Kişisel Verileri Koruma Kanunu ve İK Departmanlarının Sorumluluğu

Çok uzun zamandır blogda bir şeyler yazamadım. Bunu sebebi yazma enerjimi yeni prosedürler oluşturma üzerine harcıyor olmam. Bu konu ile ilgili daha fazla detaya girmeyeceğim çünkü bu da okumakta olduğunuz makalenin konusunun bir bölümü olan gizlilikle doğrudan ilişkili.

Son dönemlerin en popüler konusu Kişisel Veriler. Kişisel veriler basit ama sahibinin kendisine ait her türlü veriyi içeren bilgilere deniyor.Yani kişinin; adı soyadından tutunda sağlık bilgilerine, parmak izinden tutunda genetik bilgilerine kadar her türlü veriyi içeriyor. 

Bu verilerin ilgili kişisine de veri sahibi deniyor. Kişisel verilerin çeşitli amaçlarla bir kurum veya şirkete teslim edilmesinden sonra ise teslim edilen ilgili kurum veya kuruluş veri sorumlusu oluyor. Veri işleyen ise ilgili kurum ve kuruluşta mevcut verileri sisteme işleyen kişi oluyor.

Bu verilerin korunması, ihlali, sınırları ve uygulama yöntemleri ise  6698 sayılı Kişisel Verilerin Korunması Kanunu çerçevesi içerisinde Kişisel Verileri Koruma Kurumu tarafından belirlenmiştir. Uygulama konusuna bakacak olursak ise şirketlere kanuna uygun altyapıları hazırlamaları için belirli bir süre verilmişti. Ancak Türkiye Odalar ve Borsalar Birliği’nin (TOBB) Kişisel Verileri Koruma Kurumuna başvurması ile birlikte; Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumluları ile yurtdışında yerleşik gerçek ve tüzel kişi veri sorumlularının Veri Sorumluları Siciline kayıt yükümlülüğünü yerine getirmeleri için belirlenen sürenin 31.12.2020 tarihine kadar uzatılmasına karar verilmiştir.

Veri Sorumlusu olan şirketlerin başta İnsan Kaynakları departmanları olmak üzere görev yapan tüm departmanları verileri işleyen olarak görev yapıyor. Buraya kadar yazılan teknik bilgileri sıkılarak okuduğunuzun farkındayım.Emin olun bende seminerde dinlerken çok sıkıldım. Şimdi bir İK profesyoneli gözü ile uygulamalı olarak anlatırsak,

1- İş Başvuru formlarına Kişisel Verilerin Gizliliği ve İşlenmesi konusunda aydınlatma metni ekleyip açık rıza almak gerekiyor. İş Başvuru formlarında gereksiz bilgiler talep etmemek gerekiyor. Örnek Adayın Siyasi tercihi, inancı v.b gibi

2- Kariyer sitelerinde iş başvurusu yapan adaylara kvkk ile ilgili bilgilendirme metninin gönderilmesi gerekiyor.

3- Personele ait kişisel verilerin en basit olarak bi kan grubu bilgisi dahil olmak üzere açık rızası olmadan 3.kişi kurum ve kuruluşlarla paylaşılmaması gerekiyor. 

4- İlgili kişinin açık rıza verdiği bilgilerin, amacı dışında kullanılmaması gerekiyor.

Bir örnekle açıklamak gerekirse ihtiyacımız olan pozisyonu kapatmak üzere, bir çok kişi veya kurumdan Cv ulaşıyor ya da bize ulaşan ancak şirketimizde değerlendirme imkanı bulamadığımız başvuruları yardımcı olmak amacıyla başka kişi ve kurumlara yönlendiriyoruz. Bu bilgiden yola çıkarak Kişisel Verileri Koruma Kurumu’nun kesmiş olduğu ilk cezalardan birine değinmek istiyorum;

Bir aday X şirkete iş başvurusunda bulunuyor ve X şirketi değerlendirme imkanı olmadığı bu bu başvuruyu ilgili pozisyonda arayış içinde olan Y şirketine yönlendiriyor. Y şirketi aday ile görüşmek için iletişime geçtiğinde ise aday bu şirkete başvuruda bulunmadığını ve onayı olmadan kişisel bilgilerini içeren başvuru formunun başka bir kuruma yönlendirilmesinden dolayı hem X hem de Y şirketine KVKK tarafından cezai yaptırım uygulanıyor. 

Dolayısı ile adayın açık rızası olmaksızın hiçbir başvuru formu dağıtılamaz ya da dağıtılan kurum tarafından verileri işlenemez. Bu açık rıza ise sözlü değil mutlaka yazılı olarak alınmak zorundadır. 

İK Departmanları bazı verileri zorunlu olması sebebi ile bazı kuruluşlarla  paylaşmak durumunda bu verilere örnek mi gerekiyor? Verelim; Sağlık taraması yaptıracaksınız personelin özlük bilgisi sağlık geçmişli gibi verileri veriyorsunuz.Servis planlaması yapacaksınız personelin ikamet ettiği lokasyon, telefon numarası gibi bilgileri veriyorsunuz. İşte bu noktada çalışanların gizlilik içeren verilerinin kötüye kullanımı söz konusu olamaması sebebi ile verileri paylaştığınız kurumlarda artık bir veri sorumlusu oluyor bu sebeple bu kurumlarla da anlaşma öncesi mutlaka bir gizlilik sözleşmesi yapılması gerekiyor.

Konu ile ilgili daha detaylı bilgi sahibi olmak isteyen şirket veya sorumluları ise bu konuda profesyonel hizmet veren KVKK danışmanlık firmaları ile iletişime geçebilirler