Makale
İnsan kaynakları süreçlerinde kişisel verilerin hukuka uygun şekilde aktarılması, güvenle saklanması ve süresi dolduğunda imha edilmesi, işletmeler için kritik hukuki yükümlülüklerdir. Bu makalede, personel verilerinin aktarımı, muhafazası ve imha süreçlerine dair yasal kapsamdaki temel kurallar ve politikalar incelenmektedir.
İK Süreçlerinde Veri Aktarımı, Saklama ve İmha Politikaları
İşletmelerin insan kaynakları departmanları, çalışma ilişkisinin doğası gereği çalışanlara ait çok sayıda kişisel veri ve özel nitelikli kişisel veri işlemektedir. İş ilişkisinin devamı sırasında veya sona ermesinin ardından bu verilerin yönetimi, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında sıkı kurallara bağlanmıştır. İnsan kaynakları süreçlerinde en çok karşılaşılan ortak veri işleme faaliyetlerinin başında kişisel verilerin aktarımı, bu verilerin mevzuata uygun sürelerle saklanması ve nihayetinde güvenli bir şekilde imha edilmesi gelmektedir. Veri sorumlusu konumundaki işverenler, çalışan verilerini üçüncü kişilere veya yurtdışına aktarırken kanuni şartlara uymak, verileri yalnızca gerekli olan süre kadar muhafaza etmek ve işleme amacı ortadan kalktığında geri döndürülemeyecek şekilde yok etmek zorundadır. Bu süreçlerin ihlali, işletmeler açısından idari yaptırımlara yol açabilmektedir. Bu nedenle, insan kaynakları birimlerinin veri güvenliği ve hesap verebilirlik ilkeleri çerçevesinde şeffaf politikalar benimsemesi yasal bir zorunluluktur.
İnsan Kaynaklarında Kişisel Verilerin Aktarımı
İşletmeler, çalışanların kişisel verilerini hukuki yükümlülüklerini yerine getirmek, sözleşmeyi ifa etmek veya meşru menfaatlerini korumak amacıyla üçüncü kişilere aktarabilmektedir. KVKK mevzuatı uyarınca kişisel verilerin yurtiçinde aktarımı, kural olarak ilgili kişinin açık rızası ile mümkündür; ancak kanunlarda öngörülen istisnai hukuka uygunluk hallerinin varlığında açık rıza aranmaksızın da aktarım yapılabilmektedir. Örneğin, işverenin kamu kurumlarına yaptığı zorunlu bildirimler bu kapsamdadır. Ayrıca şirketler topluluğu içerisindeki aktarımlarda, dışarıdan hizmet alınan danışmanlık firmalarına veya işyerinin devri gibi durumlarda gerçekleştirilen paylaşımlarda da veri aktarım kurallarına titizlikle uyulması gerekir. Çalışan verilerinin yurtdışına aktarılması ise, yasal değişikliklerle birlikte yeterlilik kararı, standart sözleşmeler veya bağlayıcı şirket kuralları gibi uygun güvencelerin sağlanması koşuluyla gerçekleştirilebilmektedir. İşverenler, özellikle özel nitelikli kişisel verilerin aktarımında veri koruma otoritesi tarafından belirlenen yeterli önlemleri almak zorundadır.
Kişisel Verilerin Saklanması ve Özlük Dosyaları
İş ilişkisinde toplanan verilerin, mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi saklama süresinin sınırlandırılması ilkesinin bir gereğidir. İş Kanunu uyarınca işverenler, her çalışan için bir özlük dosyası düzenlemek ve bu dosyadaki belgeleri yetkili mercilere göstermek üzere saklamakla yükümlüdür. İş sözleşmesi devam ederken veya sona erdikten sonra, işçi verilerinin saklanması, Sosyal Güvenlik Kurumu (SGK) ve vergi mevzuatı gibi yasal düzenlemelerin dayattığı zorunlu sürelere tabidir. İşletmelerin, yasal saklama süreleri sona erdiğinde dahi ileride doğabilecek hukuki uyuşmazlıklarda savunma hakkını kullanabilmek adına belirli verileri makul bir süre daha saklaması meşru menfaat kapsamında değerlendirilebilir. Saklama süreçlerinde veriler, aktif depolama alanı ve yalnızca yetkili kişilerin erişebileceği pasif veri tabanları olarak ayrılarak güçlü teknik ve idari güvenlik tedbirleri ile korunmalıdır. İnsan kaynakları departmanları, hangi verinin ne kadar süreyle saklanacağını kurumsal bir saklama ve imha politikası ile şeffaf bir biçimde belirlemelidir.
İşletmelerde Kişisel Verilerin İmha Süreçleri
Kişisel verilerin imhası, işleme amacının tamamen ortadan kalkması veya kanuni saklama sürelerinin dolması durumunda veri sorumlusunun re'sen veya ilgili kişinin talebi üzerine gerçekleştirmesi gereken hukuki bir işlemdir. Mevzuat uyarınca imha işlemi; verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yöntemlerinden biriyle uygulanır. Silme işlemi, verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesini sağlarken; yok etme işlemi, verilerin bulunduğu fiziki evrakların veya elektronik disklerin fiziksel olarak parçalanması gibi geri döndürülemez işlemleri kapsar. Anonimleştirme ise kişisel verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilemeyecek duruma getirilmesidir. İşverenler, imha yükümlülüğünü periyodik kontrol süreleri belirleyerek sistematik bir şekilde yürütmelidir.
Kişisel Verileri İmha Yöntemleri
Veri sorumlusu konumundaki işletmelerin, insan kaynakları bünyesinde oluşan veri havuzlarını yasal sınırlar içinde temizlemesi büyük önem taşır. Aksi takdirde, gereksiz verilerin süresiz olarak tutulması idari yaptırımlara zemin hazırlar. İşverenlerin kanuna uygun bir şekilde belirlemesi ve uygulaması gereken temel imha yöntemleri şunlardır:
- Kişisel Verilerin Silinmesi: Elektronik ya da fiziksel ortamda bulunan verilerin, veriyi işleyen yetkili kullanıcılar açısından geri döndürülemez ve tekrar erişilemez hale getirilmesi işlemidir.
- Kişisel Verilerin Yok Edilmesi: Verilerin bulunduğu kâğıt, optik veya manyetik ortamların eritilmesi, yakılması, toz haline getirilmesi veya fiziksel olarak parçalanması suretiyle verinin bir daha okunamaz duruma getirilmesidir.
- Kişisel Verilerin Anonim Hale Getirilmesi: Verilerin, maskeleme veya veri toplulaştırma gibi tekniklerle kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek bir formata dönüştürülmesidir.