İK Departmanları İçin KVKK Rehberi: 5 Temel Adım
İK departmanları için KVKK neler getiriyor?
İK, bir kuruluşun KVKK (Kişisel Verilerin Korunması Kanunu) uyumluluğunda çok önemli bir rol oynar.
Departman, çalışanlar, yakınları veya iş ilanlarına yanıt veren adaylar gibi kişisel verilerle doludur.
Hassas bilgilerin işlenmesinde böylesine aktif bir role sahip olan İK personeli, çalışanları korumak ve yasal gerekliliklerini karşılamak için gereken her şeyi yaptıklarından emin olmalıdır.
İK’nın kişisel verileri işlerken ele alması gereken beş konuya bir göz atalım.
Veri işleme için yasal dayanak
Onay: birey, veri işlemeyi kabul eder.
Bireyle yapılan bir sözleşme: örneğin, talep ettikleri mal veya hizmetleri tedarik etmek veya bir çalışan sözleşmesi kapsamındaki bir yükümlülüğü yerine getirmek için.
Yasal bir yükümlülüğe uyum: belirli bir amaç için veri işlerken yasal bir gerekliliktir.
Hayati çıkarlar: örneğin, verilerin işlenmesi bir kişinin fiziksel bütünlüğünü veya yaşamını (veri sahibinin veya başka birinin) koruyacağı zaman.
Bir kamu görevi: örneğin, kamu yararına olan resmi işlevleri veya görevleri tamamlamak. Bu genellikle devlet daireleri, okullar ve diğer eğitim kurumları gibi kamu kurumlarını kapsayacaktır; hastaneler; ve polis.
Meşru menfaatler: Bir özel sektör kuruluşunun, bireyin hakları ve özgürlükleri üzerindeki olumsuz etkilerden ağır basmaması koşuluyla, kişisel verileri izinsiz olarak işlemek için gerçek ve meşru bir nedeni (ticari menfaat dahil) olduğunda.
KVKK’den önce, rıza, kişisel verileri yasal olarak işlemenin en kolay yolu olarak kabul edildi, ancak kanun yalnızca izin gereksinimlerini sertleştirmekle kalmadı, aynı zamanda kuruluşların çalışanların kişisel verilerini toplamak için rıza kullanmasını imkansız hale getirdi.
Bunun nedeni, bir çalışan ile işveren arasında bir güç dengesizliği olması durumunda rızanın serbestçe verilemeyeceğini belirtmesidir.
Bu nedenle İK departmanları alternatif bir yasal dayanak aramalıdır; en uygun olanı genellikle sözleşmeye dayalı gereklilik, yasal bir yükümlülük veya meşru çıkarlardır.
KVKK Uyum Sürecini Zahmetsizce Tamamlayın
Kişisel Verilerin Korunması Kanunu(KVKK) kapsamında kişisel verilerinizi zahmetsizce koruma altına almak ve VERBİS yükümlülüğünüzü yerine getirmek için KVKK uzmanlarımızdan hemen destek alın!
İlgili Kişinin hakları
Meslektaş olabilirler, ancak kişisel verileri söz konusu olduğunda, kuruluşunuzdaki herkese, müşteriler veya müşterilerle yaptığınız gibi veri öznesi olarak davranmalısınız.
Bu, kuruluşunuzun kişisel bilgileri işleme yöntemiyle ilgili haklarının farkında olmalarını sağlamak demektir. Sekiz veri konusu hakkı vardır:
- Bilgilendirme hakkı
- Erişim hakkı
- Düzeltme hakkı
- Silme hakkı
- İşlemeyi kısıtlama hakkı
- Veri taşınabilirliği hakkı
- İtiraz etme hakkı
- Profil oluşturma dahil otomatik karar verme ile ilgili haklar
Erişim hakkı, açık farkla en çok erişilen haktır, çünkü çalışanlar bir şikayette bulunmadan önce bir kuruluşun verilerini işleme şeklini gözden geçirme eğilimindedir.
Veri koruma politikanız, çalışanların veri konusu erişim talebi gönderebileceklerini belirtmeli ve bunu nasıl yapabileceklerini açıklamalıdır.
Resmi bir süreç olmamalıdır; herhangi bir yazılı veya sözlü talep, bir çalışanın “Bende hangi verileri sakladığını görmek isterim” demesi kadar basit olsa bile yapılmalıdır.
Bu nedenle, İK departmanındaki herkes, bir talepte bulunulduğunu ve gerekli bilgileri almalarını ve bir aylık süre içinde yanıt vermelerini sağlamak için izlemeleri gereken süreci tanımak üzere eğitilmelidir.
İş başvuruları
İK departmanları, bir iş ilanı yayınladıklarında büyük miktarda kişisel veri alırlar. CV’ler veya uygulamalar isimler, adresler, e-posta adresleri ve istihdam geçmişini içerecektir.
Çalışan verilerinde olduğu gibi, hem işleme için yasal dayanağınızı hem de başvuru sahiplerinin veri sahibi haklarını nasıl kullanabileceklerini açıklamalısınız. Bunu başvuru formuna koyabilir veya iş ilanınıza bağlantı verebilirsiniz.
Dokümantasyon süreci nispeten basit olsa da – genel olarak bir iş başvurusunda bulunurken kişisel ayrıntılar vermeniz gerektiği kabul edilir – veri saklamaya dikkat etmelisiniz.
KVKK, kuruluşların kişisel verileri yalnızca toplandıkları amaç için gerekli olduğu sürece saklayabileceğini belirtir.
Ancak, verileri bundan daha uzun süre saklamak isteyebilirsiniz – örneğin, bir başvuru sahibi bu durumda başarısız olursa, ancak gelecekteki roller için uygun olabilir. Bu, meşru menfaatlere bir örnektir ve veri saklama politikanız, başvurularda bekletmek isteyebileceğiniz bir ihtimal varsa bunu belirtmelidir
Kabul edilebilir kullanım
Kuruluşunuzun zaten kabul edilebilir bir kullanım politikasına sahip olma ihtimali yüksektir. Çalışanların ofiste çalışarak zaman geçirmeleri gerektiğini, işverenlere işlerini yapmak için yeterince zaman harcamayanları disipline etmeleri veya cezalandırmaları için makul gerekçeler sunmaları gerektiğini açıkça açıklıyorlar.
Ancak bu politikayı görmezden gelenler sadece tembellik yapmakla kalmıyor, aynı zamanda organizasyonun güvenliğini de potansiyel olarak tehlikeye atıyor.
Kuruluşların yasakladığı saygın olmayan web sitelerinin çoğu, ağları sakatlayabilen veya tuş kaydediciler söz konusu olduğunda gizlice hassas bilgileri sifonlayabilen, bilinen kötü amaçlı yazılım ve virüs kaynaklarıdır.
Çalışan izleme
Kuruluşlar, çalışanların kabul edilebilir kullanım politikalarına uyduğundan emin olmak için izleme araçlarını uygulamaya cazip gelseler de, bunu nasıl yapacakları konusunda çok dikkatli olmalıdırlar.
İşverenler, personellerinin çalışma saatleri içinde ne yaptığına göz kulak olma hakkına sahiptir, ancak hem görüntüleri hem de tarayıcı geçmişleri KVKK kapsamında kişisel veriler olarak kabul edilir, bu nedenle kuruluşların işlemeden önce yasal bir temele ihtiyacı vardır.
Ayrıca izleme sırasında olabildiğince kasıtlı ve göze batmayan olmalıdırlar. İşverenler, kötüye kullanım kanıtı bulmaları ihtimaline karşın, bir çalışanın tarayıcı geçmişini ve işyeri iletişimlerini incelemek için kapsamlı veya otomatik izleme yöntemlerini (casus yazılım gibi) kullanma konusunda hiçbir koşulda haklı değildir.
İşverenler ayrıca, çalışanın bilgisayarının başında fiziksel olarak oturmak ve özel iletişimlerine bakmak gibi izlemelerinden hiçbir iz bırakmayan yöntemlerden de kaçınmalıdır.
Ekibinizi tek bir yerde toplayın
Veri koruma herkesin sorumluluğundadır; Takımın geri kalanı ne yapacaklarından emin değilse kıdemli personelin yasal gereklilikleri ve en iyi uygulamaları anlamasının bir faydası yoktur.
Hassas bilgilerle uğraşan herkesin, maliyetli hatalardan kaçınmak için uzman eğitimine ihtiyacı vardır.
KVKK eğitimlerimize kaydolarak başlayabilirsiniz.
Dünyanın ilk sertifikalı KVKK eğitim programını tanıtan ekip tarafından tasarlanan bu bir günlük kurs, personelinize uyumluluk gereksinimlerinizi ve kişisel verileri korumak için atmanız gereken adımları tanıtır.
