CV toplama ve saklama süreçlerinde İşverenlerin Kişisel Verileri Koruma Kanunu’ndan doğan yükümlülükleri hakkında bir takım tavsiyeler.
Bilindiği üzere Kişisel Verileri Koruma Kanunu (Kanun) 7 Nisan 2016 tarihinde Resmi Gazete’de yayımlanarak yürürlüğe girdi ve Kanun kapsamındaki gerçek ve tüzel kişilere kendilerini Kanun’a uyumlu hale getirmeleri için 2 yıllık bir süre öngördü. Yıllık çalışan sayısı 50’den çok veya yıllık mali bilanço toplamı 25 milyon TL’den çok olan gerçek ve tüzel kişi veri sorumlularına herhangi bir erteleme olmazsa VERBİS kayıt yükümlülüğünü yerine getirmeleri için 30.06.2020 tarihine kadar süre verilmiş olsa da veri işleyen kişiler bundan bağımsız olarak uzun süredir 6698 sayılı Kanun’a uygun hareket etmek zorunda. Hal böyle olunca şirketler veri işleme faaliyetlerini yerine getirirken Kanun’da yer alan şartları karşılayarak, veri işleme faaliyetlerinde bir takım yükümlülük ve sorumluluklara sahip oldu. Bahse konu sorumluluklara örnek olarak; Aydınlatma yükümlülüğünün yerine getirilmesi, veri güvenliğini sağlamak adına her türlü teknik ve idari tedbirin alınması, ilgili kişilerin veri sorumlusuna yaptığı başvuruların cevaplanması ve iş hayatında çok büyük gündem olan VERBİS kayıt yükümlülüğü verilebilir.
İşverenler ve bünyelerinde KVKK uyumluluğu ile ilgilenen departmanlarda görülen en büyük yanlışlardan biri; KVKK uyumluluğunun yalnızca VERBİS kaydının tamamlanmasından ve birkaç genel aydınlatma metni hazırlanıp, battaniye rızalar alınmasından ibaret olarak görülmesi oldu. KVKK uyum projelerini alanında uzman hukukçularla yapmayan şirketlerde bu yanlış anlaşılmaların VERBİS kaydının eksik veya envanterle uyumsuz olarak yapılması, hatalı irtibat kişisi seçilmiş olması ile KVKK’da yer alan tüm yükümlülüklerin ve sorumlulukların yerine getirildiğinin düşünülmesi gibi çok önemli hatalara sebep olduğunu göreceğiz. Kurul’un daha önceki VERBİS erteleme kararının sebeplerinde de şirketlerin bu alanda yaptıkları büyük hatalarının şirketlerin ekonomik anlamda mahvına sebep olabileceği yazmaktaydı. Kişisel Verilerin Korunması Kanunu’na tam uyumluluğun sağlanması ve Kişisel Verileri Koruma Kültürü’nün şirketlere yerleşmesi ancak titiz ve yeterli farkındalığın sağlandığı bir projeyle mümkün olabilir. Aksi halde şirketleri bekleyen milyonlarca liralık idari para cezaları ve hak ihlallerine bağlı tazminat talepleri gündeme gelebilir.
6698 sayılı Kanun’u diğer Kanunlardan ayıran özelliklerden biri ise; diğer kanunlar yalnızca kendi alanlarını düzenleyen dikey kanunlar olarak nitelenebilirken, Kişisel Verilerin Korunması Kanunu’nun her alana ve mevzuata temas eden yatay bir kanun olarak nitelenmesidir. Bu sebeple uyum süreçlerinin Şirketler içinde özellikle İnsan Kaynakları ve Bilişim Teknolojileri departmanlarını ilgilendirebileceği düşünülse de multidisipliner bir alan olan kişisel verilerin korunması hukukunda her departmanı hatta her şahsı ilgilendiren aynı zamanda gerçek kişilerin iş dışındaki sosyal hayatlarını da tamamen içerisine alan bir özelliği bulunmaktadır.
İşbu yazımızda ise Kanun’a uyumun İnsan Kaynakları bölümünü ilgilendiren önemli bir kısmına değinmeye çalışacağız. KVKK Uyum Projelerinin tüm çalışanların, özellikle verilere temas eden beyaz yakalı çalışan ve yöneticilerin katılımıyla hayata geçirilmesi gereken kümülatif ve derin projelerden biri olması sebebiyle yazımızda değindiğimiz hususların da dikkat edilmesi gereken kaidelerden yalnızca bir kaçı olduğunu tekrar hatırlatırız.
CV toplanması, İş Başvuru Formları ve CV havuzlarının oluşturulması süreçlerinde KVKK Kapsamında dikkat edilmesi gereken hususlar:
Uygulamada ve yapmış olduğumuz projelerde görülen hatalardan biri CV toplanırken ilgili kişilere yani çalışan adaylarına herhangi bir aydınlatma yapılmaması. Böyle bir eksiklik halinde Kanun metni açık olup, aydınlatma yükümlülüğünü yerine getirmeyen şirketlere 180.264TL’ye kadar idari para cezası uygulanabilmekte.
Kurul anılan cezaları düzenlerken eğer başka bir yükümlülüğün de yerine getirilmediğini, örneğin veri güvenliğine ilişkin tedbirlerin de alınmadığını tespit ederse verilen idari para cezasına ilave olarak 1.802,641TL’ye kadar idari para cezası da uygulayabilir. Anılan eylem TCK 135-140. Maddeler aralığına göre suç teşkil ediyor ise ceza davası ayrıca görülecek olup gerçek kişiler hakkında 6 yıla kadar hapis cezası, tüzel kişiler hakkında ise çeşitli güvenlik tedbirlerine hükmedilebilme riski mevcuttur.
Peki CV’ler ile İş Başvuru Formları nasıl toplanmalı?
Öncelikle CV’lerin toplandığı tüm kanallar belirlenmelidir. Eğer ki işletmenizde gazete ilanı ile personel aranıyorsa gazete ilanlarının altına eklenecek küçük bir karekod ile ilgili kişilerin ulusal ve uluslararası ilke ve mevzuatlara uygun olarak hazırlanmış aydınlatma metnini okumaları ve okuduklarına dair veri sorumlusuna bildirim vermeleri gerekmektedir. Bahse konu bildirimin ilgili kişiden alınmasının sebebi ilgili kişiye karşı yapılan aydınlatmanın yapıldığına dair ispat yükünün veri sorumlusu üzerinde olmasıdır. Aydınlatma yaparken dikkat edilmesi gereken bir diğer husus ise veri sorumlusunun ilgili kişinin kişisel verisine temas ettiği anda yapılması gerekliliğidir.
İşletmelerin güvenlik kulübelerine bırakılan CV’ler ve iş başvuru formlarının akıbeti ne olacak? Veri Koruması Hukukunun en önemli ilkelerinden bazılarına burada değinmek faydalı olacaktır. Kanunumuzun mehaz aldığı Avrupa Birliği mevzuatının en güncel hali GDPR’dır. GDPR(Avrupa Birliği Genel Veri Koruma Tüzüğü) ise bizlere veri minimizasyonu(sadeleştirilmesi) hakkında yol gösterir. Buna göre işleme amaçları dışında veya gerektirdiğinden fazla veri toplamak veri güvenliğine ilişkin tehlikeyi artırması sebebiyle yanlış bir uygulamadır. Diğer bir deyişle işletmeler hem CV’lerde hem de iş başvuru formlarında yer alan gereksiz bilgi taleplerini mevcut formlarından çıkartmalıdırlar. Yanlış yapılan uygulamalarla, iş başvuru formu ve CV’ler aracılığıyla çalışan adaylarının ve gelecek çalışanların din, sağlık durumu, adli sicil kaydı, üyesi bulunulan dernek, sendika, vakıf gibi hassas(özel) nitelikli kişisel verileri hiçbir aydınlatma yapılmadan toplanılıyor olabilir bu uygulamanın en büyük yanlışlığı toplanılan hassas nitelikli verilerin yalnızca aydınlatma metni okutulması ile de yapılamayacak ayrıca ilgili kişiden belirli bir konuya ilişkin özgür iradesiyle açık rıza alınması gereken veri türlerinden olmasıdır. Örneğin bir çalışan adayının sigara içip içmediği bilgisi ile adli sicil kaydı verileri hassas nitelikte kişisel veriler olup işçiden açık rıza alınmaksızın sadece veri ilgilisine aydınlatma yapılarak alınması hukuka aykırılık teşkil edecektir.
Mail yolu ile CV toplanmasında uygulanması tavsiye edilen yöntemler: Çoğu firma aday CV’lerini insankaynaklari@firma.com veya muhasebe@firma.com gibi mail adresleri vasıtasıyla toplamaktadır ve karşılığında herhangi bir aydınlatma yapmamaktadır bu işlem sonucunda elde edilen veri hukuka aykırı olarak elde edilmektedir. Bu durum da yine çok büyük risk teşkil ettiği gibi Yetki Matrislerinin (erişim yetkilerinin düzenlenmesi) düzgün şemalarla yapılmaması sebebiyle şirket çalışanları maillerine gelen CV’leri hem çıktı alarak hem de sanal ortam vasıtasıyla fikir almak amacıyla birbirlerine gönderebilmektedirler. Bu durumda hem KVKK hem de Türk Ceza Kanunu kapsamında kişisel verilerin hukuka aykırı olarak aktarılması sonucu doğmaktadır.
İyi ama neden böyle bir düzenleme var? Çalışan adayı ilgili kişi sıfatıyla şirketin işe alım süreçlerini yürüttüğünü düşündüğü çalışana (veri sorumlusu bordrosunda çalışan veri işleyene) CV’siyle beraber ad-soyad, adres, telefon, fotoğraf gibi özel hayatına ilişkin bazı kişisel verilerini gönderir. Bu CV’yi göndermesindeki amaç ise uygunluğunun değerlendirilip işe alınma arzusudur. Bahse konu CV’nin şirkette çalışan husumetli olduğu bir kimseye veya kendisine duygusal yönden saplantılı birine ulaşması halinde ise ilgili kişinin özel hayatı ile can ve mal güvenliği tehlikeye girebilir. İşte kişisel verilerin korunması hukuku bu ve buna benzer ve hatta bunun ötesinde çok sayıdaki ihtimalin bertaraf edilmesi amacıyla doğmuştur.
CV havuzlarının oluşturulmasında dikkat edilecek hususlar:
İşbu konudan bahsederken veri sadeliği, verilerin doğru ve güncel olması ile işlendikleri amaç için gerekli olduğu sürece muhafaza edilmesi ilkelerinin üzerinde durmamız gerekmektedir. CV’leri saklarken yapılması gereken ilk şey yukarıda da bahsettiğimiz gibi CV’lerin ve içerisinde yer alan kişisel verilerin hukuka aykırı olmayan yollarla elde edilmesidir. Bunun için de CV’lerde ve İş Başvuru Formlarında gereksiz ve fazla veri olmaması, hassas nitelikli veri içermemesi aynı zamanda İlgili Kişiye de aydınlatma yapılmış olması gerekmektedir. Eğer ki elimizdeki belgede hassas nitelikli bir veri var ise bu defa gündeme açık rıza alınması gelir. Açık rıza belirli bir konuya ilişkin olarak özgür irade ile alınmış olmalıdır ve çok kaygan bir zemin üzerinde durur. İlgili kişi hiçbir sebep göstermeden açık rızasını geri çekme hakkına sahiptir. Aynı zamanda açık rızayı alırken birden fazla veri türünü ve veri işleme kategorisini, ileride doğabilecek veri türlerini ve işleme kategorilerini içeren bir rıza alınamaz. Bu sebeple mümkün olduğunda veri minimizasyonu sağlanması ve açık rızadan ve açık rıza gerektiren hallerden uzak durmak işverenlerin faydasına olacaktır.
CV ve iş başvuru formlarında yer alan bilgilerin doğru ve güncel olması gerekir. Bu sebeple eskiyen CV’lerin periyodik olarak kontrol edilmesi ve yok edilmesi gerekliliği doğar. Burada akıllara bir CV ne zaman eskir sorusu gelir. Bu sorunun net bir cevabı olmamakla birlikte her CV’yi kendi özelinde değerlendirmek en mantıklısı olacaktır. Bir stajyerin CV’si devam eden akademik hayatının yanında çalıştığı ve tecrübe ettiği işlerle birlikte 1 senede eskiyebilir. Bu durumda ilgili kişiye ait CV’nin imhası yerinde olacaktır. Bir diğer yandan alanında uzman ve spesifik bir alanda çalışan ülkemizde nadir bulunan bir astrofizik mühendisinin CV’si kendine kattıklarıyla hızlıca değişebilse de, o alanda çalışan bir şirketin bu kişiyi CV havuzunda daha uzun süre tutması akla uygun ve mantıklı olarak değerlendirilebilir.
CV havuzlarında dikkat edilmesi gereken bir diğer husus ise bahse konu veri bankalarının nerede muhafaza edileceğidir. Öncelikle sanal ve fiziki dünya ayrımına bakmakta yarar görmekteyiz. Eğer ki CV’ler fiziksel ortamda tutuluyorsa; Yetki Matrisi kapsamında yetkilendirilmiş departmanın yetkili kişisinde anahtarı olan bir arşiv odasında yanmaz, su geçirmez, sağlam ve kilitli bir dolapta tutulmalıdır. Sanal ortamda ise birden fazla şekilde şifrelenmiş, yalnızca insan kaynakları yetkilisi tarafından erişilebilen klasörlerde tutulmasında fayda vardır. Eğer ki CV’ler hem fiziki hem de sanal ortamda tutuluyorsa, veri sadeliğini sağlamamaktan dolayı ve veri ihlali risklerini artırmasından dolayı veri sorumlusunun her türlü teknik ve idari önlemi alma yükümlülüğünü ihlal ettiği için kanuna aykırı bir uygulama gerçekleşmiş olur.
CV’ler sanal bulutlara yükleniyor ise şifreli açılan bilgisayar ile içerisinde şifreli klasörde bulunan şifreli programa kaydedilen ve şifre ile giriş yapılan sanal bulutların yurtiçi sunucularında bulunması gerekmektedir. Yurt dışı sunuculara veri aktarılıyor ise yasal düzenlemeye aykırı olarak yurtdışı veri aktarımı yapılıyor olacağından hukuka aykırılık meydana gelecektir. Ne kadar çok şifre ve güvenlik önlemi alırsak verilerimizi o kadar çok koruyabilir ve veri ihlallerinin önüne geçebiliriz.
Sonuç olarak; daha önce de değinmiş olduğumuz üzere Kişisel Verileri Koruma Kanunu uyumluluk projeleri son derece derin ve kapsamlı ve alanında deneyimli hukukçular tarafından ve bir Bilgi Teknolojileri ekibinden destek alınarak hayata geçirilmesi gereken projelerdir. Yukarıda sadece bir departmanın, bir sürecinin, kısıtlı bölümlerine ilişkin örnekler ve tavsiyelerde bulunmaya çalıştık. Umarız Kişisel Verileri Koruma Kültürünün ülkemize yerleşebilmesi adına siz değerli okuyucularda bir farkındalık yaratabilmişizdir.