Sirküler Numarası Dayanak Kanun Mevzuat Adı Konu : 2016 / 02 : 6698 : Kişisel Verilerin Korunması Kanunu 6698 Sayılı Kanun Çerçevesinde Çalışanlarına Ait : Şirketlerin, Verileri Kullanma Hakkı 1- Kişisel Veri Nedir Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder. 2- Kişisel Verilerin İşlenmesi Nedir Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder. 3- Kişisel Verilerin İşlenme Şartları (1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: a) Kanunlarda açıkça öngörülmesi. b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması. ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması. e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması. f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması 1 4- Özel Nitelikli Kişisel Verilerin İşlenme Şartları (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır. (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır. 5-Kişisel Verilerin Aktarılması (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında, belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır. Değerlendirme Şirketler çalıştırdıkları personele ait özlük (sicil) dosyasında ve şirket kayıtlarında yer alan bilgileri, 6698 sayılı kanunun 5 inci maddesinin ikinci fıkrasının (ç) ve (e) bendi kapsamında ilgilinin açık rızası olmaksızın işleyebilir. Aynı kanunun 8 inci maddesinin ikinci fıkrasının (a) bendi kapsamında ilgilinin rızası olmaksızın yurt içinde üçüncü kişilere aktarabilir. Kişisel verilerin yurtdışına aktarılması halinde bahse konu kanunun 9 uncu maddesine riayet edilmesi gerekmektedir. İş başvuru formlarında yer alan, üye olduğunuz sendika ve/veya vakıflar sorusu, 6 ıncı maddenin birinci fıkrası gereği özel nitelikli kişisel veri olduğundan bu bilgilerin paylaşılmasında ilgilinin açık rızası gerekmektedir. Bu kanuna muhalefet eden işverenler hakkında 17 nci ve 18 inci madde kapsamında cezai işlem uygulanır. Örnek 1: Sigorta Prim Teşviklerinden faydalanmak isteyen bir şirket, personeline ait verileri danışmanlık hizmeti aldığı firmaya vermesi zorunludur. Çünkü şirketin kanundan doğan bir hakkını kullanabilmesi bu verilerin işlenmesine bağlıdır. Böyle bir durumda şirket hakkında cezai işlem tesis edilmesi söz konusu değildir. 2 Örnek 2: Bordrolama hizmeti satın alan şirket, SGK E-Bildirge şifrelerini, bu hizmeti sunan şirkete vermesi, 6698 sayılı Kanunun 5 inci maddesinin ikinci fıkrasının (ç) bendi kapsamında değerlendirilir. Böyle bir durumda şirket hakkında cezai işlem tesis edilmesi söz konusu değildir. Bilgilerinize Sunulur. Saygılarımızla… Not: Sirkülerimiz bilgilendirme amaçlı olduğundan tereddüt edilen bir husus bulunması halinde işlem tesis etmeden önce tarafımıza yazılmasını rica eder, yalnızca sirkülerdeki açıklamalar dayanak gösterilmek suretiyle yapılacak işlemler sonucunda doğacak zararlardan şirketimizin sorumlu olmayacağını hatırlatmak isteriz. Soru, görüş, eleştiri ve önerilerinizi [email protected] adresine gönderebilirsiniz. 3