Kişisel Verilerin Korunması, temel insan haklarından biri olan mahremiyet hakkı ile doğrudan ilişkilidir. KVKK’dan önce Kişisel Verilerin Korunmasına ilişkin kurallar Türk Ceza Kanunu, Anayasa ve ilgili diğer mevzuatla belirleniyordu. 6698 sayılı Kişisel Verilerin Korunması Kanunu, yaptırımları en ağır olan en önemli yasal düzenlemedir.
7 Nisan 2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu, iş başvurusunun yapılmasından, istihdamın sona ermesine kadar olan geniş İnsan Kaynakları süreçlerinde şirketlere çeşitli yükümlülükler yüklemektedir. Şirketlerin, istihdam süreçleri ve istihdam sonrası süreçlerinde kişisel verilerin toplanması, adaylık süreçleri, saklanması ve imhası ile ilgili izlemesi gereken yöntemleri tespit etmesi ve uygulaması gerekmektedir.
ADAYLIK SÜREÇLERİ
ADAY BAŞVURU FORMLARI OLUŞTURUN: Aday başvuru formları dışında; adayın kişisel verisinin bulunduğu özgeçmişini sizinle paylaşmamasını sağlayın.
ADAYI BİLGİLENDİRİN: Oluşturduğunuz aday başvuru formlarında adayı kişisel verilerinin işlenmesi ile ilgili süreçler hakkında bilgilendirin. Edineceğiniz kişisel verilerin hangi amaçla işleneceğini; kimlere hangi amaçla aktarılacağını ve ne şekilde toplanacağını ve adayın sahip olduğu hakları belirtin.
ONAY ALIN: Adayın açık rızası ile işlenebilecek kişisel verilerin bulunduğu faaliyetleri tespit edin. Ve bu kişisel verileri işlemek için açık rıza alın. Adayın açık rızasını geri alma hakkı bulunduğunu söyleyerek adayı bilgilendirin.
MAKUL SÜRE BELİRLEYİN: Adayın başvurusunu değerlendirmek için makul bir süre belirleyin. Bu sürenin sonunda başvuru olumsuz sonuçlandığında kişisel veriyi imha edin.
İSTİHDAM SÜREÇLERİ
ŞEFFAF OLUN; İş ilişkisi süresince çalışanın hangi kişisel verisini hangi amaçla işleyeceğiniz konusunda çalışana karşı şeffaf olun. Şirket bünyesinde bulunan çalışana ait kişisel verilerin; ne amaçla işleneceğini, kimlere ve ne amaçla aktarılacağını; nasıl bir yöntem ile toplanacağını ve çalışanın sahip olduğu hakları belirtin.
ONAY ALIN: Çalışanın açık rızası ile işlenebilecek kişisel verilerin bulunduğu faaliyetleri tespit edin. Ve bu kişisel verileri işlemek için açık rıza alın. Çalışanın açık rızasını geri alma hakkı olduğunu kendisine hatırlatın.
POLİTİKA VE PROSEDÜRLER BELİRLEYİN: Hangi çalışanın hangi kişisel veriye temas edebileceğini belirleyerek rol ve sorumluluk atamaları yapın. Hem çalışana ait kişisel verilerin, hem de çalışanın ulaşabildiği üçüncü kişilere ait kişisel verilerin işlenmesi ve imha edilmesi ile ilgili politikalar belirleyin ve hayata geçirin.
KULLANIM AMACINI BİLİN: Çalışana ait kişisel verilerin hangi amaç kapsamında kullanılabileceğini belirleyin. İş ilişkisi ile ilgili olmayan kişisel verilerin şirket açısından hukuki sorumluluk doğurabileceği bilinciyle hareket edin.
EĞİTİMLER DÜZENLEYİN: Kişisel verilerin korunması alanında periyodik aralıklarla farkındalık eğitimleri düzenleyin.
KİŞİSEL VERİLERİ TAKİP EDİN: İstihdam süreci boyunca çalışana ait kişisel verilerin doğru ve güncel olmasını sağlayın. Kısa zamanda güncelliğini kaybedecek kişisel verileri belirleyin ve bu kişisel verilerin güncel tutulması adına gerekli kanalları oluşturun.
KİŞİSEL VERİLERİ SINIFLANDIRIN: Hangi kişisel verilerin özel nitelikli kişisel veri olduğunu ayırt edin ve hangi kişisel verilerin özlük dosyasından ayrı bir şekilde tutulması gerektiğini bilin.
Özel nitelikli kişisel veriye erişim sağlayan ayrıcalıklı kullanıcılar için ilave güvenlik tedbirleri alın. Şirket içerisine girdiği anda kişisel verileri sınıflandırın.
KAMERA SİSTEMLERİNİ DÜZENLEYİN: Şirket içerisinde ve çevresinde bulunan kameraların kaydettiği alanları; çalışanın özel hayatına müdahale etmeyecek şekilde ayarlayın.
PARMAK İZİNE ALTERNATİF BULUN: Çalışanın mesai ve giriş-çıkış kontrolünü parmak izi yöntemi ile değil; temel hak ve özgürlüklere zarar vermeyen başka alternatiflerle sağlayın.
İSTİHDAM SONRASI SÜREÇLER
MUHAFAZA EDİN: İş ve sosyal güvenlik mevzuatı uyarınca hangi kayıtları muhafaza etmeniz gerektiğini bilin.
İMHA EDİN: Muhafaza etmek için gerekli yasal süreler dolduktan sonra ve muhafaza etmek için mevcut sebeplerin ortadan kalkması halinde kişisel verileri imha edin.
SAĞLIK KAYITLARINA ÖZEN GÖSTERİN: Sağlık kayıtlarının yasaların belirlediği çerçevede korunmasına özen gösterin.
DİĞER SÜREÇLER
KİŞİSEL VERİ ENVANTERİ OLUŞTURUN: Kişisel verilerin korunması mevzuatının öngördüğü şekilde kişisel veri envanteri oluşturun.
GİZLİLİĞE ÖNEM VERİN: Gerek şirket içinde gerekse şirket dışında imzalanan sözleşmelerde “kişisel verilerin korunmasına ilişkin hükümlere” yer verin. Disiplin süreçlerine kişisel veri ihlallerini de dahil edin.
RİSK ANALİZLERİ YAPIN: Mahremiyet etki değerlendirmesi çalışmaları yapın. Kişisel veri ihlallerini ve risklerini tespit kabiliyetine sahip olun. Olası iç ve dış tehditleri tespit edin ve önleyin. Olası kişisel ihlallerde ne şekilde aksiyon alınması gerektiğini belirleyen süreçler oluşturun.
VERİ GÜVENLİĞİNİ SAĞLAYIN: NESİL TEKNOLOJİ ile iletişime geçin ve verilerinizin güvenliğini sağlayın.
Yazan: Beyza Nur GÖKTAŞ
İncelemek isterseniz: https://www.kvkk.gov.tr/Icerik/4230/Insan-Kaynaklari-ve-Destek-Hizmetleri-Dairesi-Baskanligi
