Çalışanların Kişisel Verilerinin Korunması Rehberi -

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) işverenlere sadece müşterilere veya organizasyonu dışındaki üçüncü kişilere karşı değil, çalışanlarına karşı da sorumluluklar yüklediği açık. Bu Rehber’in amacı işverenlere çalışanlarının kişisel verilerini işlemeleri sırasında KVKK şartlarıyla uyumluluk sağlayabilmeleri için genel bilgiler vermek ve bir başlangıç noktası sunmaktır. Bu Rehber’de önerilen tedbirler ve işleyişler bütün işverenler için geçerli ve/veya yeterli olmayabilir. Dolayısıyla her işverenin KVKK uyum süreçleri ile ilgili kendine özgü değerlendirmesini yapmasını tavsiye ederiz.

SORUMLU KİŞİ SEÇİLMESİ

Kişisel verilerin işlenmesi ve korunması konusunu pek çok hususta olduğu gibi her şeyden önce bir organizasyon ve yönetim konusu olarak ele almanız sürecin kontrolünü elinizde tutmanızı sağlayacaktır. Dolayısıyla atacağınız ilk adım organizasyonunuz içinde kişisel verilerin işlenmesi ve korunmasından sorumlu bir kişi (“Sorumlu Kişi”) seçmek olabilir.

Sorumlu Kişi;

çalışanlara karşı aydınlatma yükümlülüğünün yerine getirilmesi,
çalışanların kişisel verilerinin KVKK’ya uygun şekilde işlenmesi ve korunması,
çalışanlar ile olan iş ilişkilerini düzenleyen politika, prosedür ve uygulamaların KVKK ile uyumlu olmasının gözetilmesi,
çalışanlara ait kişisel verileri işleyen departman sorumlularının gerekli eğitimlerden geçmesini ve sorumluluklarının bilincinde olmalarının sağlanması

başta olmak üzere KVKK süreçlerin yönetiminden sorumlu olmalıdır.

Organizasyonunuz büyüklüğü, çalışan sayısı, işlenen kişisel verilerin doğası ve yoğunluğunu dikkate alarak birden çok sorumlu kişi de seçilebilir.

Sorumlu Kişinin kişisel verilerin işlenmesi ve korunması hususlarında gerekli bilgilere haiz olduğundan emin olun. Gerektiği halde öncelikle Sorumlu Kişinin ilgili eğitimleri almasını sağlayın. Sorumlu Kişinin, hizmet sözleşmesine, eğer yoksa, kişisel verilerin ifşasına ilişkin gizlilik maddeleri ekleyin.

İLGİLİ DEPARTMAN MÜDÜRLERİNİN BİLGİLENDİRİLMESİ

Başlangıçta da belirtildiği gibi KVKK süreçlerinin yönetimi özellikle büyük şirketler için bir organizasyon işidir. İçinde değişik departmanlar bulunduran bir şirketin bütün KVVK süreçlerine tek bir sorumlunun yetişmesi mümkün değildir. Bu organizasyonu sağlamakla görevlendirdiğiniz Sorumlu Kişi, görevleri gereği çalışanların kişisel verilerini işleyen insan kaynakları ve muhasebe gibi değişik departman müdürlerinin kişisel veri işlemeye ilişkin politika ve prosedürleri okuduklarından ve anladıklarından emin olmalıdır. Eğitimlerde edindiği bilgileri bu kişilerle paylaşmalı, gerekirse onların da söz konusu eğitimlerden faydalanmalarını üst yönetime teklif edebilmelidir. Bu eğitimler zaman zaman tekrarlanmalı ve gerekli hatırlatmalar yapılmalıdır. Departman müdürlerinin değişmesi halinde yeni müdürlerle aynı döngünün tekrarlanması sağlanmalıdır.

ÇALIŞANLARI AYDINLATMA YÜKÜMLÜLÜĞÜNÜZ

Çalışanlarınıza karşı KVKK’dan kaynaklanan bir aydınlatma yükümlülüğünüz bulunuyor. Çalışanlarınızı, hangi kişisel verilerini işlediğiniz, hangi amaçla işlediğiniz, kimlere aktardığınız, ne kadar süreyle tuttuğunuz gibi konularda aydınlatmanız gerekli. Aydınlatma yükümlülüğünüzü olması gibi yerine getirdiğinizden emin olmak için Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e başvurabilirsiniz.

Aydınlatma yükümlülüğünüzü kişisel verileri işlemeye başlamadan yerine getirmeli ve iş ilişkisi sürecinde de sürdürmelisiniz. Aydınlatma metnini teklif edilen hizmet sözleşmesi ile birlikte verebilirsiniz. Güncellenmesi gerektiği zamanlarda çalışanlara e-posta atarak bilgilendirme sağlayabilirsiniz.

KİŞİSEL VERİLERE ERİŞİM VE TEDBİRLER

Çalışanların kişisel verilerinin korunması için bu verilere erişimin kısıtlanması ve izinsiz erişim ve sızıntıların önlenmesi için tedbirler almalısınız. Çalışanlarınızın kişisel verilerinin tıpkı müşterilerinizin kişisel verileri gibi yeterli teknik ve idari tedbirlerle korunması gerektiğini unutmayın. Fiziki ortamlarda tutulan kişisel veriler açısından, kilitli veya şifreli dolaplarda, sadece işi gereği girmesi gereken kişilerin girebileceği odalarda saklamak gibi tedbirler alınabilir.

KVKK uyarınca çalışanlarınızın sadece gerekli olan kişisel verilerinin işlendiğinden emin olun. Bunun için yapılacak kontrollerde gereksiz görülen kişisel verilerin de işlendiğinin ve saklandığının tespit edilmesi halinde söz konusu kişisel verileri derhal silin ve ilgili çalışanları bilgilendirin. Bu çalışma için Sorumlu Kişi veya departman müdürlerinin işlenen kişisel verileri gözden geçirip, gereksiz yere toplanmış olan kişisel verileri tespit edip, silmeleri sağlanmalıdır.

Çalışanlarınıza ait bilgilerin veya fotoğraflarının şirket web sitesi veya başka yayınlarda yayınlanmasından önce çalışanlarınızın açık rızasını alın. Bu kapsamda verilen açık rızaların geçerli olabilmesi için çalışanların rıza vermemeleri halinde herhangi bir baskı veya olumsuz durumla karşılaşmayacaklarından emin olmalarını sağlamanız gerekir. Hatırlayalım, Kişisel Verileri Koruma Kurumu, Açık Rıza rehberinde şöyle der: “Özellikle işçi-işveren ilişkisinde, işçiye rıza göstermeme imkanının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığı kabul edilemez”. Açık rıza ve güç dengesi konusunda daha detaylı analize Açık Rıza ve Kişisel Verilerin İşlenmesinde Güç Dengesi başlıklı yazımdan ulaşabilirsiniz.

İŞE ALIM SÜREÇLERİ

İşe alım süreçlerinde iş başvurusunda bulunan adayların kişisel verilerinin işlendiği şüphesiz. İşverenlerin adayların kişisel verilerini toplamadan bir değerlendirmede bulunup karar vermelerini beklemek elbette ne mümkün ne de makul bir beklenti olurdu. Peki o zaman işverenler adaylardan istedikleri her tür veriyi toplayabilir mi? Elbette, hayır. İşe alım süreçlerinizde sadece iş başvurusunu değerlendirmeniz için gerekli olan kişisel verileri işlediğinizden emin olun. Ne için istediğinizi bile bilmediğiniz, prosedür kılıfı altında amaç ile sınırlı ve orantılı olmayan verileri toplamayın. İş başvurusunda bulunan kişilerin sizinle paylaşmak zorunda olmadığı bir özel hayatı olduğunu ve kişisel verilerinin KVKK’nın koruması altında olduğunu unutmayın.

İş ilanları

İş başvurusunda bulunan kişilerin kişisel bilgilerinin hangi işveren ile paylaşılacağından haberdar olduğundan emin olun. Adayların kişisel verileri toplanmadan önce bu bilgi kendilerine verilmelidir. Bunun için de iş ilanlarında işverenin kim olduğunun belli olmasına dikkat edin.

Aynı durum insan kaynakları firmaları için de geçerli olmalıdır. İşveren bilgisinin verilemediği durumlarda, insan kaynakları şirketleri de adayların bilgilerinin anonim olarak göndermelidir. İş başvurusunda bulunmuş bir adayın o başvuru için paylaştığı kişisel verileri açık rızası olmadan başka adaylarla paylaşılmamalıdır. Bu konuda Kişisel Verileri Koruma Kurulu’nun da bir kararı vardır.

Başvurular

Tıpkı iş ilanlarında olduğu gibi İş başvurusu formlarında da işverenin kim olduğu belli olmalı ve talep edilen kişisel veriler sadece iş başvurusunun değerlendirilebilmesi için gerekli olan verilerle sınırlı olmalıdır. Başvuru formlarında paylaşılan kişisel verilerin hangi amaçlarla işleneceği, ne kadar süre tutulacağı gibi aydınlatma yükümlülüğü çerçevesinde gerekli bilgiler verilmelidir.

Adaylar tarafından doldurulup, gönderilen başvuru formları şirket içinde sadece görmesi gereken kişiler tarafından görülmeli. Aday başvuruları şirket içinde açık bir veri tabanı olarak saklanmamalı. Formların saklandığı alanlar ile ilgili de yukarıda bahsettiğimiz şekilde teknik tedbirler alınmalı.

Adaylarla görüşmeler

İş başvurusu yapan adaylarla yapılan görüşmelerde elde edilen kişisel veri içeren notların nasıl ve ne kadar saklanacağı işleme amacına göre ve muhtemel davalara karşı şirketi savunabilmek için yasal zaman aşımları da dikkate alınarak önceden tespit etmeli ve bu konuda adaya görüşme başında bilgi vermelisiniz. Bu bilgilendirmenin yazılı olarak yapılması tercih edilmelidir.

HASTALIK VE KAZA KAYITLARI

Çalışanlarınıza ilişkin sağlık verileri özel nitelikli kişisel verilere girer. Hastalık ve kaza kayıtları da özel nitelikli kişisel veri içerebilir. KVKK’nın ve Kurul’un özel nitelikli kişisel verilerin işlenmesi ve korunması ile ilgili düzenlediği şartlara uyduğunuzdan emin olun.

Çalışanlar hakkında hasta ve kaza raporlarının nasıl tutulduğunu gözden geçirin. Yeterli önlemler alınıyor mu kontrol edin. Raporlara yetkisiz ve işi gereği erişmesi gereken kişiler dışında şirket içerisinde kimsenin erişimine izin vermeyin. Raporların tamamına erişimin gerekli olmadığı durumlarda sadece gerekli verilere erişim sağlayın.

Kişisel Verileri Koruma Kurulu’nun 31.01.2018 tarihli kararının ekinde yer alan “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e bakmayı unutmayın.

ÇALIŞANLARIN KİŞİSEL VERİLERİNE ERİŞİM ve DİĞER HAKLARI

Çalışanların da tıpkı diğer ilgili kişiler gibi KVKK’nın 11. Maddesinde düzenlenen haklara sahip olduklarını unutmayın. Bu hakları kullanabilmeleri için gerekli ortamları sağlayın. Örneğin, çalışanların kendilerine ait tutulan kişisel verilere erişim hakkı istemesi halinde bu talebe cevap verebilmek için önceden organize olun; ev adresleri gibi kişisel verilerini güncelleyebilmeleri için imkan tanıyın.

SORUMLU KİŞİ SEÇİLMESİ

İLGİLİ DEPARTMAN MÜDÜRLERİNİN BİLGİLENDİRİLMESİ

ÇALIŞANLARI AYDINLATMA YÜKÜMLÜLÜĞÜNÜZ

KİŞİSEL VERİLERE ERİŞİM VE TEDBİRLER

İŞE ALIM SÜREÇLERİ

İş ilanları

Başvurular

Adaylarla görüşmeler

HASTALIK VE KAZA KAYITLARI

ÇALIŞANLARIN KİŞİSEL VERİLERİNE ERİŞİM ve DİĞER HAKLARI

Bize Yazın

Hizmetler

Önerilen Yazılar

TEKMER (Teknoloji Geliştirme Merkezi) Nasıl Kurulur ve Girişimcilere Hangi Destekleri Sunar?

Startup Yatırımları: Yatırımcı ve Girişimcinin El Kitabı

Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Yönetmelik Hakkında Bilmeniz Gerekenler

Ters Hak Ediş (Reverse Vesting) Nedir?

Sınırda Karbon Düzenleme Mekanizması (CBAM) ve Türkiye Üzerinde Etkileri

Köprüden Önce Son Çıkış: Önemli Olumsuz Değişiklik Maddesi (MAC Kloz)

Yatırım ve Pay Devri İşlemlerinde Ara Dönem ve Kapanış Şartları

Due Diligence ve Data Room Hakkında Bilmeniz Gereken Temel Unsurlar

Finansmana Hızlı Erişim Yöntemi Olarak Paya Dönüştürülebilir Borç (Convertible Debt)

Yatırımcının Ödediği Primli Pay Bedelinin Nominal (İtibari) Değerden Farkı Nedir ve Nasıl Hesaplanır?

İletişim

SORUMLU KİŞİ SEÇİLMESİ

İLGİLİ DEPARTMAN MÜDÜRLERİNİN BİLGİLENDİRİLMESİ

ÇALIŞANLARI AYDINLATMA YÜKÜMLÜLÜĞÜNÜZ

KİŞİSEL VERİLERE ERİŞİM VE TEDBİRLER

İŞE ALIM SÜREÇLERİ

İş ilanları

Başvurular

Adaylarla görüşmeler

HASTALIK VE KAZA KAYITLARI

ÇALIŞANLARIN KİŞİSEL VERİLERİNE ERİŞİM ve DİĞER HAKLARI

Bize Yazın

Footer

Hizmetler

Önerilen Yazılar

İletişim

LINKEDIN