İş dünyasında yer alan şirketlerin insan kaynakları birimleri, kurumda oluşan herhangi bir pozisyon boşluğunu değerlendirmek için birçok platform üzerinden ilan verir. Şirketler ilana yapılan başvuruları mevcut iş deneyimine, eğitimine, doğum tarihlerine vb. kriterlere göre sınıflandırarak bir aday havuzu oluşturur ve bu havuzdan uygun adayların değerlendirmelerini yaparak yönetime bildirirler. Mülakata uygun görülen adaylara telefon ya da e-posta vasıtası ile ulaşılır. Uygun adaylar mülakata davet edilir. Mülakat sonrası yapılan değerlendirme sonucu şirkete en uygun aday işe alınarak süreç tamamlanır.
Görüldüğü üzere işe alım süreçlerinde kişisel veriler toplanmakta ve işlenmektedir. İlana başvuru yapan diğer adayların başvuru formları sistemde kayıtlı kaldığı için, bu süreçte de kişisel veri işleme faaliyeti söz konusudur.
Şirketler İş Başvurularını Ne Kadar Saklayabilir?
Normal şartlarda KVKK tarafından 10.03.2019 tarihinde yayımlanan Kişisel Veri Saklama ve İmha Politikasına göre aşağıdaki koşullardan birisi oluştuğunda kişisel verilerin imhası gerekir;
İşlenmesine esas teşkil eden ilgili mevzuat hükümlerinin değiştirilmesi veya ilgası,
İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması,
Kişisel verileri işlemenin sadece açık rıza şartına istinaden gerçekleştiği hallerde, ilgili kişinin açık rızasını geri alması,
Kanunun 11 inci maddesi gereği ilgili kişinin hakları çerçevesinde kişisel verilerinin silinmesi ve yok edilmesine ilişkin yaptığı başvurunun Kurum tarafından kabul edilmesi,
Kurumun, ilgili kişi tarafından kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi talebi ile kendisine yapılan başvuruyu reddetmesi, verdiği cevabı yetersiz bulması veya Kanunda öngörülen süre içinde cevap vermemesi hallerinde; Kurula şikâyette bulunması ve bu talebin Kurul tarafından uygun bulunması,
Kişisel verilerin saklanmasını gerektiren azami sürenin geçmiş olması ve kişisel verileri daha uzun süre saklamayı haklı kılacak herhangi bir şartın mevcut olmaması, durumlarında, Kurum tarafından ilgili kişinin talebi üzerine silinir, yok edilir ya da re’sen silinir veya anonim hale getirilir.
Şirketler ilana yönelik alım sürecini tamamladıklarında ilgili kişisel verinin işlenmesini veya saklanmasını gerektiren amaç ortadan kalkar. Bu sebeple veri sorumlusunun ilgili başvuru formlarını imha etmesi gerekir. Fakat özgeçmiş bilgisi tekrar oluşabilecek bir iş fırsatına binaen ilgili kişinin açık rızası alınarak saklanabilir. Lakin bu saklama süresi makul olmalı, 1 yılın üzerine çıkmamalıdır. Aksi takdirde tüm sorumluluk veri sorumlusuna aittir.
İş Başvurusu Sürecinde İşlenen Kişisel Veriler Başka Şirketlerle Paylaşılabilir mi?
Kişisel Verileri Koruma Kurumu bir kararında; adayın açık rızası alınmadan başka şirketlere aktarılan özgeçmişle alakalı yapılan başvuruda ilgili kişiyi haklı bulmuş, veri sorumlusu şirket hakkında para cezası uygulamıştır. Somut olayda ilgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaşmıştır.
Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da kişilerden açık rıza alınması gerekmektedir.
KVKK resmi web sitesinde yayımlanan karar aşağıdaki şekildedir;
İş Başvurusu Sürecinde İşlenen Kişisel Verilerin Hukuka Aykırı Şekilde Paylaşılması
a) İlgili kişi tarafından, online olarak insan kaynakları hizmeti sunan veri sorumlusuna ait bir platform üzerinden yapılan iş başvurusunun akabinde; veri sorulusunun, ilgili kişiye ait başvuru bilgisi, ad ve soyadı ile e-posta adresi bilgisini içeren kişisel verileri herhangi bir hukuki sebebe dayanmadan diğer işe başvuranlarla paylaştığı tespit edildiğinden;
Bu durumun; 6698 sayılı Kişisel Verilerin Korunması Kanununun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
b) Bir şirketler topluluğu bünyesinde yer alan birden çok veri sorumlusu şirketler arasında veri aktarımı gerçekleştirilmesinin, üçüncü kişiye veri aktarımı olarak değerlendirildiği, bu itibarla aynı şirketler topluluğu bünyesinde yer alan veri sorumluları arasında gerçekleşecek veri aktarımında da 6698 sayılı Kişisel Verilerin Korunması Kanununun 8 inci maddesi hükümlerinin esas alınması gerektiği dikkate alındığında,
İş başvurusunda bulunan bir adayın açık rızası olmadan kişisel verilerinin bir şirketler topluluğu altında yer alan veri sorumluları arasında aynı veri tabanını kullanmak suretiyle paylaşılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, anılan Şirket hakkında Kanunun 18 inci maddesi uyarınca idari para cezası uygulanmıştır.
