7 Nisan 2016 tarihinde Resmi Gazetede yayımlanarak yürürlüğe giren 6698 Sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”), iş başvurusunun yapılmasından, istihdamın sona ermesine kadar olan geniş İnsan Kaynakları süreçlerinde şirketlere çeşitli yükümlülükler yüklemektedir.
Bu çerçevede şirketlerin; adaylık süreçleri, istihdam süreçleri ve istihdam sonrası süreçlerinde kişisel verilerin toplanması, saklanması ve imhası ile ilgili izlemesi gereken yöntemleri tespit etmesi ve uygulaması gerekmektedir.
ADAYLIK SÜREÇLERİ
- ADAY BAŞVURU FORMLARI OLUŞTURUN
Adayın şirkete yapacağı iş başvurusunda hangi kişisel verilerini iletmesi gerektiğini siz belirleyin. Aday başvuru formları haricinde adayın kişisel verisini barındıran özgeçmişini sizinle paylaşmamasını sağlayın.
- ADAY BAŞVURU FORMLARINI ÖZELLEŞTİRİN
Oluşturduğunuz aday başvuru formlarını, başvurulan pozisyon özelinde düzenleyin. Böylelikle yalnızca adayı değerlendirmeye yönelik bilgilere sahip olun ve başvurulan pozisyonun gerektirmediği kişisel verileri işlemekten kaçının.
- ADAYI BİLGİLENDİRİN
Oluşturduğunuz aday başvuru formlarında adayı kişisel verilerinin işlenmesi ile ilgili süreçler hakkında bilgilendirin. Edineceğiniz kişisel verilerin hangi amaçla işleneceğini, kimlere ve hangi amaçla aktarılacağını, hangi yöntem ile toplanacağını ve adayın sahip olduğu hakları belirtin.
- ONAY ALIN
Adayın açık rızası ile işlenebilecek kişisel verilerin bulunduğu faaliyetleri tespit edin ve bu kişisel verileri işlemek için açık rıza alın. Adayın açık rızasını geri alma hakkı olduğunu kendisine hatırlatın.
- MAKUL SÜRE BELİRLEYİN
Adayın başvurusunu değerlendirmek için makul bir süre belirleyin ve bu sürenin sonunda başvurunun olumsuz sonuçlanması durumunda kişisel veriyi imha edin.
İSTİHDAM SÜREÇLERİ
- ŞEFFAF OLUN
İş ilişkisi süresince çalışanın hangi kişisel verisini hangi amaçla işleyeceğiniz konusunda çalışana karşı şeffaf olun. Şirket bünyesinde bulunan, çalışana ait kişisel verilerin hangi amaçla işleneceğini, kimlere ve hangi amaçla aktarılacağını, hangi yöntem ile toplanacağını ve çalışanın sahip olduğu hakları belirtin.
- ONAY ALIN
Çalışanın açık rızası ile işlenebilecek kişisel verilerin bulunduğu faaliyetleri tespit edin ve bu kişisel verileri işlemek için açık rıza alın. Çalışanın açık rızasını geri alma hakkı olduğunu kendisine hatırlatın.
- POLİTİKA VE PROSEDÜRLER BELİRLEYİN
Hangi çalışanın hangi kişisel veriye temas edebileceğini belirleyerek rol ve sorumluluk atamaları yapın.
Hem çalışana ait kişisel verilerin, hem de çalışanın eriştiği üçüncü kişilere ait kişisel verilerin işlenmesi ve imha edilmesi ile ilgili politikalar belirleyin ve hayata geçirin.
- KULLANIM AMACINI BİLİN
Çalışana ait kişisel verilerin hangi amaç kapsamında kullanılabileceğini belirleyin. İş ilişkisi ile ilgili olmayan kişisel verilerin şirket açısından hukuki sorumluluk doğurabileceği bilinciyle hareket edin.
- EĞİTİMLER DÜZENLEYİN
Kişisel verilerin korunması alanında periyodik aralıklarla farkındalık eğitimleri düzenleyin.
- KİŞİSEL VERİLERİ TAKİP EDİN
İstihdam süreci boyunca çalışana ait kişisel verilerin doğru ve güncel olmasını sağlayın. Kısa zamanda güncelliğini yitirecek kişisel verileri belirleyin ve bu kişisel verilerin güncel tutulması adına gerekli kanalları oluşturun.
- KİŞİSEL VERİLERİ SINIFLANDIRIN
Hangi kişisel verilerin özel nitelikli kişisel veri olduğunu ayırt edin ve hangi kişisel verilerin özlük dosyasından ayrı bir şekilde tutulması gerektiğini bilin.
Özel nitelikli kişisel veriye erişim sağlayan ayrıcalıklı kullanıcılar için ilave güvenlik tedbirleri alın.
Şirket içerisine girdiği anda kişisel verileri sınıflandırın.
- KAMERA SİSTEMLERİNİ DÜZENLEYİN
Şirket içerisinde ve çevresinde bulunan kameraların kaydettiği alanları, çalışanın özel hayatına müdahale etmeyecek şekilde ayarlayın.
- PARMAK İZİNE ALTERNATİF BULUN
Çalışanın mesai ve giriş-çıkış kontrolünü parmak izi yöntemi ile değil, temel hak ve özgürlüklere zarar vermeyen başka alternatiflerle sağlayın.
İSTİHDAM SONRASI SÜREÇLER
- MUHAFAZA EDİN
İş ve sosyal güvenlik mevzuatı uyarınca hangi kayıtları muhafaza etmeniz gerektiğini bilin.
- İMHA EDİN
Muhafaza etmek için gerekli yasal süreler dolduktan sonra ve muhafaza etmek için mevcut sebeplerin ortadan kalkması halinde kişisel verileri imha edin.
- SAĞLIK KAYITLARINA ÖZEN GÖSTERİN
Sağlık kayıtlarının yasaların belirlediği çerçevede korunmasına özen gösterin.
DİĞER SÜREÇLER
- KİŞİSEL VERİ ENVANTERİ OLUŞTURUN
Kişisel verilerin korunması mevzuatının öngördüğü şekilde kişisel veri envanteri oluşturun.
- GİZLİLİĞE ÖNEM VERİN
Gerek şirket içinde gerekse şirket dışında imzalanan sözleşmelerde “kişisel verilerin korunmasına ilişkin hükümlere” yer verin.
Disiplin süreçlerine kişisel veri ihlallerini de dahil edin.
- RİSK ANALİZLERİ YAPIN
Mahremiyet etki değerlendirmesi çalışması yapın.
Kişisel veri ihlallerini ve risklerini tespit kabiliyetine sahip olun.
Olası iç ve dış tehditleri tespit edin ve önleyin.
Olası kişisel ihlallerde ne şekilde aksiyon alınması gerektiğini belirleyen süreçler oluşturun.
- VERİ GÜVENLİĞİNİ SAĞLAYIN
RSK Veri Güvenliği ve Danışmanlık Hizmetleri ile iletişime geçin ve verilerinizin güvenliğini sağlayın.