Compliance & Regulation serimizin bir parçası
Tam kılavuzu okuyunÇalışan Veri Gizliliği Yönetimi: İK İhtiyaçlarını Gizlilik Haklarıyla Dengelemek
Çalışan verileri, çoğu şirketin işlediği kişisel verilerin en hassas kategorisidir. Finansal bilgileri (maaş, banka bilgileri), resmi tanımlayıcıları (SSN, vergi kimlikleri), sağlık verilerini (hastalık izni, engellilik düzenlemeleri) ve davranış verilerini (performans incelemeleri, disiplin kayıtları) içerir. Ancak İK departmanları rutin olarak gereğinden fazla çalışan verisi topluyor ve saklıyor, çoğu zaman yetersiz korumayla.
Bu kılavuz, tüm istihdam yaşam döngüsü boyunca çalışan veri gizliliğini yönetmeye yönelik yasal gereklilikleri, pratik çerçeveleri ve teknik uygulamaları kapsar.
Önemli Çıkarımlar
- Rıza, çalışanların verilerinin işlenmesi için nadiren uygun yasal dayanaktır --- güç dengesizliği, rızayı özgür olmaktan çıkarır
- Çalışan izlemesi orantılı, şeffaf olmalı ve yasal bir temele sahip olmalıdır
- Çalışan verilerinin sınır ötesi aktarımı (örn. grup genel merkezine) özel aktarım mekanizmaları gerektirir
- İK verileri için veri saklama süresi, türe bağlı olarak 1 yıl (işe alım reddi) ile 30+ yıl (emeklilik kayıtları) arasında değişir
Çalışan Verilerinin İşlenmesine İlişkin Yasal Dayanaklar
GDPR Yasal Dayanağı (Madde 6)
| Yasal Dayanak | Ne Zaman Kullanılmalı | Örnekler |
|---|---|---|
| Sözleşmenin ifası (Mad. 6(1)(b)) | İş sözleşmesinin yerine getirilmesi için gerekli | Maaş işleme, çalışma programı, sosyal yardım yönetimi |
| Yasal yükümlülük (Mad. 6(1)(c)) | Yasa gereği zorunludur | Vergi raporlaması, sosyal güvenlik katkıları, işyeri güvenliği kayıtları |
| Meşru menfaat (Mad. 6(1)(f)) | İş ihtiyaçları çalışan haklarıyla dengeleniyor | BT güvenliği izleme, dolandırıcılığı önleme, organizasyonel planlama |
| Rıza (Mad. 6(1)(a)) | Gerçekten isteğe bağlı aktiviteler | Çalışan rehberi fotoğrafı, sosyal etkinlikler, zorunlu olmayan anketler |
| Hayati menfaatler (Mad. 6(1)(d)) | Hayatı tehdit eden durumlar | Acil tıbbi bilgiler |
Önemli: Çalışan verileri için onay son çare olmalıdır. İşveren-çalışan güç dengesizliği, rızanın GDPR'nin gerektirdiği şekilde "özgürce verilemeyeceği" anlamına gelir. Mümkün olduğunda sözleşme performansını veya yasal yükümlülüğü kullanın.
Özel Kategoriler (Madde 9)
Sağlık verileri, biyometrik veriler, sendika üyeliği ve diğer özel kategoriler ek bir yasal dayanak gerektirir:
| Özel Kategori Verileri | Yasal Dayanak | Ortak İK Senaryosu |
|---|---|---|
| Sağlık verileri | İş hukuku yükümlülüğü veya açık rıza | Hastalık izni, engellilere yönelik konaklama, iş sağlığı |
| Biyometrik veriler | Açık rıza veya önemli kamu yararı | Parmak izi erişimi, yüz tanıma katılımı |
| Sendika üyeliği | İş hukuku, açık rıza | Sendika aidatlarının kesilmesi, toplu sözleşme |
| Sabıka kayıtları | Yasal zorunluluk | Geçmiş kontrolleri (yasal olarak izin verildiğinde) |
| Dini inanç | Açık rıza | Diyet gereksinimleri, dini bayramlar |
Yaşam Döngüsü Boyunca Çalışan Verileri
İşe Alım
| Toplanan Veriler | Saklama | Notlar |
|---|---|---|
| CV / özgeçmiş | Reddedildikten 6-12 ay sonra | Daha kısa saklama daha güvenlidir |
| Mülakat notları | Reddedildikten 6-12 ay sonra | Yalnızca işle ilgili notları saklayın |
| Referans kontrolü sonuçları | Karardan 6 ay sonra | Derhal sil |
| Değerlendirme / test sonuçları | Reddedildikten 6-12 ay sonra | Adayları önceden bilgilendirin |
| Geçmiş kontrolü | Karardan 6 ay sonra ya da hiç | Kesin amaç sınırlaması |
Adaylar bilgilendirilmelidir: Veri toplamadan önce, hangi verilerin toplandığını, neden toplandığını, ne kadar süre saklandığını ve haklarını kapsayan bir gizlilik bildirimi sağlayın. Reddedilen adayların verileri, adayın yetenek havuzunda tutulmasına izin vermediği sürece 6-12 ay içerisinde silinmelidir.
İlk Katılım
| Toplanan Veriler | Amaç | Yasal Dayanak |
|---|---|---|
| Tam ad, adres, DOB | İş sözleşmesi | Sözleşme |
| Vergi Numarası / SSN | Vergi raporlama | Yasal zorunluluk |
| Banka ayrıntıları | Maaş ödemesi | Sözleşme |
| Acil durumda iletişime geçilecek kişiler | İşyeri güvenliği | Meşru menfaat |
| Fotoğraf (isteğe bağlı) | Çalışan rehberi | Onay |
| Ekipman seri numaraları | Varlık takibi | Meşru menfaat |
| Çalışmaya uygunluk belgeleri | Göçmenlik uyumluluğu | Yasal zorunluluk |
Çalışma Sırasında
| İşleme Etkinliği | Yasal Dayanak | Şeffaflık Gereklidir |
|---|---|---|
| Bordro işleme | Sözleşme | Standart |
| Performans incelemeleri | Meşru menfaat | Yüksek (kriterler hakkında bilgi verin) |
| BT sistem izleme | Meşru menfaat | Yüksek (izleme politikası gerekli) |
| E-posta izleme | Meşru menfaat (sınırlı) | Çok yüksek (özel politika gerekli) |
| CCTV | Meşru menfaat | Yüksek (tabela + politika) |
| GPS izleme | Meşru menfaat (eğer orantılı ise) | Çok yüksek |
| Zaman ve katılım | Sözleşme + yasal yükümlülük | Standart |
| Eğitim kayıtları | Sözleşme + meşru menfaat | Standart |
| Disiplin kayıtları | Meşru menfaat + yasal yükümlülük | Yüksek |
Ayrılma
| Eylem | Zaman Çizelgesi | Notlar |
|---|---|---|
| Tüm sistem erişimini iptal edin | Ayrılış günü | BT kontrol listesi |
| Şirket ekipmanının iadesi | Ayrılış günü | Varlık kurtarma |
| İstihdam kayıtlarını arşivleyin | Ayrılış günü | Kısıtlı erişime geç |
| Gerekli olmayan verileri silin | 30 gün | Fotoğraflar, kişisel dosyalar, beslenme tercihleri |
| Yasal olarak gerekli verileri saklayın | Saklama planına göre | Vergi kayıtları, emeklilik, iş sözleşmeleri |
| Referans isteklerine yanıt verin | Devam ediyor (sınırlı veri) | Çalışma tarihleri, bulunulan pozisyon |
Çalışan İzleme
Orantılılık Çerçevesi
Herhangi bir çalışan izlemesi orantılılık testini geçmelidir:
- Meşru amaç: Özel amaç nedir? (Güvenlik, verimlilik, yasal uyumluluk)
- Gereklilik: İzleme amaca ulaşmanın en az müdahaleci yolu mudur?
- Orantılılık: İşletmenin gizlilik etkisinden daha ağır basması gerekiyor mu?
- Şeffaflık: Çalışanlar neyin izlendiği konusunda açıkça bilgilendiriliyor mu?
Yargı Alanına Göre İzleme Karşılaştırması
| İzleme Türü | AB (GDPR) | ABD | İngiltere | Fransa (CNIL) | Almanya |
|---|---|---|---|---|---|
| E-posta içeriği izleme | Kısıtlanmış (yalnızca orantılı) | Genel olarak izin verilir (bildirim ile) | Kısıtlı | Çok kısıtlı (özel e-postalar korumalı) | Çok kısıtlı (iş konseyinin onayı) |
| Web tarama izleme | Bildirilerek ve amaç doğrultusunda izin verilmiştir | İzin verildi (bildirim ile) | Bildirim ile izin verilir | Yalnızca profesyonel kullanım için izin verilir | Kısıtlı |
| İşyerinde CCTV | İzin veriliyor (özel alanlarda değil) | İzin veriliyor (eyalet yasaları değişiklik gösteriyor) | ICO rehberliği geçerlidir | Mola odalarında değil | Çalışma konseyinin onayı gerekiyor |
| GPS araç takibi | Yalnızca çalışma saatlerinde izin verilir | Genel olarak izin veriliyor | Çalışma saatlerinde izin verilir | Yalnızca çalışma saatleri, çalışanlar bilgilendirildi | Çok kısıtlı |
| Tuş vuruşu günlüğü | Genellikle orantısız | İzin verildi (bildirim ile) | Genellikle orantısız | Orantısız | Orantısız |
| Ekran kaydı | Kısıtlı (zaman sınırlı, amaca özel) | İzin verildi (bildirim ile) | Kısıtlı | Çok kısıtlı | Çok kısıtlı |
Sınır Ötesi Çalışan Veri Transferleri
Yaygın Senaryolar
| Senaryo | Transfer Mekanizması Gerekli |
|---|---|
| ABD genel merkezinin AB yan kuruluşu (maaş bordrosu) | Standart Sözleşme Maddeleri (SCC'ler) + Transfer Etki Değerlendirmesi |
| AB'li ana şirketin Birleşik Krallık'taki yan kuruluşu | Birleşik Krallık yeterlilik kararı (karşılıklı) |
| AB'den Hindistan'a (BT desteği) | SCC'ler + tamamlayıcı önlemler |
| Çok ülkeli İK sistemi (Odoo, Workday) | Veri işlemcili SCC'ler + DPA |
Uygulama
Merkezi bir İK sistemi kullanan küresel şirketler için:
- Veri akışlarını haritalandırın: Hangi çalışan verilerinin hangi ülkeler arasında taşındığını belgeleyin
- Uygunluğu değerlendirin: Alıcı ülkenin AB yeterlilik kararı olup olmadığını kontrol edin
- SCC'leri uygulayın: Veriyi dışa aktaran ve içe aktaran taraf arasında Standart Sözleşme Maddelerini imzalayın
- Transfer Etki Değerlendirmesi: Alıcı ülkenin yasalarının SCC korumalarını zayıflatıp zayıflatmadığını değerlendirin
- Ek önlemler: Gerektiğinde şifreleme, takma ad kullanma veya erişim kısıtlamaları ekleyin
Ayrıntılı aktarım mekanizması rehberliği için sınır ötesi veri aktarımı kılavuzumuza bakın.
İK Veri Saklama Planı
| Veri Türü | Saklama Süresi | Yasal Dayanak |
|---|---|---|
| İş sözleşmesi | Süre + 6 yıl (zamanaşımı) | Yasal zorunluluk |
| Maaş bordrosu kayıtları | İstihdam sonrası 7-10 yıl (ülkeye göre değişir) | Vergi hukuku |
| Vergi formları (W-2, P60) | 7 yıl (ABD), 6 yıl (İngiltere) | Vergi hukuku |
| Emeklilik kayıtları | Nihai emeklilik ödemesinden sonraki 6 yıla kadar | Yasal zorunluluk |
| Performans incelemeleri | Çalışma süresi + 2 yıl | Meşru menfaat |
| Disiplin kayıtları | Süre + 1-3 yıl (değişir) | Meşru menfaat |
| Hastalık izni kayıtları | Süre + 3 yıl | Yasal zorunluluk |
| Eğitim kayıtları | Süre + 2-3 yıl | Meşru menfaat |
| İşe alım verileri (reddedildi) | 6-12 ay | Rıza veya meşru menfaat |
| CCTV görüntüleri | 30 gün (çoğu yargı bölgesinde maksimum 90) | Meşru menfaat |
| Günlüklere erişim | 1-3 yıl | Güvenlik + meşru menfaat |
| Çalışma konseyi tutanakları | 10 yıl | Yasal zorunluluk |
Sıkça Sorulan Sorular
Çalışan verilerinin işlenmesinde rızayı temel olarak kullanabilir miyiz?
Yalnızca çalışanın, reddetmenin herhangi bir olumsuz sonucu olmaksızın gerçek bir özgür seçime sahip olduğu gerçekten isteğe bağlı faaliyetler için. Örnekler: isteğe bağlı şirket bülteni aboneliği, şirket web sitesinde bir çalışanın fotoğrafının kullanılması, zorunlu olmayan çalışan anketlerine katılım. Bordro, performans yönetimi veya iş ilişkisi için gerekli olan herhangi bir veri işleme için bunun yerine sözleşme performansını veya yasal yükümlülüğü kullanın.
Çalışanların e-postalarını izleyebilir miyiz?
Çoğu AB yargı bölgesinde, aşağıdaki durumlarda iş e-posta hesaplarını sınırlı bir ölçüde izleyebilirsiniz: (1) çalışanların izleme konusunda açıkça bilgilendirilmesi, (2) izlemenin meşru bir amaç ile orantılı olması, (3) iş e-postasının kişisel kullanımının yasaklanması (tüm e-posta işi haline gelir) veya kişisel e-postaların izleme kapsamı dışında tutulması, (4) izlemenin sebepsiz bireyleri hedeflemek yerine sistematik olması. Fransa ve Almanya en kısıtlayıcı olanlardır.
Odoo HR'da çalışan verilerini nasıl ele alıyoruz?
Odoo İK modülleri kapsamlı çalışan verilerini toplar. Şunları uygulayın: (1) İK verilerini yetkili personelle sınırlayan erişim grupları, (2) hassas alanlar (maaş, SSN) için alan düzeyinde erişim kontrolü, (3) eski çalışan verileri için otomatik arşivleme kuralları, (4) çalışanların veri sahibi istekleri için veri dışa aktarma işlevi, (5) hassas alan değişikliklerine ilişkin denetim günlüğü. ECOSIRE, yerleşik gizlilik kontrolleriyle birlikte Odoo HR uygulamasını sağlar.
Bir çalışan silme hakkını kullanırsa ne olur?
Silme hakkı (GDPR Madde 17), yasal saklama yükümlülüklerini geçersiz kılmaz. Kanunen verileri (vergi kayıtları, emeklilik kayıtları) saklamanız gerekiyorsa silmeyi reddedebilirsiniz. Saklama için yasal veya meşru bir dayanak bulunmayan verileri (eski çalışanların saklama süresinin ötesindeki eski performans değerlendirmeleri, reddedilen adaylar için işe alım verileri, eski çalışanların intranetteki fotoğrafları) silmelisiniz.
Sırada Ne Var?
Çalışan verilerinin gizliliği, yönetişim programınızın bir bileşenidir. Otomatik uygulama için veri saklama politikaları, yönetim yapısı için GDPR DPO uygulaması ve uluslararası iş gücü verileri için sınır ötesi veri aktarımları ile birleştirin.
İK veri gizliliği danışmanlığı ve gizlilik kontrolleriyle Odoo HR uygulaması için ECOSIRE ile iletişime geçin.
ECOSIRE tarafından yayınlanmıştır - işletmelerin çalışan verilerini saygı ve uyumlulukla korumasına yardımcı olur.
Yazan
ECOSIRE Research and Development Team
ECOSIRE'da kurumsal düzeyde dijital ürünler geliştiriyor. Odoo entegrasyonları, e-ticaret otomasyonu ve yapay zeka destekli iş çözümleri hakkında içgörüler paylaşıyor.
İlgili Makaleler
İK ve İşe Alım Taraması için Yapay Zeka: Önyargısız Daha Hızlı İşe Alma
Adilliği ve uyumluluğu korurken özgeçmiş taraması, aday eşleştirme, görüşme planlama ve çalışan analitiği için İK'da yapay zekayı kullanın.
Çerez Onayı Uygulama Kılavuzu: Yasal Uyumlu Rıza Yönetimi
GDPR, eGizlilik, CCPA ve küresel düzenlemelere uygun çerez iznini uygulayın. İzin banner'larını, çerez kategorizasyonunu ve CMP entegrasyonunu kapsar.
Sınır Ötesi Veri Aktarımı Düzenlemeleri: Uluslararası Veri Akışlarında Gezinme
SCC'ler, yeterlilik kararları, BCR'ler ve GDPR, Birleşik Krallık ve APAC uyumluluğuna yönelik aktarım etki değerlendirmeleriyle sınır ötesi veri aktarımı düzenlemelerinde gezinin.
Compliance & Regulation serisinden daha fazlası
Denetim Hazırlığı Kontrol Listesi: ERP'niz Denetimleri Nasıl Yüzde 60 Daha Hızlı Hale Getirir?
ERP sistemlerini kullanarak denetim hazırlığı kontrol listesini tamamlayın. Uygun dokümantasyon, kontroller ve otomatik kanıt toplama ile denetim süresini yüzde 60 azaltın.
Çerez Onayı Uygulama Kılavuzu: Yasal Uyumlu Rıza Yönetimi
GDPR, eGizlilik, CCPA ve küresel düzenlemelere uygun çerez iznini uygulayın. İzin banner'larını, çerez kategorizasyonunu ve CMP entegrasyonunu kapsar.
Sınır Ötesi Veri Aktarımı Düzenlemeleri: Uluslararası Veri Akışlarında Gezinme
SCC'ler, yeterlilik kararları, BCR'ler ve GDPR, Birleşik Krallık ve APAC uyumluluğuna yönelik aktarım etki değerlendirmeleriyle sınır ötesi veri aktarımı düzenlemelerinde gezinin.
Bölgelere Göre Siber Güvenlik Düzenleme Gereksinimleri: Küresel İşletmeler için Bir Uyumluluk Haritası
ABD, AB, Birleşik Krallık, APAC ve Orta Doğu'daki siber güvenlik düzenlemelerinde gezinin. NIS2, DORA, SEC kurallarını, kritik altyapı gereksinimlerini ve uyumluluk zaman çizelgelerini kapsar.
Veri Yönetişimi ve Uyumluluğu: Teknoloji Şirketleri İçin Tam Kılavuz
Teknoloji şirketlerine yönelik uyumluluk çerçevelerini, veri sınıflandırmasını, saklama politikalarını, gizlilik düzenlemelerini ve uygulama yol haritalarını kapsayan eksiksiz veri yönetimi kılavuzu.
Veri Saklama Politikaları ve Otomasyon: İhtiyacınız Olanı Tutun, İhtiyacınız Olanı Silin
GDPR, SOX ve HIPAA için yasal gereklilikler, saklama programları, otomatik uygulama ve uyumluluk doğrulamasıyla veri saklama politikaları oluşturun.