Kişisel Verilerin Korunması Kanunu kapsamında İnsan Kaynakları (İK) Birimleri, hem işe alım süreçlerinin yürütülmesi (iş ilanı, başvuru formları, CV, mülakatlar vb.) hem de bağlı oldukları işyerinde çalışanların –işyerinden ayrılmış olsalar bile- tüm evraklarını temin etme, depolama ve muhafaza etme ile sorumlu oldukları için en riskli birimler arasında yer almaktadır. Bu nedenle İK Birimlerinin, bu süreçte kişisel verileri nasıl temin etmeleri gerektiği, hangi evraklar yönünden açık rıza alınmasına gerek olduğu, aydınlatma metinlerinin nasıl oluşturulması gerektiği vb. konularda eğitim alarak bilinçli hareket etmeleri yüksek önem taşımaktadır.
İşbu yazımız ile, İnsan Kaynakları Biriminin dikkat etmesi gereken hususlara dikkat çekilecek olup her işyeri konusu yönünden farklı mevzuatlara tabi olunacağından, Aydınlatma Metni ve Açık Rıza metinlerinin bu doğrultuda farklı şekillerde oluşturulması gerektiği için mutlaka bir danışman ile birlikte KVKK uyumluluk sürecinin yürütülmesinde fayda bulunduğunu belirtmek isteriz.
Yukarıda da değinmiş olduğumuz üzere, İnsan Kaynakları tarafından kişisel veriler iki başlık altında yer alan süreçler ile elde edilmektedir. Bunlardan ilki, işçinin işe alım süreci ile alınanlar olup diğeri işçinin çalıştığı sürece değerlendirilen kişisel verilerdir.
- İŞE ALIM SÜRECİNCE ALINAN VERİLER
İşe alım sürecinde, işyeri, kişinin işyerine uygun olup olmadığı, yapılacak iş konusunda deneyim sahibi olup olmadığı gibi konular hakkında bilgiler edinmek amacıyla birtakım kişisel verileri de kapsayan veri toplamaktadır.
Burada dikkat edilmesi gereken husus işverenin toplayacağı belgelerin ve mülakatta soracağı soruların işçinin mesleki bilgisini ölçmek ve meslek yaşantısı hakkında bilgi edinmek ile sınırlı tutulmasıdır.
6698 sayılı Kişisel Verilerin Korunması Kanununun 5.maddesinde rızanın hukuka uygunluk şartı oluşturacağını belirtmesinden hareketle işçinin işe alım sürecinde kişisel verilerini işverene bildirmesinde alınacak bir açık rıza hukuka uygunluk sebebi oluşturacaktır. Bu açık rızada sadece gerçekten gerekli olan verilerin yazılması, gelecekte ortaya çıkabilecek şeyleri garantiye almak amacıyla fazladan veri alınmamasına dikkat edilmesinde fayda vardır. Zira henüz İçtihatlar oluşmamakla birlikte, en çok sorunun bu noktadan kaynaklanacağı düşünülmektedir. Örneğin, Banka hesap bilgileri gibi, yalnızca işe alınacak adaydan edinilmesi gereken bilgileri işe başvuran bütün adaylardan talep edilmemelidir.
Şirket tarafından, İşe alım ve değerlendirme sürecinde yer alan çalışanların eğitimi sağlanmalıdır.
Elde edilen kişisel veri güvende tutulmalı ve paylaşılmamalıdır. İlgili kişinin rızası olmadan başka hiçbir kurumla paylaşılmamalıdır.
2. ÇALIŞMA SÜRESİNCE ALINAN VE MUHAFAZA EDİLEN VERİLER
Çalışana ait kişisel veriler, işçinin çalışması esnasında da işveren tarafından denetim ve çalışma düzeni gibi sebeplerle işlenmektedir. İşveren çalışma süresi boyunca işçinin kişisel verilerini elinde tutmakta ve belli kurumlara aktarmaktadır. Zira 4857 Sayılı İş Kanunu’nun 75.nci maddesi “İşveren çalıştırdığı her işçi için bir özlük dosyası düzenler. İşveren bu dosyada, işçinin kimlik bilgilerinin yanında, bu Kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.” hükmü amirdir. Bu kapsamda işyerinde bir özlük dosyası tutulmakta ve veriler bu dosya içerisinde muhafaza edilmekte, aktarılmaktadır.
Bu noktada devreye, hukuka uygunluk sebebi girmektedir. 6698 Sayılı KVK Kanunu’nun md.5/f.2/a maddesinde düzenlendiği üzere, eğer başka bir kanun verinin alınmasını emrediyor ise bu durumda hukuka uygunluk olacağından karşı tarafın rızasının alınmasına gerek bulunmamaktadır.
Bu durumda işveren, çalışma süresi boyunca işçiden Kanun kapsamında aldığı pek çok kişisel veriyi işlemekte olup 6698 Sayılı Kanun’un md.4/f.2 kapsamında sayılan ilkelere göre hareket etmesi ve gerekli aydınlatmaları yapması durumunda herhangi bir sorunla karşılaşmayacaktır. Burada dikkat edilmesi gerekilen husus, Kanunda yer alan emredici hüküm sebebiyle Açık Rıza alınmasına gerek olmamakla birlikte çalışana Aydınlatma Metni hazırlanarak imzalatılması gerekmektedir.
Kanunun emredici düzenlemelerinin yanı sıra, iş hayatı içerisinde işveren gerek iş disiplinini sağlamak gerek sair sebeplerden ötürü işçiye ait başka birtakım veriler daha almakta olup bu noktada KVK Kanunu çerçevesinde işçinin açık rızasının alınması gerekmektedir.
Kanun düzenlemeleri kapsamında, İK Birimi tarafından, çalışanlara ilişkin kayıtları güvende tutulmalı, basılı evraklar kilit altında, bilgisayar üzerindeki bilgiler ise şifrelenmelidir. Bu bilgilere yalnızca yetkilendirilmiş personelin erişimi sağlanmalıdır. Yetkilendirilen personeller açısından da, iş sözleşmelerinde bu yetkinin verildiği belirtilmeli ve özel bir gizlilik hükmünün bulunması gerekmektedir. Bilgilerin laptop ya da flashdisk gibi offline ortamlara aktarılmasının sınırlandırılması gereklidir. Verilerin interaktif, online ortamlarda saklanması halinde veri güvenliğine ilişkin program ve güvenlik duvarları kullanılmasının yanısıra veri güvenliği konusunda uzman hizmet sağlayıcılardan faydalanılması önerilir.
Çalışanların kamera kaydı gibi biyometrik veri alınması özel nitelikli kişisel veri olduğundan önem arz etmekte olup bu husus bakımından her işyeri iş konusu, bağlı olduğu mevzuat ve veri alınma amacı farklılık arz ettiğinden işyeri bazında danışmanlık alınmasına gerek bulunmaktadır.
Sonuç olarak; 6698 Sayılı KVK Kanunu özellikle insan kaynakları süreçlerinde elde edilen kişisel veriler bakımından büyük önem arz etmektedir. Uygulamada farklılıklar ile karşılaşmak mümkün olduğundan her işyeri bakımından bu sürecin bir danışman ile birlikte yürütülerek hem KVKK uyumluluğunun sağlanmasında hem de çalışanlara farkındalık eğitimi verilmesinde fayda bulunmaktadır.
