KVKK’nın hayatımıza girmesiyle İnsan Kaynakları uygulamalarında ciddi önlemlerin alınması zaruri hale gelmiştir. Önemsiz gibi gözüken hususların zaman içerisinde ciddi yaptırımları olarak karşımıza geleceğini düşünerek bu sayı ki yazımda bazı konulara dikkat çekmek istedim.
İŞE BAŞVURU SÜRECİNDE KİŞİSEL VERİLERİN KORUNMASI
İşe başvuru sürecinde adaylardan kişisel verilerin istenmesi Kişisel Verilerin Korunması Kanunu kapsamında değerlendirilmelidir.
Adayın, kişisel bilgilerinin neden toplandığını ve nasıl kullanılacağını bilmesi gerekmektedir. Kanun verilerin toplanması, saklanması işlenmesi sürecini belli prensiplere bağlamaktadır. Adayların kişisel bilgilerini kime ilettiklerini bilmesi gerekir. Elde edilen kişisel veri amacına uygun kullanılmalıdır.
Adaylardan ihtiyaç duyulandan daha fazla bilgi talep edilmemelidir. Kişisel verilerin amaçla bağlantılı ve sınırlı olması gerekmektedir.
İş başvuru formları bu hususa dikkat edilerek hazırlanmalıdır. Belli bir pozisyon için talep edilmesi gereken kişisel veri, diğer pozisyonlara başvuran adaylardan talep edilmemelidir.
Örneğin yalnızca şoför pozisyonuna başvuran kişilerden daha önce trafik cezası bulunup bulunmadığı bilgisi ya da ehliyetine ilişkin bilgiler istenmelidir.
Elde edilen kişisel veri güvende tutulmalı ve paylaşılmamalıdır. İlgili kişinin rızası olmadan başka hiçbir kurumla paylaşılmamalıdır.
Başvuru süreci tamamlandıktan sonra adaylara başvuru kaydının ne kadar süre ile bilgi amaçlı tutulacağı ve kayıtlar silinecek ise silinme yönteminin ne şekilde olacağı bilgisinin verilmesi önerilendir. Tabi ki pratik hayatta bunun nasıl olacağı iyice planlanmalıdır.
Çalışanlara ait kişisel verilerde ise;
Çalışanlara kendilerine ilişkin kayıtların tutulmakta olduğunun ve ne amaçla kullanılacağının bildirilmesi gerekmektedir.
Hangi bilgilerin tutulacağı, üçüncü kişilerle hangi bilgilerin paylaşılacağı ile ilgili “Aydınlatma Metinleri” verilmeli ve “Açık Rıza ve Onayları” alınmalıdır.
Çalışanlara ilişkin kayıtları güvende tutulmalı, basılı evraklar kilit altında, bilgisayar üzerindeki bilgiler ise şifrelenmelidir. Bu bilgilere yalnızca yetkilendirilmiş personelin erişimi sağlanmalıdır.
Çalışanların kendileri hakkında tutulan bilgilere erişme hakkı vardır. Kanun’da ön görüldüğü üzere çalışanın bilgi talebine 30 gün içinde cevap verilmelidir.
İşten ayrılan özelllikle 10 yılı geçen çalışanlara ait kişisel bilgilerin takibi diğer önemli konulardan bir tanesidir. Bu bilgiler tamamen silinecek mi yoksa belli kişilerin yetkileri ile erişimi sağlanacağı netleştirilmelidir.
Çalışan verilerine erişimi olanların sözleşmelerinde bu verilere ilişkin gizlilik hükümlerinin konulması da önemli bir husustur.
Bilgilerin laptop ya da flash disk gibi offline ortamlara aktarılmasının sınırlandırılması da önem arz eder.
Şirketler KVKK eğitimlerini sadece işe alım ve değerlendirme sürecinde yer alan çalışanlara değil, tüm yönetici ve işe alım süreçlerine dahil olan çalışanlarına aldırmalıdır.
Çalışanların kişisel verilerin korunmasına ilişkin kurallardan haberdar olduklarından ve kişisel verilere bu kurallar kapsamında yaklaştıklarından emin olunmalıdır.
KVKK da önemli hususlardan biri de “Veri Güvenliği”dir. Veri güvenliğinden sorumlu olanlara sorumluluklarını hatırlatıcı eğitimler verilmelidir.
Konunun ciddiyeti henüz yeteri kadar kavranamamış olabilir, ancak ilerleyen günlerde gereken hassasiyet ve önemin gün geçtikçe yaygınlaşacağını düşünüyorum.
Görüşmek dileğiyle….