Open menu

14 Nisan 2023

İnsan Kaynakları Süreçlerinde KVKK'nın Önemi
×

Yazar Civan Güneş, Kategori Çalışma Hayatı

İnsan Kaynakları Süreçlerinde KVKK'nın Önemi

Günümüz iş dünyasında, kişisel verilerin korunması ihtiyacı Kişisel Verilerin Korunması Kanunu (KVKK) ile güvence altına alınmış ve her kuruluşun önceliklerinden biri hâline gelmiştir. İnsan kaynakları departmanları, çalışanlar ve çalışan adayları hakkında hassas kişisel veriler dâhil olmak üzere çok çeşitli kişisel verilerin toplanmasından, yönetilmesinden ve saklanmasından özellikle sorumludur. Bu bilgilere sosyal güvenlik numaraları, adresler, telefon numaraları, e-posta adresleri, tıbbi bilgiler ve diğer kişisel veriler de dâhildir. Bu sebeple, insan kaynaklarında kişisel verilerin korunmasının önemi göz ardı edilemez. İşe alım süreçleri ve aktif çalışma süresince Kişisel Verilerin Korunması noktasında İnsan Kaynakları sorumlularının dikkat etmesi gereken hususları inceledik:

CottBlog Abone Ol
CottBlog Subscribe

İşe Alım Sürecinde Kişisel Verilerin Korunması

Kişisel verilerin korunması, son yıllarda önemi giderek artan bir konu hâline gelmiş ve özellikle işe alım, işten ayrılma ve sonraki süreçlerde kritik bir önem taşımaktadır. Teknoloji ilerlemeye devam ettikçe, şirketlerin her zamankinden daha fazla kişisel veriye erişimi bulunmakta ve bu da kişisel verilerin uygun şekilde işlenmesini, saklanmasını ve imhasını zorunlu kılmaktadır.

Veri sorumluları, işe alım sürecinde adayların toplanan kişisel verilerini korumakla yasal olarak yükümlüdür. KVKK'ya uyumu sağlamak için, işe alım sürecinde yer alan İK personelinin kişisel verilerin korunmasına ilişkin kural ve yükümlülükler konusunda özel eğitim almaları önem arz etmektedir. Alınan bu eğitim, işe alım sürecinde toplanan tüm kişisel verilerin bu kurallara uygun olarak işlenmesini sağlamaya yardımcı olacaktır.

İşe alım sürecinde adaylara kişisel verilerinin kimler tarafından işleneceği ve ne amaçla kullanılacağı konusunda bilgi verilmelidir. Toplanan kişisel verilerin sadece işe alım ve değerlendirme amacıyla kullanılması, reklam ve pazarlama faaliyetlerinde kullanılmaması ve adayın onayı olmaksızın üçüncü kişilerle paylaşılmaması şarttır. Ayrıca işe alım süreci tamamlandıktan sonra elde edilen kişisel verilerin KVKK'ya uyumun sağlanması için imhası da gerekmektedir.

İşe alım sürecinde ayrımcılığı önlemek için siyasi görüş, dini inanç gibi özel nitelikli kişisel veriler toplanmamalı ve işlenmemelidir. Ancak, pozisyon gereği psikolojik testlerin veya alkol/uyuşturucu testlerinin gerekli olması durumunda adayın açık rızası alınmalı ve Kişisel Verilerin Korunması Kanunu'na uyumun sağlanması için veriler ek bir tedbirle işlenmelidir.

Çalışan adaylarından yalnızca işe alım süreciyle doğrudan ilgili ve gerekli olan bilgiler istenmelidir. Örneğin, gerekli pozisyon şirket aracı kullanmayı gerektirmiyorsa, bazı kişisel veriler işlenmemelidir. Ayrıca henüz işe alınmamış adaylardan da gereğinden fazla kişisel veri talep edilmemelidir. Özetle, veri sorumluları işe alım sürecinde toplanan kişisel verilerin korunması için gerekli önlemleri almalı ve adayları verilerinin nasıl işleneceği konusunda bilgilendirerek KVKK'ya uyumu sağlamalıdır.

Çalışma Süresince Kişisel Verilerin Korunması

Çalışanların kişisel verilerinin korunması ülkemizde KVKK ile güvence altına alınmış bir zorunluluktur. Bu zorunluluk; çalışanların kişisel verilerine izin olmadan erişilmemesini, amacı dışında kullanılmamasını veya ifşa edilmemesini sağlamak için makul önlemler alınması gerektiği anlamına gelir. Bu düzenlemelere uyulmaması, ağır para cezalarına ve yasal işlemlere sebep olabilir.

4857 sayılı İş Kanunu'nun 75'inci maddesi uyarınca; işveren veya işveren nezdinde çalışan İnsan Kaynakları personelleri, çalıştırılan her işçi için bir özlük dosyası düzenlemek ve bu dosyada, işçinin kimlik bilgilerinin yanında, İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda oldukları her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.

Kişisel Verilerin Korunması Kanunu kapsamında işverenler, çalışanlarına özlük dosyalarında yer alan kişisel bilgileri ve bu bilgilerin toplanma ve işlenme sebeplerini açıklamakla yükümlüdür. Kişisel verilerinin işlenmesi için çalışanın onayı gerekli olmamakla birlikte, KVKK'nın 5. maddesinin 2. fıkrasının a bendine göre, kanunlarda açıkça öngörülmesi hâlinde kişisel verilerin rıza alınmaksızın işlenebileceği belirtilmiştir. İş Kanunu'nun 75. maddesi uyarınca özlük dosyasının oluşturulması sırasında çalışanların kişisel verilerinin işlenmesi zorunludur.

Çalışanlara ait kişisel verilerin korunması için alınacak bazı tedbirler şunlardır:

  • Kapsamlı Veri Koruma Politikası:
  • İşverenler, kuruluşun hassas çalışan verilerinin işlenmesine yönelik prosedürlerini özetleyen bir veri koruma politikası geliştirmelidir. Politika tüm çalışanlara iletilmeli ve veri erişimi, depolama ve imha gibi konuları ele almalıdır.

  • Sınırlı Erişim:
  • İşverenler, kişisel verilere erişimi yalnızca iş görevlerini yerine getirmek için ihtiyaç duyan çalışanlarla sınırlandırmalıdır. Rol tabanlı erişim kontrolleri uygulanmalı ve hassas verilere erişimi olan çalışan sayısı minimumda tutulmalıdır.

  • Güvenli Veri Depolama:
  • İşverenler, kişisel verileri kilitli bir dolap veya parola korumalı sunucu gibi güvenli alanlarda saklamalıdır. Fiziksel dosyalar kilit altında tutulmalı, elektronik dosyalar şifrelenmeli ve parola korumalı olmalıdır.

  • İletişim Kanalları Güvenliği:
  • İşverenler, kişisel verileri iletmek için şifreli e-posta veya mesajlaşma uygulamaları gibi güvenli iletişim kanallarını kullanmalıdır. Kişisel veriler, normal e-posta veya metin mesajları gibi güvenli olmayan kanallar aracılığıyla gönderilmekten kaçınılmalıdır.

  • Erişim İzleme ve Denetleme:
  • İşverenler, herhangi bir şüpheli etkinliği belirlemek için çalışanların kişisel verilere erişimini düzenli olarak izlemeli ve denetlemelidir. Bu, potansiyel veri ihlallerini veya yetkisiz erişimi tespit etmeye yardımcı olacaktır.

  • Çalışan Eğitimi:
  • İşverenler, çalışanlarına veri koruma politikaları ve prosedürleri hakkında eğitim sağlamalıdır. Bu eğitimler, hassas bilgileri işlerken tüm çalışanların sorumluluklarını anlamalarını sağlamaya yardımcı olmaktadır.

  • Veri İmhası:
  • İşverenler gerektiğinde, fiziksel belgeleri yok ederek veya elektronik dosyaları silerek kişisel verileri güvenli bir şekilde imha etmelidir.

Son olarak, çalışanların kendi kişisel verilerine erişim hakkı bulunmaktadır. Dolayısıyla, veri sorumluları, çalışanlarına kişisel verilerini kontrol etme ve gerektiğinde düzeltme imkânı tanımalıdır.

Ek bilgiye ihtiyaç duymanız hâlinde lütfen bizimle iletişime geçiniz.

Bilgilendirme Metni!

Bu makalede yer alan içerikler, yalnızca genel bilgilendirme amaçlıdır ve CottGroup® üye şirketlerine aittir. Bu içerikler, hukuki, mali veya teknik danışmanlık hizmeti niteliği taşımamaktadır ve kaynak gösterilmeden iktibas edilemez.

CottGroup® üye şirketleri, makaledeki bilgilerin doğru, güncel veya eksiksiz olduğunu garanti etmez ve bu bilgilerin içerebileceği hata, eksiklik veya yanlış anlaşılmalardan doğabilecek zararlardan sorumlu değildir.

Burada sunulan bilgiler, genel bir bakış sunmak amacıyla hazırlanmıştır. Her somut olay farklı değerlendirmeler gerektirebilir ve bu bilgiler her duruma uygun olmayabilir. Bu nedenle, makalede yer alan bilgilere dayalı olarak herhangi bir işlem yapmadan önce, konuyla ilgili hukuk, mali, teknik ve diğer uzmanlık alanlarında yetkin bir profesyonele danışmanız önemle tavsiye edilir. CottGroup® müşterisiyseniz, özel durumunuza ilişkin müşteri temsilcinizden bilgi almayı unutmayınız. Müşterimiz değilseniz, lütfen ilgili bir uzmandan görüş alınız.

CottGroup® üye şirketlerine ulaşmak için tıklayınız.

Yazar

Civan Güneş

Digital Marketing Specialist
/en/blog/work-life/item/personal-data-protection-law-pdpl-in-human-resources-processes-why-is-it-important

Diğer Makaleler

Başlayalım
Hizmet ihtiyaçlarınız için teklif alın.

Daha fazla bilgi
almak ister misiniz?