Çalışan Verileri ve KVKK
İş dünyasında insan kaynakları süreçleri, çalışanların işe alımından performans yönetimine kadar geniş bir yelpazeyi kapsar. Ancak bu süreçlerin temel taşlarından biri, çalışanların kişisel verilerinin güvenli bir şekilde korunmasıdır. Günümüzde işverenler sadece maaş bilgilerini değil; sağlık verileri, iletişim bilgileri, performans kayıtları ve biyometrik veriler gibi özel nitelikli verileri de işlemek durumunda kalıyor. Bu noktada, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) işverenler için kritik bir yol haritası sunuyor.
Çalışan Verilerinin İşlenmesi
Çalışan verileri, işverenlerin personel yönetimi kapsamında topladığı tüm kişisel bilgileri ifade eder. KVKK’ya göre, bu veriler “kişisel veri” olarak sınıflandırılır ve işlenmesi belirli kurallara tabidir. İşte insan kaynakları süreçlerinde sıklıkla işlenen veriler:
- Kimlik ve iletişim bilgileri: Ad, soyad, telefon, adres, e-posta
- Özlük dosyası bilgileri: Maaş bordrosu, izin kayıtları, disiplin notları
- Sağlık verileri: İşe giriş muayeneleri, engellilik durumu, sağlık raporları
- Performans verileri: Çalışan değerlendirmeleri, eğitim kayıtları, terfi süreçleri
- Biyometrik veriler: Parmak izi veya yüz tanıma sistemleri gibi giriş-çıkış kayıtları
Bu verilerin tamamı KVKK kapsamında korunmalıdır. Özellikle sağlık ve biyometrik veriler, özel nitelikli kişisel veri olarak değerlendirildiği için ekstra güvenlik önlemleri gerektirir.
İş Hukuku Kapsamında Kişisel Verilerin Korunması
KVKK, çalışanların kişisel verilerinin işlenmesi sırasında işverenlerin uyması gereken hukuki çerçeveyi belirler. İnsan kaynakları departmanlarının, verileri toplarken, işlerken ve saklarken şu adımları dikkate alması gerekir:
- Açık Rıza ve Aydınlatma: Çalışanlardan alınacak kişisel veriler için aydınlatma metinleri hazırlanmalı ve gerekli durumlarda açık rıza alınmalıdır.
- Veri İşleme Politikalarının Güncellenmesi: Şirketin insan kaynakları politikaları KVKK uyumlu olacak şekilde revize edilmeli, hangi verilerin hangi amaçla işlendiği net bir şekilde belirtilmelidir.
- Veri Güvenliği Önlemleri: Veriler dijital veya fiziksel ortamda saklanırken şifreleme, erişim kontrolü ve log tutma gibi güvenlik önlemleri uygulanmalıdır.
- Yetki Sınırlandırması: Çalışanların tüm verilere erişimi engellenmeli; yalnızca görevleri için gerekli veriler erişime açılmalıdır.
- Silme ve Anonimleştirme: İş akdi sona eren çalışanların verileri, yasal süreler dolduğunda silinmeli veya anonim hale getirilmelidir.
Aşağıdaki tablo, KVKK kapsamında işlenen başlıca çalışan verilerini ve ilgili güvenlik önlemlerini özetlemektedir:
| Veri Türü | Örnekler | Güvenlik Önlemleri |
|---|---|---|
| Kimlik ve iletişim bilgileri | Ad, soyad, telefon, e-posta | Erişim kontrolü, şifreleme |
| Özlük dosyası bilgileri | Maaş bordrosu, izin kayıtları | Fiziksel kilit, şifrelenmiş dijital dosya |
| Sağlık verileri | İşe giriş muayeneleri, raporlar | Ekstra şifreleme, sınırlı erişim |
| Performans verileri | Eğitim kayıtları, terfi süreçleri | Rol bazlı erişim |
| Biyometrik veriler | Parmak izi, yüz tanıma | Şifreli saklama, sadece gerekli kişilere erişim |
İnsan Kaynaklarında KVKK’ya Uyum
KVKK’ya uyum sağlamak, sadece yasal bir zorunluluk değil; çalışan güvenini artıran ve şirket itibarını koruyan stratejik bir adımdır. İşe alım sürecinden performans yönetimine kadar tüm aşamalarda veri koruma bilinci olmalıdır.
İşe Alım Sürecinde Dikkat Edilecekler
- Açık Rıza Alınması: Adaylardan hangi verilerin hangi amaçla kullanılacağı, ne kadar süre saklanacağı ve kimlerle paylaşılacağı bilgisi açıkça verilmeli ve onay alınmalıdır.
- Veri Minimizasyonu: İşe alımda sadece gerekli veriler toplanmalıdır; gereksiz hassas veriler toplanmamalıdır.
- Güvenli Veri Saklama: Aday bilgileri yetkisiz erişimlere karşı korunmalı, şifrelenmeli ve güvenli bir ortamda saklanmalıdır.
Çalışanların Bilgilendirilmesi ve Onayı
KVKK, çalışanların kişisel verilerinin işlenmesi sırasında bilgilendirilmesini ve onaylarının alınmasını zorunlu kılar. Bu süreç, hem hakların korunmasını hem de işverenin yasal yükümlülüklerini yerine getirmesini sağlar.
- Aydınlatma Yükümlülüğü: Hangi verilerin işlendiği, amaçları ve paylaşım koşulları çalışanlara net bir şekilde aktarılmalıdır.
- Onay Süreçleri: Özellikle özel nitelikli kişisel veriler için yazılı onay alınmalıdır.
Veri Saklama ve İmha Süreçleri
KVKK, kişisel verilerin yalnızca gerekli süre boyunca saklanmasını ve bu sürenin sonunda güvenli şekilde imha edilmesini öngörür. Bordro bilgileri genellikle 10 yıl, iş başvurusu yapan adayların verileri ise daha kısa süreler için saklanabilir. Veri imha yöntemleri hem fiziksel hem de dijital ortamlarda güvenli bir şekilde uygulanmalıdır.
KVKK Uyumunda Dikkat Edilmesi Gerekenler
- Eğitim ve Bilinçlendirme: Çalışanlar ve yöneticiler KVKK hakkında bilinçlendirilmeli ve eğitilmelidir.
- Veri Envanteri: İşlenen tüm veri kategorileri kaydedilmeli ve hangi amaçla kullanıldığı belirlenmelidir.
- Politikaların Güncellenmesi: Veri işleme politikaları düzenli olarak gözden geçirilmeli ve güncellenmelidir.
- Denetim ve İyileştirme: KVKK uyumu düzenli olarak denetlenmeli ve eksiklikler giderilmelidir.
Sıkça Sorulan Sorular (SSS)
Soru 1: KVKK’ya göre işveren hangi çalışan verilerini toplayabilir?
Cevap: KVKK, işverenlerin iş ilişkisi için gerekli olan tüm kişisel verileri toplamasına izin verir.
Soru 2: İşten ayrılan çalışanların verileri ne kadar süre saklanmalıdır?
Cevap: Yasal yükümlülüklere bağlı olarak saklanır. Örneğin bordro bilgileri genellikle 10 yıl, diğer veriler daha kısa süreli saklanabilir.
Soru 3: Açık rıza alınmadan veri işlemek mümkün mü?
Cevap: Yasal yükümlülükler veya sözleşmesel zorunluluklar açık rıza olmadan veri işlemeye izin verir ancak bu durumda bile aydınlatma yapılması gereklidir.
Soru 4: Biyometrik veriler neden özel nitelikli veri sayılır?
Cevap: Çünkü bu veriler kişiyi doğrudan tanımlar ve kötüye kullanımı ciddi mahremiyet ihlallerine yol açabilir.
Sosyal Medya Hesabımızı Takip Edebilirsiniz: Linkedin
