📌 Özet6698 Sayılı Kişisel Verilerin Korunması Kanunu uyarınca, işe alım süreçlerinde adaylardan toplanan özgeçmiş verilerinin saklanma süresi, veri işleme amacının sınırları ile doğrudan bağlantılıdır. İşverenler, adayın başvurusu olumsuz sonuçlandığında verileri meşru amaç çerçevesinde makul bir süre tutabilirken, bu sürenin ötesindeki muhafaza işlemleri açık rıza olmaksızın yasal riskler doğurmaktadır. Uygulamada genellikle altı ay ile bir yıl arası kabul gören bu süre zarfında, şirketlerin şeffaflık ilkesi gereği aydınlatma metinlerinde net bilgilendirme yapmaları zorunludur. Veri minimizasyonu prensibiyle yalnızca gerekli bilgileri işleyen firmalar, saklama süresi dolan verileri geri döndürülemez şekilde imha etmekle yükümlüdür. Bu süreçlerin hukuki bir titizlikle yönetilmesi, olası idari para cezalarının önlenmesi ve aday güveninin tesisi açısından kritik öneme sahiptir. İnsan kaynakları departmanları, veri yaşam döngüsünün her aşamasında KVKK uyumunu gözeterek hem yasal sorumluluklarını yerine getirmeli hem de kurumsal itibarını korumalıdır.
KVKK Çerçevesinde İşe Alım ve Veri Saklama İlkeleri
6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesinde temel hak ve özgürlüklerin korunmasını esas alır. İşe alım süreçleri, çok sayıda adayın kişisel verisinin işlendiği yoğun bir veri akışını barındırır. İşverenler, adayların özgeçmişlerini değerlendirirken yalnızca ilgili pozisyonun gerekliliklerine odaklanmalı ve verileri, işleme amacının gerektirdiği süre boyunca saklamalıdır. Amacın ortadan kalkmasıyla birlikte verilerin muhafaza edilmesi, hukuka aykırı veri işleme kapsamında değerlendirilerek ciddi yaptırımlara yol açabilir.
Veri Saklama Sürelerinin Belirlenmesinde Kritik Kriterler
KVKK'nın 4. maddesinde yer alan "işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi, saklama sürelerinin temel belirleyicisidir. İşe alım sürecinde özgeçmiş verilerinin saklanması için genel kabul gören süre, adayın başvurduğu pozisyonun sonuçlanmasıyla başlar. Eğer pozisyon dolmuşsa veya aday elenmişse, verinin saklanması için meşru bir amaç kalmamış demektir. Ancak, olası iş hukuku uyuşmazlıkları veya ayrımcılık iddialarına karşı savunma hakkını korumak amacıyla şirketler, verileri kısa bir süre (genellikle 6-12 ay) muhafaza edebilirler.
İşe Alımda Veri Minimizasyonu ve Amaç Sınırlılığı
Veri minimizasyonu, ihtiyaç duyulmayan hiçbir verinin toplanmaması ve işlenmemesi esasına dayanır. İK uzmanları, adaylardan sadece işin gerektirdiği yetkinlikleri ve tecrübeyi belgeleyen bilgileri talep etmelidir. Örneğin, bir pozisyon için gerekli olmayan özel nitelikli kişisel verilerin (sağlık bilgileri, dernek üyeliği vb.) toplanması, KVKK'nın temel ilkelerine aykırıdır. Ayrıca, aday havuzunda veri tutmak isteyen şirketler, bu durumu adaylara açıkça bildirmeli ve "ileride açılacak pozisyonlar için veri saklama" konusunda mutlaka açık rıza almalıdır.
Aydınlatma Yükümlülüğü ve Şeffaflık
Şirketler, işe alım portalı veya başvuru formları aracılığıyla adaylara sunulan aydınlatma metinlerinde; verilerin kim tarafından, hangi amaçla, hangi hukuki sebebe dayanarak ve ne kadar süreyle saklanacağını net bir şekilde ifade etmelidir. Şeffaflık, KVKK uyum sürecinin en önemli ayağıdır. Adayın verisinin ne zaman ve nasıl imha edileceğini bilmesi, kişisel verilerin korunması bilincinin kurumsal kültürün bir parçası olduğunu gösterir.
Veri İmha Süreçleri: Güvenli ve Yasal Yöntemler
Saklama süresi dolan özgeçmişlerin imhası, KVKK uyumluluğunun teknik bir gerekliliğidir. İmha süreci, verinin geri döndürülemez şekilde yok edilmesini ifade eder.
- Dijital İmha: Verilerin bulunduğu sunuculardan, bulut sistemlerinden veya yedekleme ünitelerinden kalıcı olarak silinmesi ve üzerine veri yazılarak kurtarılmasının imkansız hale getirilmesi.
- Fiziksel İmha: Basılı özgeçmişlerin kağıt imha makineleri ile parçalanarak verinin okunamaz hale getirilmesi.
- Anonimleştirme: Verinin, başka verilerle eşleştirilse dahi kimliği belirli veya belirlenebilir bir kişiyle ilişkilendirilemeyecek hale getirilmesi.
İmha işlemleri mutlaka bir "İmha Tutanağı" ile kayıt altına alınmalı ve KVKK uyum denetimlerinde sunulabilecek şekilde saklanmalıdır.
Veri Sorumlusunun Yükümlülükleri ve İhlal Riskleri
İşveren (veri sorumlusu), kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemekle yükümlüdür. Bu kapsamda İK departmanlarında uygulanan erişim kısıtlamaları, şifreli veri tabanları ve periyodik denetimler idari tedbirler arasındadır. İhlal durumunda ise Kişisel Verileri Koruma Kurulu (KVKK) tarafından ağır idari para cezaları uygulanabilmektedir. Ayrıca, veri sızıntısı kaynaklı tazminat davaları ve marka itibarının zedelenmesi, şirketler için telafisi güç zararlar doğurabilir.
Uyum İçin İK Departmanlarına Tavsiyeler
Şirketlerin KVKK uyumunu sürdürülebilir kılmaları için şu stratejileri izlemeleri önerilir:
- Veri Envanteri Oluşturun: Hangi verinin, hangi departmanda, ne kadar süreyle tutulduğunu gösteren bir envanter hazırlayın.
- İmha Politikası Yayınlayın: Kurum içinde periyodik imha sürelerini ve yöntemlerini içeren yazılı bir politika belirleyin.
- Erişim Yetkilerini Sınırlandırın: Özgeçmişlere sadece ilgili İK uzmanlarının erişebileceği hiyerarşik bir sistem kurun.
- Düzenli Eğitimler Verin: İşe alım sürecinde görev alan tüm personeli KVKK farkındalık eğitimlerinden geçirin.