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. 

ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. 

d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. 

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. 

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması. Özel nitelikli kişisel verilerin işlenme şartları 

MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. 

(2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. 

(3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. 

(4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi 

MADDE 7- (1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir. 

(2) Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümler saklıdır. 

(3) Kişisel verilerin silinmesine, yok edilmesine veya anonim hâle getirilmesine ilişkin usul ve esaslar yönetmelikle düzenlenir.

2- Veri Sorumluları Sicili Hakkında Yönetmelik:

Kayıt yükümlülüğünün başlangıcı

MADDE 8 – (1) Veri sorumluları, kişisel veri işlemeye başlamadan önce Sicile kayıt yükümlülüklerini yerine getirmek zorundadır.

(2) Kayıt yükümlülüğü altında bulunmayan, sonradan kayıt yükümlüsü haline gelen veri sorumluları, yükümlülük altına girmelerini müteakip otuz gün içerisinde Sicile kaydolurlar.

(3) Kayıt yükümlülüğü altında bulunan veri sorumluları, herhangi bir fiili, teknik ya da hukuki imkânsızlık nedeniyle kayıt yükümlülüklerinin yerine getirilememesi halinde, bu imkânsızlığın ortaya çıktığı tarihten itibaren en geç 7 iş günü içerisinde Kuruma yazılı olarak başvurmak ve gerekçesini belirtmek şartıyla, kayıt yükümlülüklerini yerine getirmek için Kurumdan ek süre talep edebilirler. Kurum, bir defaya mahsus olmak ve her halde otuz günü geçmemek üzere ek süre verebilir.

Kayıt yükümlülüğü kapsamında iletilecek bilgiler

MADDE 9 – (1) Sicile yapılan kayıt başvurusu aşağıdaki bilgileri içerir:

a) Veri sorumlusu, varsa veri sorumlusu temsilcisi ve irtibat kişisine ait kimlik ve adres bilgilerine ilişkin Kurul tarafından belirlenecek başvuru formunda yer alan bilgiler,

b) Kişisel verilerin hangi amaçla işleneceği,

c) Veri konusu kişi grubu ve grupları ile bu kişilere ait veri kategorileri hakkındaki açıklamalar,

ç) Kişisel verilerin aktarılabileceği alıcı veya alıcı grupları,

d) Yabancı ülkelere aktarımı öngörülen kişisel veriler,

e) Kanunun 12 nci maddesinde öngörülen ve Kurul tarafından belirlenen kriterlere göre alınan tedbirler,

f) Kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresi.

(2) Veri sorumluları tarafından birinci fıkranın (b), (c), (ç) ve (d) bentleri uyarınca Sicile açıklanacak bilgiler; Kişisel Veri İşleme Envanterine dayalı olarak VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(3) Veri sorumluları tarafından birinci fıkranın (e) bendi uyarınca Sicile açıklanacak bilgiler; Kanunun 12 nci maddesinde belirtilen hususları kapsayacak şekilde VERBİS’te belirtilen başlıklar kullanılarak VERBİS üzerinden Sicile iletilir.

(4) Veri sorumluları tarafından birinci fıkranın (f) bendi uyarınca Sicile açıklanacak kişisel verilerin mevzuatta öngörülen veya işlendikleri amaç için gerekli olan azami muhafaza edilme süresine ilişkin bilgiler veri kategorileri ile eşleştirilerek Sicile bildirilir. Veri sorumlusu tarafından Sicile bildirilen veri kategorilerinin işleme amaçları ve bu amaçlara dayalı olarak işlenmeleri için gerekli olan azami muhafaza edilme süreleri ile mevzuatta öngörülen süreler farklı olabilir. Bu durumda mevzuatta azami muhafaza edilme süresi öngörülmüşse öngörülen bu süre yoksa bunlardan en uzun süre esas alınarak bu veri kategorisi için Sicile bildirim yapılır. Kişisel verilerin işlendikleri amaç için gerekli olan azami muhafaza edilme süresi belirlenirken;

a) İlgili veri kategorisinin işlenme amacı kapsamında veri sorumlusunun faaliyet gösterdiği sektörde genel teamül gereği kabul edilen süre,

b) İlgili veri kategorisinde yer alan kişisel verinin işlenmesini gerekli kılan ve ilgili kişiyle tesis edilen hukuki ilişkinin devam edeceği süre,

c) İlgili veri kategorisinin işlenme amacına bağlı olarak veri sorumlusunun elde edeceği meşru menfaatin hukuka ve dürüstlük kurallarına uygun olarak geçerli olacağı süre,

ç) İlgili veri kategorisinin işlenme amacına bağlı olarak saklanmasının yaratacağı risk, maliyet ve sorumlulukların hukuken devam edeceği süre,

d) Belirlenecek azami sürenin ilgili veri kategorisinin doğru ve gerektiğinde güncel tutulmasına elverişli olup olmadığı,

e) Veri sorumlusunun hukuki yükümlülüğü gereği ilgili veri kategorisinde yer alan kişisel verileri saklamak zorunda olduğu süre,

f) Veri sorumlusu tarafından, ilgili veri kategorisinde yer alan kişisel veriye bağlı bir hakkın ileri sürülmesi için belirlenen zamanaşımı süresi,

dikkate alınır.

(5) Veri sorumluları, kişisel verilerin işlendikleri amaç için gerekli olan azami sürenin belirlenmesi, bu sürelerin kişisel veri işleme envanterinde belirtilen bilgilerle uyumu ve azami sürenin aşılıp aşılmadığının takibi için kişisel veri saklama ve imha politikası hazırlayarak, bu politikanın uygulanmasını temin ederler.

(6) VERBİS içerisinde belirtilen başlıkların ve içeriklerinin, veri sorumlusunun gerçekleştirdiği faaliyetleri ve Sicile iletmesi gereken bilgileri tam olarak kapsamaması durumunda; veri sorumlusu bu bilgileri ayrıca VERBİS içerisinde bu amaca ilişkin ayrılan “Diğer” başlıklı bölümlere girerek Sicile bildirimini tamamlar.

Kayıt başvurusu

MADDE 10 – (1) Veri sorumluları, 9 uncu maddede belirtilen bilgileri VERBİS’e yüklemek suretiyle kayıt yükümlülüğünü yerine getirmiş sayılır. 

(2) Kurum tarafından 8 inci maddenin üçüncü fıkrasında belirtildiği üzere kendilerine ek süre verilmiş olan veri sorumluları, bu süre tamamlanmadan kayıt başvurusunu tamamlamak zorundadır.

Veri sorumlusu, veri sorumlusu temsilcisi ve irtibat kişisinin yükümlülükleri

MADDE 11 – (1) Tüzel kişilerde veri sorumlusu tüzel kişiliğin kendisidir. Türkiye’de yerleşik olan tüzel kişilerin Kanun kapsamındaki veri sorumlusu yükümlülükleri, ilgili mevzuat hükümlerine göre tüzel kişiliği temsil ve ilzama yetkili organ veya ilgili mevzuatta belirtilen kişi veya kişiler marifetiyle yerine getirilir. Tüzel kişiliği temsile yetkili organ, Kanunun uygulanması bakımından yerine getirilecek yükümlülükler ile ilgili olarak bir veya birden fazla kişiyi görevlendirebilir. Bu görevlendirme Kanun hükümleri uyarınca tüzel kişiliğin sorumluluğunu ortadan kaldırmaz.

(2) Türkiye’de yerleşik olmayan veri sorumlusunun, veri sorumlusu temsilcisi atanmasına ilişkin yetkili organı veya kişisi tarafından alınacak kararın tasdikli örneği, kayıt başvurusu sırasında veri sorumlusu temsilcisi tarafından Kuruma sunulur.   

(3) Veri sorumlusu temsilcisi atama kararı, asgari olarak aşağıda belirtilen hususları kapsayacak şekilde düzenlenir:

a) Kurum tarafından yapılan tebligat veya yazışmaları veri sorumlusu adına tebellüğ veya kabul etme,

b) Kurum tarafından veri sorumlusuna yöneltilen talepleri veri sorumlusuna iletme, veri sorumlusundan gelecek cevabı Kuruma iletme,

c) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilerin Kanunun 13 üncü maddesinin birinci fıkrası uyarınca veri sorumlusuna yönelteceği başvuruları veri sorumlusu adına alma ve veri sorumlusuna iletme,

ç) Kurul tarafından başkaca bir esasın belirlenmemiş olması halinde; ilgili kişilere Kanunun 13 üncü maddesinin üçüncü fıkrası uyarınca veri sorumlusunun cevabını iletme,

d) Veri sorumlusu adına Sicile ilişkin iş ve işlemleri yapma.

(4) Türkiye’de yerleşik olan tüzel kişiler Sicile kayıt sırasında irtibat kişisi bilgilerini Sicile işlerler. İrtibat kişisi veri sorumlusunu Kanun ve Yönetmelik hükümlerine göre temsile yetkili değildir. İrtibat kişisi, ilgili kişilerin veri sorumlusuna yönelteceği taleplerin cevaplandırılması konusunda iletişimi sağlar.

(5) Kamu kurum ve kuruluşlarında irtibat kişisi, üst düzey yönetici tarafından Kurum ile iletişimi sağlamak amacıyla belirlenerek Sicile kaydı yapılan daire başkanı veya üstü yöneticidir.


3- Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ :

Amaç ve kapsam

MADDE 1 – (1) Bu Tebliğin amacı, 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununun 10 uncu maddesi uyarınca veri sorumluları veya yetkilendirdiği kişilerce yerine getirilmesi gereken aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasları belirlemektir.

Dayanak

MADDE 2 – (1) Bu Tebliğ, 6698 sayılı Kişisel Verilerin Korunması Kanununun 22 nci maddesinin birinci fıkrasının (e) ve (g) bentlerine dayanılarak hazırlanmıştır.

Tanımlar

MADDE 3 – (1) Bu Tebliğde geçen;

a) Alıcı grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisini,

b) İlgili kişi: Kişisel verisi işlenen gerçek kişiyi,

c) Kanun: 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanununu,

ç) Kurul: Kişisel Verileri Koruma Kurulunu,

d) Kurum: Kişisel Verileri Koruma Kurumunu,

e) Sicil: Başkanlık tarafından tutulan Veri Sorumluları Sicilini,

f) Veri kayıt sistemi: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortamı,

g) Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi,

ğ) Veri sorumlusu temsilcisi: Türkiye’de yerleşik olmayan veri sorumlularını 30/12/2017 tarihli ve 30286 sayılı Resmî Gazete’de yayınlanan Veri Sorumluları Sicili Hakkında Yönetmeliğin 11 inci maddesinin ikinci fıkrasında belirtilen konularda asgari temsile yetkili Türkiye’de yerleşik tüzel kişi ya da Türkiye Cumhuriyeti vatandaşı gerçek kişiyi

ifade eder.

(2) Bu Tebliğde yer almayan tanımlar için Kanundaki tanımlar geçerli olacaktır.

Aydınlatma yükümlülüğünün kapsamı

MADDE 4 – (1) Kanunun 10 uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerekmektedir. Bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak aşağıdaki konuları içermesi gerekmektedir:

a) Veri sorumlusunun ve varsa temsilcisinin kimliği,

b) Kişisel verilerin hangi amaçla işleneceği,

c) Kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,

ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi,

d) İlgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları.

Usul ve esaslar

MADDE 5 – (1) Veri sorumlusu ya da yetkilendirdiği kişi tarafından sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortam kullanılmak suretiyle aydınlatma yükümlülüğünün yerine getirilmesi esnasında aşağıda sayılan usul ve esaslara uyulması gerekmektedir:

a) İlgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğü yerine getirilmelidir.

b) Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğü ayrıca yerine getirilmelidir.

c) Veri sorumlusunun farklı birimlerinde kişisel veriler farklı amaçlarla işleniyorsa, aydınlatma yükümlülüğü her bir birim nezdinde ayrıca yerine getirilmelidir.

ç) Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgiler, Sicile açıklanan bilgilerle uyumlu olmalıdır.

d) Aydınlatma yükümlülüğünün yerine getirilmesi, ilgili kişinin talebine bağlı değildir.

e) Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı veri sorumlusuna aittir.

f) Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir.

g) Aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması gerekir. Aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemelidir. Gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadeler kullanılmamalıdır.

ğ) Aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerekmektedir.

h) Kanunun 10 uncu maddesinin birinci fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kasıt, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanunun 5 ve 6 ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlendiğidir. Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerekmektedir.

ı) Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı grupları belirtilmelidir.

i) Aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiği açık bir şekilde belirtilmelidir.

j) Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemelidir.

Kişisel verilerin ilgili kişiden elde edilmemesi halinde aydınlatma yükümlülüğü

MADDE 6 – (1) Kişisel verilerin ilgili kişiden elde edilmemesi halinde;

a) Kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde,

b) Kişisel verilerin ilgili kişi ile iletişim amacıyla kullanılacak olması durumunda, ilk iletişim kurulması esnasında,

c) Kişisel verilerin aktarılacak olması halinde, en geç kişisel verilerin ilk kez aktarımının yapılacağı esnada

ilgili kişiyi aydınlatma yükümlülüğünün yerine getirilmesi gerekir.

Yürürlük

MADDE 7 – (1) Bu Tebliğ yayımı tarihinde yürürlüğe girer.

Yürütme

MADDE 8 – (1) Bu Tebliğ hükümlerini Kişisel Verileri Koruma Kurumu Başkanı yürütür.


4- 4857 sayılı İş Kanunu:

İşçi özlük dosyası 

Madde 75 - İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır. 

İşveren, işçi hakkında edindiği bilgileri dürüstlük kuralları ve hukuka uygun olarak kullanmak ve gizli kalmasında işçinin haklı çıkarı bulunan bilgileri açıklamamakla yükümlüdür.

İşin düzenlenmesine ilişkin hükümlere aykırılık 

Madde 104 - Bu Kanunun 63 üncü maddesinde ve bu maddede belirtilen yönetmelikte belirlenen çalışma sürelerine aykırı olarak işçilerini çalıştıran veya 68 inci maddesindeki ara dinlenmelerini bu maddeye göre uygulamayan veya işçileri 69 uncu maddesine aykırı olarak geceleri yedibuçuk saatten fazla çalıştıran; gece ve gündüz postalarını değiştirmeyen, 71 inci maddesi hükmüne ve bu maddenin son fıkrasında anılan yönetmelik hükümlerine aykırı hareket eden, 72 nci maddesi hükümlerine aykırı olarak bu maddede belirtilen yerlerde onsekiz yaşını doldurmamış erkek çocukları ve gençleri ve her yaştaki kadınları çalıştıran, 73 üncü maddesine aykırı olarak çocuk ve genç işçileri gece çalıştıran veya aynı maddede anılan yönetmelik hükümlerine aykırı hareket eden 74 üncü maddesindeki hükme aykırı olarak doğumdan önceki ve sonraki sürelerde gebe veya doğum yapmış kadınları çalıştıran veya ücretsiz izin vermeyen, 75 inci maddesindeki işçi özlük dosyalarını düzenlemeyen, 76 ncı maddesinde belirtilen yönetmelik hükümlerine uymayan işveren veya işveren vekiline binikiyüz Türk Lirası idari para cezası verilir. 

64 üncü (…) (3) maddede öngörülen hükümlere aykırı davranan işveren veya işveren vekiline bu durumda olan her işçi için ikiyüzyirmi Türk Lirası idari para cezası verilir. 




İndirilebilir Evraklara Göz Atın

Bordro Talep Dilekçesi (KVKK Uyumlu)

E-STORE

Bordro Talep Dilekçesi (KVKK Uyumlu) FORMUNU İNDİR

E-STORE

Çalışan KVK İşlenmesi Politikası

E-STORE

Çalışan KVK İşlenmesi Politikası FORMUNU İNDİR

E-STORE

Çalışan KVKK Aydınlatma Metni

E-STORE

Çalışan KVKK Aydınlatma Metni FORMUNU İNDİR

E-STORE

Çalışanın Fotoğraf ve Video Kayıtlarının İnternet Sayfasında veya Sosyal Medya Hesaplarında Yayınlanmasına İlişkin Açık Rıza

E-STORE

Çalışanın Fotoğraf ve Video Kayıtlarının İnternet Sayfasında veya Sosyal Medya Hesaplarında Yayınlanmasına İlişkin Açık Rıza FORMUNU İNDİR

E-STORE

Çalışanın Kişisel Verilerin Korunması Hakkında Taahhüdü

E-STORE

Çalışanın Kişisel Verilerin Korunması Hakkında Taahhüdü FORMUNU İNDİR

E-STORE

Çalışanın KVKK Kapsamında İhlali-İhmali Sebebiyle Savunmaya Davet Edilmesi Örneği

E-STORE

Çalışanın KVKK Kapsamında İhlali-İhmali Sebebiyle Savunmaya Davet Edilmesi Örneği FORMUNU İNDİR

E-STORE

E-Posta ve Telefon Kayıtlarının İzlenmesine Dair Açık Rıza Metni

E-STORE

E-Posta ve Telefon Kayıtlarının İzlenmesine Dair Açık Rıza Metni FORMUNU İNDİR

E-STORE

Genel Aydınlatma ve Muvafakatname

E-STORE

Genel Aydınlatma ve Muvafakatname FORMUNU İNDİR

E-STORE

İş Başvuru Formu

E-STORE

İş Başvuru Formu FORMUNU İNDİR

E-STORE

İşyeri Araçlarının GPS İie İzlenmesine Dair Açık Rıza Metni

E-STORE

İşyeri Araçlarının GPS İie İzlenmesine Dair Açık Rıza Metni FORMUNU İNDİR

E-STORE

İşyeri İçinde Paylaşılan Fotoğraflara İlişkin Açık Rıza Metni

E-STORE

İşyeri İçinde Paylaşılan Fotoğraflara İlişkin Açık Rıza Metni FORMUNU İNDİR

E-STORE

Kişisel Bilgilerin Kaydedilmesine İlişkin Açık Rıza

E-STORE

Kişisel Bilgilerin Kaydedilmesine İlişkin Açık Rıza FORMUNU İNDİR

E-STORE

Kişisel Veri İşleyen Erişen Kullanan Çalışan Taahhütnamesi

E-STORE

Kişisel Veri İşleyen Erişen Kullanan Çalışan Taahhütnamesi FORMUNU İNDİR

E-STORE

KVKK İhlali Gerekçesiyle Tazminatsız Fesih Bildirimi

E-STORE

KVKK İhlali Gerekçesiyle Tazminatsız Fesih Bildirimi FORMUNU İNDİR

E-STORE

KVKK İhlali Nedeni ile Tazminatlı Fesih Bildirimi

E-STORE

KVKK İhlali Nedeni ile Tazminatlı Fesih Bildirimi FORMUNU İNDİR

E-STORE

Referans Araştırması Yapılmasına İlişkin Açık Rıza

E-STORE

Referans Araştırması Yapılmasına İlişkin Açık Rıza FORMUNU İNDİR

E-STORE

Sağlık Bilgilerinin Toplanmasına İlişkin Açık Rıza

E-STORE

Sağlık Bilgilerinin Toplanmasına İlişkin Açık Rıza FORMUNU İNDİR

E-STORE

Ses ve Görüntü Kaydı Alınmasına İlişkin Açık Rıza Metni

E-STORE

Ses ve Görüntü Kaydı Alınmasına İlişkin Açık Rıza Metni FORMUNU İNDİR

E-STORE