Önemsiz gibi gözüken hususların zaman içerisinde ciddi yaptırımları olarak karşımıza geleceğini düşünerek bu sayı ki yazımda Kişisel Verilerin Korunması Kanunu’nun (KVKK) hayatımıza girmesiyle ‘İnsan Kaynakları’ uygulamalarında kullanımı ile ilgili konulara dikkat çekmek istedim.
İşe başvuru sürecinde kişisel verilerin korunması;
İşe başvuru sürecinde adaylardan kişisel verilerin istenmesi Kişisel Verilerin Korunması Kanunu kapsamında değerlendirilmelidir. Adayın, kişisel bilgilerinin neden toplandığını ve nasıl kullanılacağını bilmesi gerekmektedir. Kanun verilerin toplanması, saklanması işlenmesi sürecini belli prensiplere bağlamaktadır. Adayların kişisel bilgilerini kime ilettiklerini bilmesi gerekir. Elde edilen kişisel veri amacına uygun kullanılmalıdır.
Adaylardan ihtiyaç duyulandan daha fazla bilgi talep edilmemelidir. Kişisel verilerin amaçla bağlantılı ve sınırlı olması gerekmektedir. İş başvuru formları bu hususa dikkat edilerek hazırlanmalıdır. Belli bir pozisyon için talep edilmesi gereken kişisel veri, diğer pozisyonlara başvuran adaylardan talep edilmemelidir. Örneğin; yalnızca şoför pozisyonuna başvuran kişilerden daha önce trafik cezası bulunup bulunmadığı bilgisi ya da ehliyetine ilişkin bilgiler istenmelidir. Elde edilen kişisel veri güvende tutulmalı ve paylaşılmamalıdır. İlgili kişinin rızası olmadan başka hiçbir kurumla paylaşılmamalıdır.
Başvuru süreci tamamlandıktan sonra adaylara başvuru kaydının ne kadar süre ile bilgi amaçlı tutulacağı ve kayıtlar silinecek ise silinme yönteminin ne şekilde olacağı bilgisinin verilmesi önerilendir. Tabii ki pratik hayatta bunun nasıl olacağı iyice planlanmalıdır.
Çalışanlara ait kişisel verilerde ise;
Çalışanlara kendilerine ilişkin kayıtların tutulmakta olduğunun ve ne amaçla kullanılacağının bildirilmesi gerekmektedir. Hangi bilgilerin tutulacağı, üçüncü kişilerle hangi bilgilerin paylaşılacağı ile ilgili “Aydınlatma Metinleri” verilmeli ve “Açık Rıza ve Onayları” alınmalıdır. Çalışanlara ilişkin kayıtları güvende tutulmalı, basılı evraklar kilit altında, bilgisayar üzerindeki bilgiler ise şifrelenmelidir. Bu bilgilere yalnızca yetkilendirilmiş personelin erişimi sağlanmalıdır.
Çalışanların kendileri hakkında tutulan bilgilere erişme hakkı vardır. Kanun’da öngörüldüğü üzere çalışanın bilgi talebine 30 gün içinde cevap verilmelidir. İşten ayrılan özellikle 10 yılı geçen çalışanlara ait kişisel bilgilerin takibi diğer önemli konulardan bir tanesidir. Bu bilgiler tamamen silinecek mi, yoksa belli kişilerin yetkileri ile erişimi sağlanacağı netleştirilmelidir.
Çalışan verilerine erişimi olanların sözleşmelerinde bu verilere ilişkin gizlilik hükümlerinin konulması da önemli bir husustur.
Bilgilerin laptop ya da flashdisk gibi offline ortamlara aktarılmasının sınırlandırılması da önem arz eder.
Şirketler KVKK eğitimlerini sadece işe alım ve değerlendirme sürecinde yer alan çalışanlara değil, tüm yönetici ve işe alım süreçlerine dahil olan çalışanlarına aldırmalıdır. Çalışanların kişisel verilerin korunmasına ilişkin kurallardan haberdar olduklarından ve kişisel verilere bu kurallar kapsamında yaklaştıklarından emin olunmalıdır.
KVKK da önemli hususlardan biri de “Veri Güvenliği”dir. Veri güvenliğinden sorumlu olanlara sorumluluklarını hatırlatıcı eğitimler verilmelidir.
Konunun ciddiyeti henüz yeteri kadar kavranamamış olabilir, ancak ilerleyen günlerde gereken hassasiyet ve önemin gün geçtikçe yaygınlaşacağını düşünüyorum.
İnsan Kaynakları ve KVKK Uygulamaları
Paylaş