KVKK yani Kişisel Verilerin Korunması Kanunu, 7 Nisan 2016 tarihinde ülkemizde yürürlüğe girmiştir. Kişisel veri ve veri işleme ile ilgili maddeleri gereğince aslında birçok şirketi sorumluluk altına girmeye zorlamıştır. Şirketler bazında düşünüldüğünde sorumluluk en çok insan kaynakları departmanlarına yansımış. Hatta insan kaynakları hizmetleri veren şirketler bugüne dek binlerce İK verisi barındırdığı için kendilerini bu kanunla birlikte veri okyanusunun ortasında bulmuşlardır.
6698 Sayılı Kişisel Verilerin Korunması Kanunu ile çalışan veri gizliliği, çalışan veri güvenliği ve işverenlere kanunların verdiği yetkiler arasında dengeyi sağlamak kritik önem arz etmektedir. Aslında şirketler kanunun varlığıyla birlikte kişisel verilerin korunmasını, bir kereye mahsus bir düzenlemeden çok sürdürülebilir bir iş modeli olarak görmüşlerdir.
Kişisel verilerin korunmasını sürdürülebilir iş modeli olarak uygulayan İK departmanları aslında kişisel verilerle en fazla temas halinde olan birimlerdir. Nitekim bu kanunun en çok dokunduğu, temas halinde olduğu alanlar insan kaynakları bünyesinin içerisindedir. Çalışan işe alım süreçlerinden, çalışan parmak izine, biyometrik sistemlere, video kamera ile izlenmeye veya özlük dosyası saklanmasına kadar her süreç KVKK’ya tabiidir.
Peki insan kaynakları yönetimi süreçlerinde KVKK nasıl işliyor?
İşe Alım Sürecinde Kişisel Verilerin Korunması Kanunu
Dijitalleşme ve teknolojinin büyümesiyle “kişisel verilerin korunması” konusu da her geçen gün ivme kazanan bir alan haline gelmeye başladı. Özellikle işe alım süreçleri açısından bakıldığında KVKK; kurumlar, şirketler veya çalışanlar için kritik önem arz eder durumdadır. Peki İK yönetimi işe alım süreçlerinde kişisel verilerin korunması kanunu ile ilgili nelere dikkat etmeli?
- İşveren, işe alım sırasında işçiye soracağı soruları mesleki bilgiyi ölçmek ile sınırlı tutmalı,
- İşveren, işçinin açık rızasını alsa dahi maksimum seviyede veri yerine işe alımla sınırlı ve gerekli ölçüde kişisel veri toplamalı,
- İşe alım sürecinde doğum ve evlilik, ceza mahkumiyeti, dernek ve sendika üyeliği veya siyasi görüşü ile alakalı sorular adayların rızası olsa dahi hukuka aykırılık oluşturabileceği için bu sorulara dikkat edilmeli,
- İşe alımda yer verilen psikolojik testler, aday psikolojik sağlığı ile alakalı olduğu için adayın açık rızası olsa dahi kullanımına dikkat edilmeli,
- Adayın kendi belirttiği referanslar aranabilir, onlardan bilgi istenebilir fakat kendi belirtmediği referansların aranıp aday hakkında bilgi toplanması hukuka aykırılık oluşturabilir, dikkatli olunmalı,
- Adayların elde edilen tüm kişisel verileri yalnızca işe alım ve değerlendirme amacıyla kullanılmalı,
- İşveren, adayların kişisel bilgilerini kişinin rızası olmadan başka hiçbir kurumla paylaşmamalıdır.
Çalışma Sürecinde Kişisel Verilerin Korunması Kanunu
İnsan kaynakları yönetiminde kişisel veri deyince herkesin aklına ilk olarak özlük bilgileri gelir. Ardından ise kamera kayıtları, fotoğraflar, ses kayıtları gibi istihdam süreci boyunca elde edilmiş tüm kişisel veriler gelmektedir. İşçilerin kişisel verileri, çalışma süreleri boyunca denetim veya başka sebeplerle işlenmeye devam etmektedir. Peki İK yönetimi çalışma süreçlerinde kişisel verilerin korunması kanunu ile ilgili nelere dikkat etmeli?
- İşçilerin istihdam süresi boyunca özlük dosyası gibi kişisel verileri şirket elinde bulunmakta ve başka kanunlar gereğince de belli kurumlara aktarılmaktadır. İşveren bu noktada KVKK 10. maddesi uyarınca işçilerini gerekli noktalarda derinlemesine aydınlatmalı,
- İşverenin giriş-çıkış kontrolü için kullandığı biyometrik sistemler (retina, parmak izi gibi) özel nitelikli veri sayıldığı için kişilerin açık rızası dahilinde işlenmesine dikkat edilmeli,
- Çalışan bağımsız hakları korunmalı, çalışan verilerinin işlenmesi adil ve hukuka uygun olmalı,
- İK departmanları, çalışan verilerinin doğruluğuna dikkat etmeli ve kişisel veriler değiştiği zaman mutlaka güncellemeli,
- İnsan kaynakları yönetimi, şirketin sürekli gelişmesi sonucunda elde edilen yeni kişisel verilerin gerektiği kadarının işlenmesi prensibine uymalı,
- KVKK’ya göre çalışanın açık rızası olmadan kişisel verileri yurtdışı şirketlere aktarılmamalı,
- Kişisel verilerin kim tarafından hangi amaçla işlendiği, verilerin nasıl aktarıldığı, ilgili kişinin erişme, düzeltme, silinmesini talep etme gibi hakları konularında prosedürler hazırlanmalı ve çalışanın bilgisine mutlaka sunulmalıdır.