Öncelikle belirtmek gerekiyor ki birazdan okuyacağınız yazı GDPR kurallarını kapsamlı bir şekilde ele alan uzun soluklu bir yazıdır. İsteğiniz yalnızca GDPR kurallarını özet bir şekilde öğrenmek ise buraya tıklayarak indireceğiniz infografiği inceleyerek bu dileğinizi yerine getirebilirsiniz.

İlk olarak GDPR neden oluşturuldu ve hatta gerekli miydi sorusu ile başlayalım.

GDPR neden gerekliydi?

İnternet ve diğer iletişim teknolojileri, insanların nasıl iş aradığını ve şirketlerin bu insanları nasıl işe aldıklarını değiştirdi ve gitgide değiştirmeye devam ediyor. GDPR’a kadar olan klasik dönemde adaylar formları doldurur ve isteyerek kişisel bilgilerini sunarlar ya da online paylaşmayı seçtikleri bilgilere göre işe alım yapan kişiler tarafından belirlenirlerdi. Fakat bazı durumlarda, işe alım sürecine katılan adayların verilerinin yanlış kullanıldığı sıkça görülüyordu.

25 Mayıs 2018’de, bu konuya ilişkin yeni bir veri koruma düzenlemesi yürürlüğe girdi.  Bu düzenleme Genel Veri Koruma Yönetmeliği (GDPR) olarak adlandırıldı.

Mayıs 2018 geçmişte kalmasına rağmen, firmaların insan kaynakları uyum sürecini genellikle oldukça geriden takip etmekte. Organizasyonların geçmiş pratiklerinin ise genellikle GDPR kurallarına uyum sürecini zorlaştırdığı görülüyor. TrustArc’ın “Gizlilik ve Avrupada GDPR” başlıklı bir araştırmasına göre, anket katılımcılarının % 61’i GDPR uygulama sürecini henüz başlatmadıklarını bildirdi.

 

Genel Veri Koruma Yönetmeliği (GDPR) nedir ve kimlere uygulanmaktadır?

4 Mayıs 2016’da, dört yıllık zorlu müzakerelerden sonra, GDPR, resmi gazetede yayınlandı. Düzenlemenin, her tür organizasyon için bir oyun değiştirici olarak rol oynayacağı kesindi. Yapılan son değişiklikler ile birlikte, yıllık gelirin % 4’üne kadar para cezalarıyla desteklenen daha sıkı ve kuralcı bir yaklaşım belirlenmiş durumda. Bundan bir önceki yönetmelik, 1995 yılında yürürlüğe girdiği için GDPR, Avrupa veri koruma yasasının temelini oluşturan 95/46 / EC sayılı direktifin yerini aldı. GDPR, 25 Mayıs 2018’de tüm AB’de, bundan sonra “Üye Devletler” olarak anılacak olan ülkeler tarafından, uygulama gereği olmaksızın yürürlüğe girdi.

Yönetmeliğin, tüm sanayi sektörlerindeki işletmeler üzerinde önemli bir etkisi olacağı ve hem maliyet hem de çaba açısından hem olumlu hem de olumsuz değişiklikler getireceği düşünülüyor. GDPR öncesinde karmaşık olan veri koruma manzarası GDPR ile birlikte toparlanmıştır. Çok uluslu organizasyonların, farklı ülkelerdeki farklı kurallara uyma zorunluluğu ortadan kalkmış ve tek bir düzenlemeye uyarak tüm faaliyetlerini düzenleyebileceği bir alan yaratılmıştır. Diğer yandan “Unutulma Hakkı” ve “Taşınabilirlik Hakkı” gibi bireyler için yeni hakların getirilmesinin yanı sıra zorunlu ihlal ihbarnamesinin getirilmesi, kurumlar için düzenleyici yükün artmasına neden olacaktır.

GDPR, işe alım sürecini nasıl etkiliyor? Aday ile ilk irtibatı nasıl etkiliyor? Yasal olarak ne tür onaylar gerekli?

Adaylardan alınan bilgilerin regülasyonun 32. Maddesine uyması için aşağıdaki şartları tamamen karşılaması gereklidir:

– Spesifik olması,

– Belirsizliğe yer vermemesi,

– Özgürce verilmesi,

– Aday tarafından aktif olarak izin verilmesi (Opt-in).

*Önceden işaretlenmiş kutular ya da adayın herhangi bir aksiyonunu gerektirmeyecek şekilde yapılan izin tasarımları GDPR düzenlemesine uygun değildir!

Sonuç olarak, işe alım sürecinde işveren, adayları diğerlerinin yanı sıra aşağıdaki konularda bilgilendirmelidir:

  • Kişisel bilgi işlemenin amaçları,
  • Depolanacağı süre,
  • Verinin kimlere gideceği,
  • Denetim organına şikayette bulunma hakkı.

Resmi olarak tüm adaylar, işveren tarafından işlenecek kurallar hakkında bilgilendirilmeli veya ilk irtibatta gerekli bilgileri belirtilmelidir.

 

Aktif bir adayın (CV’sini gönderen) kişisel verileri ile pasif olanı (verileri LinkedIn, GitHub, Twitter veya Facebook’ta bulunan) arasında herhangi bir farklılık var mıdır?

İşveren, aktif adaylara yönelik bilgi yükümlülüğünü yerine getirme ihtiyacını dikkate almalıdır. Bilgilerin kapsamı, CV’nin işveren tarafından üçüncü bir şahıstan mı yoksa doğrudan adaydan mı alınacağına bağlı olarak değişebilir.

Pasif adayın verilerinin işlenmesi, yasal menfaat gibi belirli yasal dayanaklara ihtiyaç duyar. Sosyal medyada bilgi toplamak sadece işin kapsamı dahilinde ise mümkündür. Diğer bir deyişle, işverenler, ancak ve ancak bu verilerin gerekli olduğu ve işin performansı ile ilgili olduğu durumda adayların verilerini toplayabilir.

 

GDPR kapsamında kişisel veri olarak ne sayılır?

GDPR ‘kişisel verilerine’ göre, tanımlanmış veya tanımlanabilir bir gerçek kişi ile ilgili her türlü bilgi kişisel very sayılır. Tanımlanabilir gerçek kişi, özellikle bir isim, kimlik numarası, konum bilgisi, çevrimiçi bir tanımlayıcı veya fiziksel, fizyolojik özel bir veya daha fazla faktör gibi bir tanımlayıcıya, doğrudan veya dolaylı olarak tanımlanabilen kişidir.

Temel olarak, belirli bir kişiyi işaret eden tüm bilgiler kişisel bilgi kapsamındadır.

 

Adaylar, işe alım sürecinde toplanan bilgileri korumak için herhangi bir hak elde eder mi? Hakları nelerdir?

GDPR ile birlikte adaylar işe alım sürecinde geçmişe kıyasla çok daha fazla hak elde ederler ve işveren bu hakların korunduğuna emin olmak zorundadır. Örneğin aday verisinin işlenebilmesi için adaydan açık bir şekilde rıza alınmalıdır ve aday istediği an önceden verdiği izni geri alabilir. Bu geri alma süreci de izin verme süreci kadar kolay olmalıdır.

GDPR ile adayların elde ettiği haklar:

Kişisel verilerin nasıl kullanılacağı hakkında bilgilendirilme hakkı,

Kendi verilerine erişim hakkı

Yanlış veya eksik olan verilerin düzeltilmesi hakkı,

Belirli koşullar altında unutulma ve silinme hakkı,

Kişisel verilerin işlenmesini engelleme hakkı,

Üye Devletler, işe alım sürecinde bu hakların çalışanlar tarafından nasıl icra edileceğini açıklamalıdır.

 

GDPR, başvuru yapan ancak seçilmeyen adayları nasıl etkiler? Verileri yasal olarak saklanabilir mi? Eğer saklanabiliyorsa firmalara ne kadar süre için izin veriliyor?

İşverenler, adayların verilerini (CV dahil) belirli bir işe alma prosedürünün süresinden daha uzun bir süre boyunca saklamamalıdır.

Kişisel verilerin korunmasına ilişkin Avrupa Danışma Kurulunun işyerindeki veri işleme ile ilgili 2/2017 sayılı görüşmede işaret ettiği gibi :

“İşe alım sürecinde toplanan veriler, adaya teklif yapılmayacağı veya adayın kabul etmeyeceği kesinleştiği anda silinmelidir. Aday, işe alım sürecine girmeden önce bu işlemden doğru şekilde haberdar edilmelidir. ”

Kişisel veriler sadece özgeçmişlerden ibaret değildir. Mülakat sürecinde adaylar hakkında saklanan bilgilerin de silinmesi gerekmektedir.

İşverenler bu tür verileri daha uzun bir süre boyunca saklamak istiyorlarsa, örneğin daha sonraki işe alımlarda kullanabilmek amacıyla, bu duruma yasal temel oluşturabilmek açısından durumun açıkça ifade edildiği bir metinle birlikte adayın iznini almalıdırlar.

 

Aday Takip Sistemi (ATS) kullanımı durumunda kişisel verilerin sorumluluğu hangi firma üzerindedir?

Bu sorunun cevabı işveren ile işe alım aracını sağlayan firma arasında yapılan sözleşmeye dayalıdır. Çoğunlukla ATS üzerinde tutulan verilerin güvenliğinden ATS sahibi firma sorumluyken, içerideki verilerin uygun şekilde işlenmesi durumundan işveren firma sorumludur.

Peoplise olarak GDPR’a uyum sürecinde önemli değişiklikler yaptık. Yapılan değişiklikleri takip etmek için haber bültenimize buraya tıklayarak abone olabilirsiniz.

 

GDPR’a uymamanın sonuçları nelerdir?

İlk olarak ağır bir finansal yük getiren etkisinden bahsetmek gereklidir.

20.000.000 (yirmi milyon) Euro’ya varan bir ceza ya da şirketin önceki mali yılının tüm dünyadaki yıllık cirosunun % 4’ü (hangisi daha yüksekse).

Diğer yandan adayların açtığı davalar ve bu davalardan gelen cezalar üstteki finansal cezadan ayrı olarak tutulur. Fakat tüm bunların yanında markanın ve özellikle işveren markanın gördüğü zarar içlerindeki en büyük problem olarak sayılabilir.

 

Bu kapsamlı incelemenin sonunda okuyucularımıza verecebileceğimiz tavsiyelerden en değerlisi, GDPR konusunda hassas davranmaları ve işe alım alanında birlikte çalıştığı diğer firmaların da hassas davrandığından emin olmalarıdır. Yalnızca kurallara uymamanın cezası dolayısıyla değil aynı zamanda global çapta işe alım prosedürlerine sahip olabilmek için de bu konuda hassas davranılması gereklidir.