İnsan Kaynakları İçin KVKK Rehberi
15/10/2019Kişisel Verilerin Koruma Kanunu’nun(KVKK) 2016’da hayatımıza girmesinden sonra markaların son kullanıcılardan izin (Açık Rıza Beyanı) alma yarışlarına girdiğini hepimiz biliyoruz. Son kullanıcıdan verilerini saklamaları yönünde izinlerini alan şirketlerin KVKK adına kendi üstlerine düşeni yaptıkları yanılgısına düşmelerine yol açarken, kendi iç süreçlerinde bu adımı atlıyor olmaları bir takım cezai durumlar yaşamalarına yol açıyor. Bu nedenle KVKK’nın şirketlerde bir dönüşüme yol açtığı aşikar. Bu dönüşüm üst yönetimde karar noktasında başlayan, operasyonun tümünü gerçekleştirecek olan İnsan Kaynaklarından geçen, çalışanın her anında çalışana dokunan bir yapıda tasarlanmalıdır. İşte bu noktada insan kaynakları gibi tüm çalışanların dolaylı olarak bağlı olduğu bir departmanın alması gereken önlemler ortaya çıkıyor.
İnsan kaynaklarının KVKK’yı ihlal etmeye yaklaştığı anlar istihdam öncesinden başlarken, çalışanın şirkete adım attığı ilk an ve sonrasında da devam eden süreci kapsıyor. Alınması gereken önlemleri sizin için sıraladık.
• İş başvurusu yapan adayı bilgilendirmeyi unutmayın
Adayın kişisel bilgilerinin olduğu CV’lerin ne kadar süre şirket veritabanında tutulacağını sadece ilgili kişiler dışında paylaşımda olmayacağını ve ne zaman imha veya anonimleştirileceğini ayrıntılı olarak aday ile paylaşmalısınız. Tüm bu süreçleri dijital ortamda Microsoft Forms ile kurgulayabilirsiniz.
• CV’leri(Özgeçmişleri) en güvenli koşulda saklayın
CV’lerin saklanma koşullarının (dijital veya fiziksel) herhangi bir ofis kazası veya siber saldırıya karşı korunaklı olması gereklidir. Fiziksel ortamdaysa kilitli dolaplarda ilgili görevlinin dışında erişime uygun olmadığından emin olurken, dijital ortamdaysa siber saldırılara karşı gerekli bilgi işlem çözümlerine sahip olmalısınız. Bu güvenli saklama koşulları için Microsoft’un OneDrive’ını kullanabilir ya da yeni nesil insan kaynakları iletişim portalı olarak konumlanan Microsoft Teams platformunu kullanabilirsiniz. Yardım almak için bizimle iletişime geçin.
• kişilerin bilgilerinin (referans) onaylı olduğundan emin olun
• kişilerin bilgileri bulunan CV’lerde adaydan rıza alınması gerekliyken, adayın da referans aldığı kişiden rıza alması gerekmektedir. Bunu yapabilmek için çalışanlar CV’lerini paylaştıklarını dijital ortamlar üzerinden onay verebileceği bir alan yaratılması gerekir veya mülakatalar sırasında bu beyanı yazıl bir form aracılığı ile alınması gerekir.
• Özlük dosyası içeriği değişti, çalışanlarınızdan istediğiniz bu maddeler için ek önlemler alın
KVKK’ya göre özel nitelikli kişisel verilere giren sağlık bilgileri veya sabıka kaydının adaydan istenmesi durumunda muhafaza koşullarının KVKK süreçlerine uygun olması gerekmektedir.
• Çalışanlarınıza KVKK’yı anlatın ve sözleşmelerinize KVKK maddesi ekleyin
Çalışanlarınıza KVKK’ya yönelik haklarını basılı veya dijital ortamda aktarıyor olmalısınız. İlettiğiniz KVKK prosedürünü edindiğinde dair bir maddeyi hatta onay almanız gereken (çalışan fotoğraflarının sosyal mecralarda paylaşımı vb.) konuları çalışma sözleşmelerinize ekleyebilirsiniz.
• Çalışanların fotoğraflarını paylaşmadan onay almayı unutmayın
Çalışan fotoğraflarının izinsiz bir şekilde dijital veya basılı mecralarda paylaşılması KVKK’ya göre ihlal nedenidir. Mutlaka önceden çalışandan onayları alınmalıdır. Fotoğraf kullanım onayı için kurum içi iletişimde kullandığınız intranetler oldukça iş görebilirken, çalışma sözleşmelerine ekleyeceğiniz maddeler de bu konuya çözüm sağlayacaktır. Güvenlik kameralarını konumlandırırken dikkatli olun.
• Güvenlik kameraların açılarını çalışanın özel hayatına müdahale etmeyecek şekilde konumlandırılmasına özen gösterin.
Kameranın çalışanların ekranlarını doğrudan görüntüleyecek şekilde yerleştirilmemesine özen gösterirken, şirketinize gelecek olan misafirlerinizi de şirket içerisinde güvenlik kamerası olduğunu bilmelerini sağlayacak yönlendirmeler konumlayabilirsiniz.
• Parmak izi veya retina taraması özel nitelikli kişisel veridir güvenlik çözümlerinde tercih etmemeye özen gösterin.
Şirket giriş çıkışlarda biyometrik parmak izi ve retinaya alternatif çözümler üretebilirsiniz. Örneğin çalışanın ID’sini yükleyebilecek ve temassız olarak geçiş işlemini yapacak sistemler bu sorun için bir çözüm olabilir.
• Bilgi işlem departmanınıza risk analizi yaptırın
Dijital ortamda saklanan verilerin saklanma koşullarını en iyi hale getirmek zorundasınız iç ve dış siber saldırılara uğramamak için risk analizine sokulması gerekiyor. Çalışan dijital verilerinin kanunlara uygun biçimde belirlenen süreler boyunca saklanması herhangi bir talep olduğunda sistem kayıtlarına hızlıca bakılabilmesi gereklidir.
İnsan kaynaklarının ve IT departmanlarının soru işaretlerinde başvurması gereken başucu düzenlemeleri nelerdir?
• 4857 sayılı İş Kanunu,
• 5510 Sayılı SSGSK Kanunu,
• 6331 Sayılı İş Sağlığı ve Güvenliği Kanunu,
• 6098 Sayılı Borçlar Kanunu,
•6698 Sayılı Kişisel Verileri Kanunu ve yönetmelikler gereği,
• 5434 sayılı Emekli Sağlığı Kanunu,
• 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun,
• Çalışma Bakanlığı ve SGK Müfettişlerince yapılan denetimlerde,
• 30808 Sayılı ve 21.06.2018 Tarihli Resmi Gazetede yayınlan Kişisel Sağlık verileri Hakkında Yönetmelik,
• Veri bankasında gerektiğinde iletişime geçmek üzere,
• İstatistiksel Çalışmalar için,
• Ayrıca mahkeme ve bilirkişi incelemelerinde sunmak üzere,
• Yerel Kolluk Kuvvetleri ve Organize Sanayi Müdürlüğü’ne istenmesi durumunda sunmak üzere