KVKK Danışmanlığı, şirketlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili mevzuatlara uygun bir şekilde faaliyetlerde bulunmasını mümkün kılan bir hizmet türüdür. Firmaların ilgili kanun ve mevzuata uygun hareket etmesi oldukça önemlidir. Aksi halde, belirlenen cezai yükümlülüklerle karşı karşıya kalabilmektedir.
Şirketler, çeşitli kategorilerde yer alan kişisel verileri edinmekte olup bu verilerin korunması bir hayli önemlidir. Bu nedenle ülkemizde, kişisel verilerin korunmasına dair kanun bulunmaktadır. Bu bağlamda şirketler, kişisel verileri işlerken özel hayatın gizliliği başta olmak üzere kişilerin temel hak ve özgürlüklerini korumak zorundadır. Dolayısıyla, şirketlerin kişisel verileri edinirken ilgili kanun ile uyumlu bir şekilde çalışması ve faaliyetlerini kanuna uygun hale getirmesi gerekmektedir.
Bu noktada, MAYHR olarak sizlere en iyi ve en kaliteli hizmeti sunarak şirketinizin Kişisel Verilerin Korunması Kanuna uygun bir şekilde faaliyette bulunmasını sağlamaktayız. KVKK Danışmanlığı hizmetimizi talep ederek yenilikçi hizmetlerimizden yararlanabilir, şirketinizin piyasa şartlarında rekabet etme gücünü arttırabilir, şirket itibarınızı yükselterek sektörde bir adım önde yer alabilirsiniz.
KVKK Danışmanlığı Hizmet Türleri
KVKK Danışmanlığı hizmeti kapsamında, genç ve dinamik ekibimizle birlikte sizlere genel olarak aşağıdaki gibi sıralanabilen alanlarda hizmet sunmaktayız:
- Şirket bünyesinde veri işleyen çalışanlara sahip olmaları gereken eğitimi profesyonel bir şekilde sunmaktayız. Şirketinizin adına kişisel veri işleyen çalışanlar, aldıkları eğitimler sayesinde kanun ve mevzuata uygun bir şekilde faaliyette bulunur.
- Ana dokümantasyonların hazırlanmasına destek olmaktayız. Bu kapsamda; Kişisel Veri Envanteri, Politika Belgelerinin Hazırlanması, Aydınlatma Metni Hazırlanması, Açık Rıza Metni Hazırlanması, Protokollerin Hazırlanması, Başvuru Formu Hazırlanması, Başvuruya Cevap Formu Hazırlanması, Kişisel Veri İmha Tutanağı Hazırlanması, Eğitim Katılım Tutanağı Hazırlanması, Gerekli diğer Dokümantasyonların Hazırlanması gibi belgeler hazırlanmaktadır.
- Envanter hazırlama süreci sonrasında işlenme şartları ortadan kalkmış kişisel veriler tespit edilir ve bu veriler ortadan kaldırılır.
Bu ve bunun gibi adımların her biri, KVKK Danışmanlığı kapsamında yer almaktadır. Bu bağlamda, profesyonel hizmet anlayışımız ve uzman ekibimiz ile çalışmalarımızı sürdürmekte, şirketinizin sektörde ön plana çıkmasını sağlayan adımlar atmaktayız. KVKK Danışmanlığı’nın kapsamına giren hizmet türlerinden yararlanabilir, şirket faaliyetlerini profesyonel bir şekilde sürdürebilirsiniz.
İş Arama ve İşe Alım Süreçlerini Yürüten Bir İstihdam Platformunun Kişisel Verilerin Korunması Kanunu’na Aykırı Uygulamalarda Bulunması
“İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun Kişisel Verilerin Korunması Kanunu’na aykırı uygulamalarda bulunması” hakkında Kişisel Verileri Koruma Kurulunun 14/10/2021 tarihli ve 2021/1051 sayılı Karar Özeti
Karar Tarihi | : | 14/10/2021 |
Karar No | : | 2021/1051 |
Konu Özeti | : | İş arama ve işe alım süreçlerini yürüten bir istihdam platformunun Kişisel Verilerin Korunması Kanunu’na aykırı uygulamalarda bulunması |
Kurum’a intikal eden şikâyet dilekçesinde özetle; veri sorumlusuna ait iş arama ve işe alım süreçlerini yürüten bir istihdam platformunda ilgili kişinin üyelik hesabı üzerinden yaptığı iş başvuruları ve iş görüşmeleri sonucunda işverenlere yönelik kişisel verilerinin gizliliği ve işlenmesi hususlarında veri sorumlusunun 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (Kanun) aykırı uygulamalarda bulunduğu, ilgili kişinin iş başvuruları ve görüşme sonrasına ait işverenlere sunulan tüm bilgi ve belgelerin dijital bir örneğinin kendisine verilmesi hususundaki bilgi/erişim talebinin veri sorumlusunca yerine getirilmediği, ayrıca ilgili kişinin başvurusuna cevaben iletilen cevabi yazıda ilgili kişinin onayı olmaksızın verilerinin silineceğinin belirtildiği ifade edilmiş ve konu hakkında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;
- İlgili kişiye cevap verilerek talebinin yerine getirilmiş olmasına rağmen ilgili kişi tarafından veri sorumlusunun cevabı beklenmeden Kurul’a şikâyette bulunulduğu;
- İlgili kişinin platformda bulunan iletişim kanalı üzerinden “İş başvuruları ve görüşme sonrasında sistemlerinde bulunan adayların değerlendirilmesine yönelik, işverenlere sunulan ilgili kişiye ait tüm verilerin ve verilerden türetilmiş bilgilerin Kanunun 11’inci maddesinin bentleri uyarınca paylaşılması” talebini müteakip veri sorumlusunca ilgili kişi ile iletişime geçildiği; ilgili kişinin işveren ile planladıkları mülakata gitmediği, işverenin “bu durumu diğer işverenlere belirteceğini” söylediği, ilgili kişinin verilerinin paylaşıldığı kişileri ve verilerinin (işverenin ilgili kişi hakkında veri sorumlusu hizmet ortamında yaptığı değerlendirmeleri) diğer işverenler ile paylaşılıp paylaşılmadığını öğrenmek istediğini belirttiği; ilgili kişinin talebini yanıtlamak amacıyla öncelikle sözlü olarak iletişime geçilerek veri sorumlusu nezdinde işverenlerin adaylar hakkında gerçekleştirdiği değerlendirmelerin herhangi bir şekilde diğer işverenlerle paylaşılmadığının belirtildiği; ayrıca ilgili kişinin talebinin kayda sistematik olarak geçmesi amacıyla “Veri Sorumlusu Başvuru Formu” iletildiği ve bu formun doldurularak veri sorumlusuna başvuruda bulunabileceğinin ifade edildiği;
- İlgili kişinin formu doldurarak veri sorumlusuna ilettiği, ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin tüm bentlerindeki haklarını kullanma talebinde bulunması üzerine bir yandan talebi yerine getirilirken bir yandan da söz konusu sürede ilgili kişiye ait kişisel verilerin işlenmesinin durdurularak talebi doğrultusunda 30 gün içerisinde Kanun ve ikincil mevzuata uygun şekilde kişisel verilerinin imha edileceği bilgisinin iletildiği, bunun üzerine ilgili kişinin kişisel verilerinin imha talebinde bulunmadığını, kişisel verilerinin aktarıldığı işverenlerin bilgilerini talep ettiğini ve veri sorumlusunun tutumunu Kurul’a şikâyet edeceğini belirttiği, aynı gün veri sorumlusunun ilgili kişi ile sözlü iletişime geçtiği ve talebinin karşılanacağını belirttiği, bununla birlikte ilgili kişinin veri sorumlusunun kasıtlı bir şekilde böyle cevap verdiğini ve Kurul’a şikâyette bulunduğunu ifade ettiği;
- Buna rağmen ilgili kişinin veri sorumlusu bünyesinde yer alan verilerine o güne kadar erişen tüm işverenlerin bilgisinin ilgili kişi ile paylaşıldığı ve bunun ardından herhangi bir iletişim kurulmadığı, ilgili kişinin mevcut durumda hala platform üyesi olduğu ve platformu kullanmaya devam ettiği;
- İlgili kişinin Kurum’a ilettiği şikâyet dilekçesinde yer alan ifadelerin aksine başvurusunun reddedilmediği, veri sorumlusunun ilgili kişinin talebini yerine getirmek adına başvuru sonrası derhal çalışmalara başladığı ve 7 gün gibi kısa bir süre içerisinde 2008 yılından bu yana işlenen çeşitli kişisel verileri ilgili kişinin kolayca ulaşabileceği bir formatta kendisine ilettiği;
- Veri sorumlusunun Kanun ve ikincil düzenlemeleri uyarınca yürürlüğe koyduğu Kişisel Veri İşleme, Saklama ve İmha Politikasını özenle uygulamakta olduğu, ilgili kişinin talebi üzerine kişisel verileri silme/imha etme işlemine başlandığı fakat böyle bir talebinin olmadığının anlaşıldığı anda işlemin durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığı;
- İşverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığı, işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiği, veri sorumlusu nezdinde çalışan adaylarının platforma yüklemiş olduğu kişisel verileri kullanılarak herhangi bir veri türetilmediği, yalnızca işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve bu kişisel veriler için işverenlerin veri sorumlusu olup bu bilgilerin üretilmesine ilişkin kendilerinin herhangi bir dahlinin bulunmadığı;
- İlgili kişinin Kanun yürürlüğe girmeden evvel bir dönemde platforma üye olduğu ve yine Kanun’un Geçici 1’inci maddesi uyarınca da geçiş süreci içerisinde aksine bir irade beyanında bulunmadığı, yine de firmanın tüm veri işleme süreçlerine ilişkin kapsamlı bir uyum süreci başlattığı, VERBİS kaydını da zamanında tamamlayarak, şeffaf ve hesap verebilir şekilde kişisel verilerin korunması için gerekli teknik ve idari tedbirleri aldığı;
- Veri sorumlusunun ilgili kişiye sunduğu hizmetler sebebiyle ilgili kişiye ait kimlik bilgilerinin, iletişim bilgilerinin, mesleki deneyim bilgisinin, aldığı sertifika ve eğitim bilgilerinin, yabancı dil bilgisinin, kullanabildiği bilgisayar programlarının, görsel veri olarak özgeçmişte yer alan fotoğraf ve diğer bilgiler olarak da hobilerinin, ilgi alanları ve gerçekleştirilen projelere ilişkin bilgilerin işlendiği, ilgili kişilere sunulan “Kişisel Verilerinizin Korunması Hakkında Aday Aydınlatma Metni”nde (Aydınlatma Metni) platforma üye olan adayların hangi kişisel verilerinin işlendiğinin belirtildiği ancak Aydınlatma Metni’nde yer alan tüm veri kategorilerinin veri sorumlusunca işlenmediği, ilgili kişilerin iş ilanlarına başvurmak için hangi bilgileri paylaşacaklarını kendilerinin belirlediği;
- İlgili kişinin 21.03.2008 tarihinde “Hizmet Sözleşmesi”ni kabul ederek platforma üye olduğu, Hizmet Sözleşmesi uyarınca ve ilgili kişiye sunulan hizmet kapsamında Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendindeki “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” hükmü uyarınca işlendiği, zira platformun kullanım amacı ve üyelere sunulan hizmet kapsamında sayılan kişisel verilerin işlenmesinin zaruri olduğu, ayrıca üyelerin paylaşacakları kişisel verileri kendilerinin belirlediği, bu nedenle ilgili kişiden açık rıza alınmadığı ve yukarıda belirtilen hukuki sebebe dayanılarak kişisel verilerinin işlendiği;
- İlgili kişinin kişisel verilerinin platforma üye olan işverenler ile paylaşıldığı, adayların işverenler ile doğrudan özgeçmiş paylaşımı yapabildiği gibi işverenlerin de platform üzerinden adayların özgeçmişlerine erişebildiği, ilgili kişinin özgeçmişinde yer alan kişisel verilere hangi işverenlerin ne zaman eriştiği de belli olacak şekilde ilgili kişiye sunulduğu;
- Veri sorumlusunun ilgili kişileri aydınlattığı ölçüde ve Aydınlatma Metni’nde belirttiği amaçlar doğrultusunda kişisel verilerini kullandığı, bu amaçların dışında ve bu amaçları aşacak ölçüde kişisel veri kullanılmasına izin vermediği, ilgili kişinin talebinin yerine getirildiği ve kişisel verilerinin onayı olmadan silinmesi veya imha edilmesi gibi bir durumun söz konusu olmadığı
ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 14/10/2021 tarihli ve 2021/1051 sayılı Kararı ile;
- Kanun’un amacının kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek olduğu, Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı,
- Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Öte yandan, “İlgili Kişinin Hakları”nı düzenleyen Kanun’un 11’inci maddesinin, “(1) Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a)Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması halinde zararın giderilmesini talep etme, haklarına sahiptir.”
hükmünü amir olduğu,
- Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
- Somut olayda, ilgili kişinin kişisel verilerine erişim talebinin yerine getirilmemesi konusundaki iddiasına ilişkin olarak; ilgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurula şikâyette bulunduğu anlaşılmış olmakla birlikte, ilgili kişinin kişisel verilerine erişim talebinin Kurula şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin (2) numaralı fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı dolayısıyla ilgili kişi tarafından yapılan iş başvurularına ilişkin bilgi edinme talebinin veri sorumlusunun e-postası ile yerine getirildiği görüldüğünden, ilgili kişinin talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
- İlgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin / imha edileceğinin bildirilmesi hususundaki iddialarına yönelik olarak veri sorumlusunca ilgili kişinin başvurusunda Kanun’un 11’inci maddesinin (1) numaralı fıkrasının tüm bentlerindeki haklarını kullanma talebinde bulunması nedeniyle söz konusu fıkranın (e) bendinde yer alan kişisel verilerinin silinmesi talebinde de bulunduğunun anlaşıldığı fakat ilgili kişinin cevabı üzerine böyle bir talebin olmadığının anlaşılması halinde silme ve imhaya yönelik işlemin derhal durdurulduğu ve ilgili kişiye ilişkin herhangi bir kişisel veri kaybının söz konusu olmadığının belirtildiği görülmüş olup; ilgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusu beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kurum’a sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/ imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığı,
- İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlerle paylaşılması iddialarına ilişkin olarak ilgili kişinin bu iddiaya yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenler ile paylaşılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığı değerlendirmelerinden hareketle;
- İlgili kişinin veri sorumlusunun ilk cevabından sonra talebinin karşılanmadığı düşüncesiyle Kurul’a şikâyette bulunduğu, ilgili kişinin kişisel verilerine erişim talebinin Kurul’a şikâyette bulunma tarihinden sonra ve Kanun’un 13’üncü maddesinin ikinci fıkrasına uygun şekilde “talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde” sonuçlandırıldığı görüldüğünden, ilgili kişinin kişisel verilerine erişim talebinin karşılanmadığına yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
- İlgili kişinin veri sorumlusu nezdindeki kişisel verilerinin silindiği/silineceği iddiasına yönelik veri sorumlusunun beyanı aksine bir bilgi veya belgenin ilgili kişi tarafından Kuruma sunulmaması, ilgili kişinin iş başvurusu bilgilerinin e-posta ile ilgili kişiye iletilmiş olması, ilgili kişinin şikâyet tarihinden sonra da veri sorumlusuna ait platformda iş başvurularına devam ettiği bilgisinin verilmesi ve ilgili kişinin başvurusu ile Kanun’un 11’inci maddesi kapsamındaki tüm haklarını kullanmak istediğini belirtmesi karşısında verilerinin silinmesini de talep ettiğinin anlaşılmasında veri sorumlusuna herhangi bir kusur yüklenemeyeceği değerlendirilerek; ilgili kişinin talebi olmaksızın kişisel verilerinin veri sorumlusu tarafından silineceğinin/imha edileceğinin bildirilmesine yönelik şikâyeti hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
- İlgili kişinin bilgisi ve onayı olmaksızın iş başvuruları ve iş görüşmelerine ilişkin kişisel verilerinin diğer işverenlere aktarıldığı iddiasına yönelik şüphenin ötesine geçen herhangi bir tevsik edici bilgi veya belge sunmamış olması, veri sorumlusunun ise işverenlerin yalnızca çalışan adaylarının platforma yüklediği bilgileri görebildiğini, işverenlerin kendilerine başvuruda bulunan çalışan adaylarına ilişkin notlarını ve izlenimlerini platforma yükleyebildiği ancak bu durumun tamamen işverenlerin takdirinde olduğu ve işverenlerin çalışan adayları hakkında aldığı notların ve izlenimlerinin diğer işverenlere aktarılması gibi bir uygulamanın söz konusu olmadığını beyan etmesi karşısında; ilgili kişinin bu şikâyetiyle ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
KVKK TÜM SÜREÇLERİ
· Disiplin maddeleri →
Şirketler’in mevcut disiplin yönetmeliği’ne, takdiri tarafınıza ait olmak üzere, aşağıda yer alan kvkk uyarınca uyulması gereken davranışlar eklenebilecektir:
o Çalışan işleyebileceği her türlü kişisel veri ile ilgili olarak her zaman kişisel verilerin korunmasına ilişkin mevzuatına (kvkk), şirket’in kişisel verilerin korunması politika ve prosedürlerine, iş sözleşmesi’nde yer alan kişisel verilerin korunması ve gizliliğe ilişkin yükümlülüklerine ve bu kapsamda işveren talimatlarına uygun davranacaktır.
o Şirket’in ve çalışanların görev aldıkları şirketin işleriyle ilgili olarak, çalışan her ne surette olursa olsun edindiği ve oluşturduğu tüm kişisel verilerin sadece iş sözleşmesi kapsamındaki işinin ifası için zorunlu olduğu ölçüde kullanacaktır. Bunun haricindeki bir amaçla hiçbir şekilde kullanmayacak, işlemeyecek, ifşa etmeyecek ve/veya hiç kimseye aktarmayacak ve/veya açıklamayacaktır.
o Kişisel verilerin korunmasına ilişkin mevzuata aykırı hareketleri sebebiyle işveren’i cezai veya hukuki yaptırım veya repütasyon kaybı ile karşı karşıya bırakmayacaktır.
o Çalışan, kişisel verilerin korunmasına ilişkin mevzuata ilişkin herhangi bir ihlalde bulunması veya ihlalde bulunulduğundan herhangi bir surette haberdar olması halinde bu durumu derhal işveren’e bildirecektir.
o Şirket tarafından verilen kişisel verilerin korunmasına ve bilgi güvenliği dahil ilgili eğitimlere katılacaktır.
o Şirket tarafından tahsis edilen şirket telefonu ve/veya bilgisayarını şahsi amaçlar için kullanmayacaktır.
· Kvkk farkındalık eğitimi, bilgilendirme, mevzuat haberleri ve çalışmaları →
Şirketlerin kvkk farkındalık çalışması kapsamında çeşitli yaklaşımları olmakla birlikte, bugüne kadar gerçekleştirdiğimiz kvkk projelerinde öneri ve değerlendirmelerimize istinaden en çok aşağıdaki uygulamaların yerine getirildiği gözlemlenmiştir:
o İşe yeni başlamış çalışanlara verilen oryantasyon eğitimlerinde kvkk uyarınca da dikkate alınması gereken hususlara ilişkin bilgi verilmesi,
o Çalışanlara çeşitli dönemlerde kvkk’ya ilişkin bilgilendirme e-maillerinin atılması (kvk kurulu tarafından yayımlanan karar özetlerinden şirkete uyarlanabilir olanlara ilişkin duyuruların yapılması gibi)
o www.kvkk.gov.tr adresinde yer alan videoların çalışanlarla çeşitli dönemlerde paylaşılarak farkındalık düzeyinin artırılması (örn. Temiz masa uygulaması ve uymayanlara yaptırım uygulanması gibi) (bazı firmaların ajanslar ile çalışarak görsel açıdan da çalışanların dikkatini çekebilecek çalışmalar yaptığı da gözlemlenmiştir.)
o Kvkk ile ilgili her yıl çalışanlara test uygulanması (örneğin şirket çalışanlarının her yıl almasının zorunlu olduğu ısg eğitimi gibi)
o Çalışanların ekran koruyucuları ile kvkk uyarınca bilgilendirme yapılması,
o Kvkk’ya ilişkin ödüllü yarışmaların yapılması,
o Çalışanların hem şirket’e ait hem de müşteri bilgilerini dışarı çıkarmaması/ekran görüntüsü almaması (kişisel e-posta, harici disk vb. Araçlar ile şirket dışına kişisel veri çıkartılamaması),
o Müşterilere ait bilgilerin gerekmemesi halinde üçüncü kişiler ile paylaşılmaması, resmi dairelerden gelen taleplerin kvkk md.28 öngörülen şartları sağlaması halinde paylaşım yapılması (gereğinden fazla veri paylaşılmaması – amaçla ölçülülük ve sınırlılık ilkesi uyarınca)
o Gereksiz çıktı alınmaması (müşteri bilgilerinin bulunduğu dokümanların iş amaçları dışında çıktısının alınmaması üçüncü kişilerin eline geçmemesi açısından önem arz etmektedir.),
o Özel nitelikli kişisel veri işleyen çalışanlara yönelik periyodik olarak ayrıca “özel nitelikli kişisel verilerin işlenmesi süreçlerinde yer alan” çalışanlara düzenli bir şekilde eğitimlerin düzenlenmesi (kvk kurulu’nun yayınladığı idari tedbirler rehberi’nde de yer almaktadır.),
o Şirket tarafından tahsis edilen cihaz ve uygulamaların (cep telefonu, şirket hattı, email vs.) Sadece iş amacıyla kullanılması gerektiği ve işveren olarak söz konusu cihazların denetlenebileceği ve kişisel verilerinin kesinlikle iş bilgisayarlarında tutulmaması hususlarının çalışanlara bildirilmesi ve bildirimin yapıldığının kanıtlanabiliyor olması,
o Şirket içi paylaşımda gerekli olmayabilecek bilgi/belgelerin diğer çalışanlarla paylaşılmaması,
o Gönderilen e-maillerin içeriğinin ve alıcı bilgilerinin kontrol edilmesi.
· Verbis kayıt hükümlülüğü ve güncellenmesi
· Özlük dosyalarının güvenliliği sağlanması
· Çalışan yakınları verilerinin işlendikten sonra imhası ve çalışan yakınlarının bilgisinin 2. Amaçlarla kullanılabileceğinin aydınlatılması GENEL AYDINLATMA METNİNİN İNTERNET SİTELERİNDE YAYINLANMASI
o Şirketin agi gibi yükümlülüklerini yerine getirmesi kvkk uyarınca veri sorumlusunun hukuki yükümlülüğü kapsamında değerlendirilmektedir. Ancak bazı durumlarda çalışanların eşlerine/çocukları ile çıktıkları yurt içi/yurt dışı seyahat gibi süreçlerin de işveren tarafından yerine getirilebildiği gözlemlenmektedir. Bu itibarla söz konusu değerlendirme eklenmiştir. Böyle bir durumda, çalışan yakınlarına ait kişisel veriler şirkete aktarılırken çalışanlardan ilgili kişilere gerekli bilgilendirmeyi yaptığına ilişkin bir taahhüt (ıslak imzalı metin ya da e-mail) alınabilecektir. Önemine binaen, böyle bir sürecin yerine getirilmesinin akabinde çalışan yakınlarına ilişkin kişisel verilerin şirket’in sisteminden silinmesi/yok edilmesi/anonimleştirilmesi gerektiğini belirtmek isteriz.
o Çalışanlar için hazırlamış olduğumuz aydınlatma ve açık rıza metinlerinde yakınlarına ilişkin verilerin de işlenebileceği belirtilmiştir. Bu itibarla çalışanlar için bu metin yeterli olacaktır. Diğer taraftan çalışan yakınlarına ilişkin süreçlerin yer aldığı cengiz şirketlerine ait envanterlere istinaden çalışan yakınlarının da verisinin işlendiğine ilişkin hususlara genel aydınlatma metninin içerisinde yer verilmiştir. Sizinle ayrıca paylaşılacaktır.
· 18 yaşından küçük stajer çalışanlarının veli/vasi’den aydınlatma metni alınması
· Yetki maddesi hazırlaması
o Kvk kurumu tarafında yayınlanmış metinlerden de anlaşılacağı üzere yetki matrisi yazılımlar için(kullanıcı adı ve şifre dediği için) istenmektedir ancak fiziksel güvenliğin sağlanması da yine kurum beklentileri arasındadır.
o Ayrıca, kişisel veri içeren sistemlere erişimin de sınırlı olması gerekmektedir. Bu kapsamda çalışanlara, yapmakta oldukları iş ve görevler ile yetki ve sorumlulukları için gerekli olduğu ölçüde erişim yetkisi tanınmalı ve kullanıcı adı ve şifre kullanılmak suretiyle ilgili sistemlere erişim sağlanmalıdır. Söz konusu şifre ve parolalar oluşturulurken, kişisel bilgilerle ilişkili ve kolay tahmin edilecek rakam ya da harf dizileri yerine büyük küçük harf, rakam ve sembollerden oluşacak kombinasyonların tercih edilmesi sağlanmalıdır. Buna bağlı olarak veri sorumlularının, erişim yetki ve kontrol matrisi oluşturmaları ve ayrı bir erişim politika ve prosedürleri oluşturarak veri sorumlusu organizasyonu içinde bu politika ve prosedürlerin uygulamaya alınması önerilmektedir.
o Kişisel veriler, veri sorumlularının yerleşkelerinde yer alan cihazlarda ya da kağıt ortamında saklanıyor ise, bu cihazların ve kağıtların çalınması veya kaybolması gibi tehditlere karşı fiziksel güvenlik önlemlerinin alınması suretiyle korunması gerekmektedir. Aynı şekilde, kişisel verilerin yer aldığı fiziksel ortamların dış risklere (yangın, sel vb.) Karşı uygun yöntemlerle korunması ve bu ortamlara giriş / çıkışların kontrol altına alınması önemlidir.
o Kişisel veri güvenliğinin sağlanması için kişisel veri içeren kağıt ortamındaki evraklar, sunucular, yedekleme cihazları, cd, dvd ve usb gibi cihazların ek güvenlik önlemlerinin olduğu başka bir odaya alınması, kullanılmadığı zaman kilit altında tutulması, giriş çıkış kayıtlarının tutulması gibi fiziksel güvenliğin arttırılmasına ilişkin önlemler de alınmalıdır.
ö Veri maskelemesi anonimleştirme ile ilgili teknikler arasında yer almaktdır. Kişisel verilerin belli alanlarının silinerek veya yıldızlanarak kişinin belirlenemez hale getirilmesidir. Örneğin, kişinin kredi kartı numarasının bir kısmının yıldızlanması durumunda maskeleme söz konusudur. (6698 **** **** 0006) kurum içerisinde hangi imha yönteminin kullanılacağına karar verildikten sonra maskeleme tercih edilirse ana kural maskelenmiş verilerden kişilerin belirlenemez hale gelmiş olmasıdır.
· Veri kaybı önleme yazılımlarının kurulması ve yedekleme çalışmalarının yapılması
· Güvenlik duvarı ve antivirüs sistemlerinin kurulması, mahtar yönetimi uygulaması
· Çağrı merkezi kvkk anonsu
· Sistem/ uygulama/ platform korumayla ilgili yazılı taahüt alınması
· Kurum içi periyodik ve rastgele denetim yapılması→KVKK KOMİTE
o Bu konuda şu ana kadar yayınlanmış ıso benzeri bir denetim ya da rapor şablonu bulunmamaktadır.
· Silme yok etme ve anonim hale getirme → süre matrisleri ektedir. → KVKK KOMİTE
· Aydınlatma metinlerinin güncellenmesi 7 gün verbis
o Kişisel veri işleme envanterinde esaslı bir değişiklik olması halinde (örneğin yeni bir süreç eklenmesi ya da envanterde yer alan mevcut sürecin artık uygulanamaz olması ya da bir süreçte işlenmeyen yeni bir verinin artık işleniyor olması gibi) hem verbis kaydının hem de aydınlatma metinlerinin ve hatta gerekmesi halinde açık rıza metinlerinin güncellenmesi gerekecektir. Örneğin selçukgaz şirketinde bireysel müşterilere pazarlamaya yönelik faaliyetlerin yürütülmesi de söz konusu olacak ise buna ilişkin durumun kişisel veri işleme envanterine, verbis’e, aydınlatma metnine ve açık rıza metnine yansıtılması gerekecektir. Bir başka ifadeyle sizinle paylaşmış olduğumuz metinler mevcut durumu göstermekte olup şirket içerisinde meydana gelecek değişikliklerin de bu doğrultuda yerine getirilmesi gerekecektir. Önemine binaen kişisel veri işleme envanterinde meydana gelecek değişikliklerin 7 (yedi) gün içerisinde verbis’e kanun uyarınca kayıt yapılması gerekmektedir.
· Kvkk şikayetlerinin alınması
· Kvkk şikayetlerinin sonuçlandırılması→ KVKK KOMİTE
· Aydınlatma metinlerinin çalışan, çalışan adayı, stajer, tedarikçi, taşeron müşterilere imzalatılması İPC var→ ilgili bölümler
Aydınlatma yükümlülüğünün yerine getirilmesinde uyulacak usul ve esaslar hakkında tebliğ uyarınca veri sorumlusu tarafından aydınlatma yükümlülüğü; sözlü, yazılı, ses kaydı, çağrı merkezi gibi fiziksel veya elektronik ortamlar kullanılmak suretiyle yerine getirilebilmektedir. Veri sorumlusu bu yöntemlerden hangisini kullanacağına kendisinin karar vereceği anılan tebliğ’de belirtilmektedir. Kvk kurulu tarafından yayımlanan rehberde aydınlatma yükümlülüğünün yerine getirilmesine ilişkin yöntemlere örnek olarak; “veri sorumlusu tarafından sözlü (yüz yüze yapılan, şifahi aydınlatma gibi), yazılı (web sayfasında yer alan metin, bina girişinde duvara asılı levha, bir kameranın altında duvara monte edilmiş bilgi panosu gibi), ses kaydı (ilgili kişiye ses kaydı dinletilmesi gibi), çağrı merkezi (operatörle görüşmeden önce bir ses dosyası dinletilmesi) gibi fiziksel veya elektronik ortam (web sayfasında yer alan bir belgede katmanlı aydınlatma yapılması, açılan pencere [pop-up pencere] çıkması, mobil uygulamalar gibi) verilmiştir. Kurum, bu şekilde ilgili kişilerin okudukları, gördükleri ya da duyduklarında anlayabilecekleri kadar açık, sade, anlaşılabilir ve tereddüde yer bırakmayacak aydınlatmalar yapılabilmesinin mümkün olduğunu belirtmektedir.
Takdiri tarafınıza ait olmak üzere, aşağıdaki yöntemlerin yanı sıra yukarıdaki yöntemlerin de değerlendirilmesi uygun olacaktır:
1) Çalışanlar için şirket’in intranet/portal gibi iç duyurularını gerçekleştirdiği bir platform üzerinden ya da email ile ya da aydınlatma/açık rıza metninin yazılı olarak iletilmesi,
2) Çalışan adayları için email ile görüşme davetiyesine eklenebilir ya da görüşmeye geldiği esnada aydınlatma/açık rıza metninin basılı bir kağıt ile iletilmesi,
3) Tüzel kişi veya gerçek kişi tacir müşterilerin, tedarikçilerin çalışanları/ irtibat kişileri / ortakları/ yetkilileri veya hizmetlerinden faydalandığı tüzel kişilerin veya gerçek kişi tacirlerin çalışanları / irtibat kişileri/ortakları/yetkilileri için internet sitesine genel aydınlatma metninin eklenmesi, ek olarak;
o Şirket ile yukarıda belirtilen ticari ilişki çerçevesinde herhangi bir kişisel veri aktarımı söz konusu ise bu sözleşmelere kvkk’ya uygun bir hüküm eklenmesi,
o Sözleşmenin karşı tarafı gerçek kişi tacir ise sözleşmeye ek olarak (ayrı bir sayfada) aydınlatma metnine yer verilmesi
· Kamera kayıtları yetkilisinin periyodik olarak gözden geçirilmesi.
· Kamera kayıt notu “bu iş yeri 24 saat güvenlik sebebiyle kamerayla izlenmekte ve kaydedilmektedir.” Asılacak.
· Aydınlatma metinlerinin ziyaret noktaları/ ortak alan
· Her bir kameranın altına kamera ikonu görülebilecek şekilde yapıştırılmalı
o Takdiri tarafınıza ait olmak üzere her kamera altına görsel eklenebileceği gibi şirketin belirli yerlerinde herkesin görebileceği bir şekilde şirket içerisinde kamera ile izlenme olduğuna ilişkin bilgilendirme de yapılabilecektir.
· Ziyaretçi defterinin güvenliğinin sağlanması
o Ziyaretçi defterinin gün içerisinde güvenlik personelinin kontrolünde tutulması, kimse ile paylaşılmaması ve gün sonlarında kilitli bir dolaba kaldırılması şeklinde önlem alınması uygun olacaktır.
· Çalışanın işe uygunluk tespitinin taşerona bırakılması
· Aydınlatma metinlerinin alınması
o Genel aydınlatma metni içerisinde yer verilmiştir. Sizinle paylaşılacaktır. Aydınlatma yükümlülüğü tek taraflı bir beyanla yerine getirilebilmektedir. Bu itibarla, aydınlatma metni için imza alınmasına gerek olmayıp bu yükümlülüğün yerine getirildiğinin ispat edilmesi yeterli olacaktır. (e-mail ile aydınlatma yükümlülüğünün paylaşılması gibi)
· Sağlık raporu detaylarının iş yeri hekiminde saklanması ve iletilmesi eğer olmuyorsa sağlık verilerinin ik’dan belirlenen 1 kişinin ulaşması
· İşten ayrılan çalışanın yetkilerinin iptal edilmesi
· Acenta ve 3. Kişi şirketlerle hukuk maddeleri ile sözleşmelerinin rezerve edilmesi
o KVKK’ya göre sözleşmelere uygun madde eklerken öncelikli olarak sözleşmenin taraflarının hukuki nitelendirmesinin yapılması gerekecektir. İlgili sözleşme uyarınca tarafların veri sorumlusu mu yoksa veri işleyen mi olduklarının ve kişisel veri aktarımının hangi taraftan hangi tarafa aktarıldığının tespitinin gerçekleştirilmesi gerekmektedir. Buna ilişkin örneklerin yer aldığı daha önce paylaştığımız sözleşme raporunu inceleyebilirsiniz.
· İş mahkemeleri hukuk tarafından mahkemelerde istenecek kısıtlı ve sınırlı ölçütlerin hazırlanması
· Özgeçmişlerdeki E-Mail Veya Faks Yoluyla Gelen Kişilere Geri Aydınlatma Metninin İletilmesi
o Takdiri tarafınıza ait olmak üzere, e-mail veya faks yoluyla cv iletilmesi halinde öncelikli olarak örneğin cengiz holding’in internet sitesinde yer alan kariyer sayfasına yönlendirme yapılarak başvuruların bu kanal üzerinden alınması önerilmektedir. Tarafınıza e-mail, faks yoluyla iletilen cv’ler için internet sitesine yönlendirme yapılırken ek ile çalışan adayı aydınlatma metnine de yer verilebilecektir.
o Benzer şekilde internet sitesinde kariyer sayfası olmaması halinde email/faks üzerinde gelen özgeçmişlere ilişkin olarak, ilgili kişilerin bir takım kişisel verileri işlendiği için aydınlatma yükümlülüğünün yerine getirilmesi gerekecektir. Bu itibarla, çalışan adayının e-mail iletmesi halinde e-mail ile faks üzerinden iletmesi üzerinden faks ile “cv’niz şirket tarafından değerlendirmeye alınmıştır. Başvuru ile ilgili bilgi…….. Ayrıca aydınlatma metnimize ilişikte bulabilirsiniz.” Bu mealde bir dönüş yapılması uygun olacaktır.
· Özel Nitelikli Kişisel Verinin Aktarımı Cd- Dvd Yapılıyorsa Kriptografik Yöntemle Şifrelendirilmesi, Kurumsal E-Posta, Kep Adresi İle Yapılması, Fiziksel Ortamda Gerçekleşmesi Durumunda Vpn- Sftp Yöntemlerinin Kullanılması
· İnternet Sitesi İhlalbildirim.Kvkk.Com.Tr, 72 Saat İçinde Bildirim
o Takdiri tarafınıza ait olmak üzere bildirimi yapacak birim için genellikle kurumsal iletişim departmanı veya kvkk komitesine liderlik eden departman(farklı birimlerden gerekli verileri daha kolay topladığı için) seçilmektedir.
· Süresi Geçen Kişisel Verilerin İmhası
o Veri imhası işlemini kimin gerçekleştireceği kurumun elinde yer alan merkezi toollara ve organizasyon yapısına bağlı olarak değişiklik göstermektedir. Merkezi bir ürün vasıtasıyla gerçekleştirilecekse bu sorumluluk tek bir bölüme verilebilir ancak aksi takdirde sorumluluğun tüm bölümlere verilmesi ve kvkk komitesi veya komite tarafından seçilen bir bölüm tarafından imha işlemlerinin takibinin yapılması tavsiye edilmektedir.
· Özel Nitelikli Kişisel Verilerin Aktarım Denetimi
· Kimlik Fotokopilerinin Sadece Ön Yüzlerinin Alınması Uygun Mudur.
· İrtibat Kişilerinin Atanması
· Kişisel Verilerin Silinmesi, Yok Edilmesi Anonim Hale Getirilmesinin Yapılması Ve Kayıtlarının Tutulması
o Standart bir form bulunmamaktadır. Süreç kurum tarafından seçilen yönteme bağlı olarak değişklik göstermektedir. Örneğin softcopyler için verinin yok edilmiş sayılması için üzerine 7 defa random veri yazılıp silinmesi gerekmektedir.
· Veri Aktarımı Hukuksal Aktarımların Sorulması Örn: İş Davalarında E-Bildirgelerin Yollanması