İşe Alım Sürecinde Kişisel Verilerin Korunması
Veri sorumluları, işe alım sürecinde, adayların kişisel verilerini toplamakta ve uygun adayların belirlenmesi için bu verileri işlemektedir. Dolayısıyla, veri sorumluları işe alım sürecinde toplanan ve işlenen bu kişisel verilerin korunması için gereken tedbirleri almak ve ilgili kişileri konu ile ilgili olarak aydınlatmakla yükümlüdür.
Öncelikle, veri sorumlusu tarafından, işe alım sürecinde görev alacak çalışanlara kişisel verilerin korunması ile ilgili özel eğitimler verilmelidir. Görevli çalışanların, kişisel verilerin korunması ile ilgili kuralları ve yükümlülükleri bildiklerinden ve işe alım sürecinde elde edilecek kişisel verileri bu kurallara uygun olarak işleyeceklerinden emin olunmalıdır.
Adaylar, işe alım sürecinde kişisel verilerini kime ilettiklerini bilmeli ve işe alım işleminin hangi gerçek veya tüzel kişi adına yapıldığı belirtilmelidir. Elde edilen kişisel verilerin yalnızca işe alım ve değerlendirme amacıyla kullanılması gerekmektedir. Örneğin, işe alım sürecinde elde edilen kişisel veriler kullanılarak reklam ve pazarlama faaliyetinde bulunulması, kişisel verilerin korunması ile ilgili yükümlülüklerin veri sorumlusu tarafından ihlal edildiği anlamına gelecektir. Ayrıca, işe alım sürecinde elde edilen kişisel veriler, güvenli bir şekilde muhafaza edilmeli ve ilgili kişinin rızası olmadan hiç kimse ile paylaşılmamalıdır. İşe alım ve değerlendirme süreci tamamlandıktan sonra elde edilen kişisel veriler silinmeli, yok edilmeli veya anonim hâle getirilmelidir.
Adaylardan işe alım için gerekenden fazla bilgi talep edilmemelidir. Adaylardan toplanan kişisel verilerin işe alımla doğrudan bağlantılı ve sınırlı olmasına dikkat edilmelidir. İş başvuru formları bu husus dikkate alınarak hazırlanmalıdır. Örneğin, şoför olarak işe alınmayan ya da şirket araçlarını kullanmayacak kişilere, geçmişteki trafik kazaları ve cezaları sorulmamalıdır. Benzer bir şekilde, daha işe alınmayan bir adayın banka hesap bilgileri talep edilmemelidir.
Adayların işe alım sürecinde ayrımcılığa sebep olabilecek, -siyasi görüşü ve dini inancı gibi- özel nitelikli kişisel verileri toplanmamalı ve işlenmemelidir. Bununla birlikte, işe alım sırasında yapılacak psikolojik testler ve alkol/uyuşturucu testleri sonucunda elde edilecek ya da adayın sağlık durumuna dair toplanacak kişisel veriler için adaylar aydınlatılmalı, adaylardan açık rıza alınmalı ve bu veriler toplanırken, işlenirken ve aktarılırken daha fazla özen gösterilmeli ve gerekli tedbirler alınmalıdır.
Çalışma Süresince Kişisel Verilerin Korunması
4857 sayılı İş Kanunu’nun 75’inci maddesi uyarınca; işveren, çalıştırdığı her işçi için bir özlük dosyası düzenlemek ve bu dosyada, işçinin kimlik bilgilerinin yanında, İş Kanunu ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorundadır.
Kişisel Verilerin Korunması Kanunu’na göre ise, işveren, çalışanlarının özlük dosyasında yer alan kişisel veriler hakkında ve bu verilerin hangi amaçlarla tutulduğu ve işlendiğine dair çalışanlarını bilgilendirmekle yükümlüdür. Bununla birlikte, çalışanların kişisel verilerinin işlenmesi için çalışanlardan açık rıza alınmasına gerek bulunmamaktadır. Kişisel Verilerin Korunması Kanunu’nun 5’inci maddesinin 2’nci fıkrasının a bendine göre, kanunlarda açıkça öngörülmesi durumunda ilgili kişinin rızası alınmaksızın kişisel verileri işlenebilmekte ve İş Kanunu 75’inci madde uyarınca özlük dosyası oluşturulurken çalışanların kişisel verilerinin işlenmesi gerekmektedir.
Çalışanlara ait kişisel verilerin güvenliği için teknik tedbirler alınmalıdır. Basılı evraklar, yalnız yetkili kişilerin erişebileceği şekilde kilit altında tutulmalı ve evrakların tutulduğu yerlerin (hırsızlık, yangın, sel vs. olaylara karşı) güvenliği sağlanmalıdır. Bilişim sistemlerinde tutulan kişisel veriler şifrelenmeli ve yalnızca yetkili personelin erişimine açılmalıdır. Ayrıca bilişim sistemleri, güvenlik duvarı, ağ geçidi, antivirüs yazılımı vb. aracılığıyla korunmalı ve siber güvenlik alanında gerekli istihdam sağlanmalı veya destek alınmalıdır. Kişisel verilerin taşınabilir bellek ve CD gibi dış ortamlara aktarılması sınırlandırılmalıdır. Bunlara ek olarak, çalışanlara ait kişisel verilere erişimi olan kişilerle gizlilik sözleşmesi imzalanmalı, çalışanların iş sözleşmelerine kişisel verilerin korunmasına dair hükümler eklenmelidir.
Son olarak, çalışanların kendileri hakkında tutulan kişisel verilerine erişme hakkı bulunmaktadır. Dolayısıyla, veri sorumluları, çalışanlarına kişisel verilerini kontrol etme ve gerektiğinde düzeltme imkânı tanımalıdır.
