İşe alım prosesinde veri sorumluları, adayların kişisel verilerini toplamakta ve uygun adayların saptanması maksadıyla bu verileri işlemektedir. Bu sebeple, veri sorumluları işe alım proseslerinde toplanan ve işlenen bu kişisel verilerin korunması amacıyla gereken önlemleri almak ve ilgili kişileri konu ile alakalı olarak aydınlatmakla görevlidir.
İlk olarak, veri sorumlusu aracılığıyla işe alım sürecinde görevlendirilecek çalışanlara kişisel verilerin korunması ile alakalı özel eğitimler sağlanmalıdır. Görevli çalışanların, kişisel verilerin korunması ile alakalı kuralları ve yükümlülükleri bilmeleri sebebiyle ve işe alım proseslerinde ulaşılacak kişisel verileri bu kurallara uygun bir şekilde işleyeceklerinden emin olunmalıdır.
Adaylar, kişisel verilerini kime ilettiklerini bilmeli ve işe alım işleminin hangi gerçek veya tüzel kişi için yapıldığı açıklanmalıdır. Ulaşılan kişisel verilerin sadece işe alım ve değerlendirme maksadıyla kullanılması gerekmektedir. Örnek olarak, işe alım sürecinde ulaşılan kişisel veriler kullanılarak reklam ve pazarlama faaliyeti gerçekleştirmesi; kişisel verilerin korunması ile alakalı yükümlülüklerin veri sorumlusu aracılığıyla ihlal edildiğini ifade edecektir. Aynı zamanda işe alım sürecinde ulaşılan kişisel veriler; güvenli bir şekilde korunmalı ve ilgili kişinin rızası alınmadan hiç kimse ile paylaşılmamalıdır. İşe alım ve değerlendirme süreci bittikten sonra; ulaşılan kişisel veriler silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
Adaylardan işe alım amacıyla gerekenden daha fazla bilgi istenmelidir. Adaylardan toplanan kişisel verilerin işe alımla direkt olarak bağlantılı ve kısıtlı olmasına dikkat edilmelidir. İş başvuru formları bu durum göz önünde bulundurularak hazırlanmalıdır. Örnek olarak şoför olarak işe alınmayan ya da şirket araçlarını kullanmayacak kişilere, önceki trafik kazaları ve cezaları sorulmamalıdır. Aynı şekilde, daha işe alınmayan adayın banka hesap bilgileri istenmemelidir.
Adayların işe alım sürecinde ayrımcılığa neden olabilecek, özel nitelikli kişisel verileri toplanmamalı ve işlenmemelidir. Bununla beraber, işe alım sürecinde gerçekleştirilecek psikolojik testler ve alkol/uyuşturucu testleri neticesinde ulaşılacak ya da adayın sağlık durumuna ilişkin toplanacak kişisel veriler için adaylar bilgilendirilmeli, adaylardan açık rıza alınmalıdır. Ayrıca bahsi geçen veriler toplanırken, işlenirken ve aktarılırken fazlaca özen gösterilmeli ve gerekli önlemler alınmalıdır.
Çalışma Boyunca Kişisel Verilerin Korunması
4857 sayılı İş Kanunu’nun 75. Maddesi gereğince işveren, çalıştırdığı her işçi için bir özlük dosyası hazırlamalıdır. Ve söz konusu dosyada, işçinin kimlik bilgilerinin yanı sıra İş Kanunu ve diğer kanunlar gereğince hazırlamak mecburiyetinde olduğu her türden belge ve kayıtları saklamak ve bunları arzu edildiği zaman yetkili memur ve mercilere takdim etmek mecburiyetindedir.
KVKK’ya göre ise işveren; çalışanlarının özlük dosyasında bulunan kişisel veriler konusunda ve bu verilerin ne amaçlarla tutulup işlendiğine ilişkin çalışanlarını aydınlatmakla yükümlüdür. Bunun yanında, çalışanların kişisel verilerinin işlenmesi amacıyla çalışanlardan açık rıza alınmasına gerek yoktur. KVKK’nın 5. maddesinin 2. fıkrasının (a) bendine göre; kanunlarda açıkça öngörülmesi sonucunda ilgili kişinin rızası alınmadan kişisel verileri işlenebilmektedir. İş Kanunu 75. madde gereğince özlük dosyası hazırlanırken çalışanların kişisel verilerinin işlenmesi gerekmektedir.
Çalışanlara ait olan kişisel verilerin güvenliği için teknik önlemler alınmalıdır. Basılı evraklar, yalnız yetkili kişilerin erişim sağlayabileceği şekilde kilit altında bulundurulmalıdır. Ve evrakların tutulduğu yerlerin güvenliği sağlanmalıdır. Bilişim sistemlerinde bulundurulan kişisel veriler şifrelenerek sadece yetkili personelin erişimine açık olmalıdır. Aynı zamanda bilişim sistemleri, güvenlik duvarı, ağ geçidi, antivirüs yazılımı benzeri vasıtalarla korunmalıdır. Siber güvenlik konusunda gerekli istihdam sağlanmaya çalışılarak destek alınmalıdır. Kişisel verilerin USB bellek ve CD gibi dış araçlara iletilmesi kısıtlanmalıdır. Bunların yanında, çalışanlara ait kişisel verilere erişim sağlayabilen kişilerle gizlilik sözleşmesi imzalanmalı; çalışanların iş sözleşmelerine kişisel verilerin korunmasına ilişkin hükümler konulmalıdır.
Çalışanların kendileri ile ilgili tutulan kişisel verilerine erişim hakkına sahiplerdir. Bunun yanında, veri sorumluları, çalışanlarına kişisel verilerini denetleme ve gerekli olduğu durumda düzeltme imkânı vermelidir.
Yazar: Zehra Betül Taşkın
İncelemek isterseniz: https://www.kvkk.gov.tr/Icerik/6913/2020-404
Benzer: https://www.nesilteknoloji.com/isyerinde-parmak-izi-kullanimi/
