İş Başvuru Süreçlerinde Veri Paylaşımı: “Grup Şirketler” ve “Yanlış Alıcı” Hataları
Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihli duyurusu ile işe alım ve insan kaynakları süreçlerinde yapılan iki kritik hata üzerine verdiği kararları paylaşmıştır. Bu kararlar, özellikle online platformlar ve holding yapıları (şirketler topluluğu) için “emsal” niteliği taşımaktadır.
1. Toplu E-posta Skandalı: Aday Bilgilerinin Diğer Adaylara İfşası
Olay: Online bir İK platformu, bir adayın iş başvurusu bilgilerini (ad, soyad, e-posta ve başvuru detayları), herhangi bir hukuki dayanak olmaksızın aynı işe başvuran diğer adaylarla paylaşmıştır.
Hukuki Değerlendirme:
- Veri Güvenliği İhlali: Kurul, bu durumu KVKK Md. 12/1 kapsamında “kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirlerin alınmaması” olarak değerlendirmiştir.
- Gizlilik İlkesi: İşe alım süreçlerinde adayların birbirlerinin bilgilerine erişmesi, hem kişisel verilerin korunması hem de ticari etik açısından ağır bir ihlaldir.
2. Şirketler Topluluğu (Holding) İçi Paylaşım Yanılgısı
Olay: Bir aday, X şirketine iş başvurusu yapmıştır. Ancak bu şirket, adayın açık rızasını almadan, verilerini aynı grup çatısı altında bulunan (aynı veri tabanını kullanan) diğer grup şirketleriyle paylaşmıştır.
Hukuki Değerlendirme:
- Üçüncü Kişi Statüsü: Kurul, bir holding veya şirketler topluluğu içinde de olsa, her bir tüzel kişiliğin (şirketin) ayrı bir Veri Sorumlusu olduğunu vurgulamıştır.
- Aktarım Kuralı (Md. 8): Aynı grup içindeki şirketler arası veri geçişi, hukuk tekniği açısından “üçüncü kişiye aktarım”dır. Bu aktarımın yapılabilmesi için ya adayın açık rızası olmalı ya da Kanun’un 5/2 maddesindeki diğer şartlar (sözleşme, kanun vb.) bulunmalıdır. Ortak veri tabanı kullanımı, bu hukuki zorunluluğu ortadan kaldırmaz.
3. Karar Sonucu: İdari Para Cezaları
Kurul, her iki olayda da veri güvenliği yükümlülüklerine aykırı hareket eden şirketler hakkında KVKK Md. 18 uyarınca idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Aynı Holding, Farklı Hukuk”
Bilişim hukuku dünyasında en sık karşılaştığımız yanlışlardan biri, “Biz zaten aynı grubun şirketiyiz, veriyi birbirimize verebiliriz” düşüncesidir. Oysa KVKK, tüzel kişiliğe bakar. X İnşaat’a başvuran bir mühendisin verisini, rızası yoksa Y Gıda şirketine “belki orada da işe yarar” diye gönderemezsiniz.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Grup şirketleri, insan kaynakları yazılımlarını ve ortak veri tabanlarını kurgularken, her şirketin sadece kendi adayını gördüğü “yetki matrisleri” oluşturmalıdır. Aksi takdirde, holding içindeki masum bir veri paylaşımı, şirketi ağır KVKK cezalarıyla karşı karşıya bırakacaktır. Adaylar için ise; başvuru formlarında “verilerimin grup şirketleriyle paylaşılmasına izin veriyorum” kutucuğunun önceden işaretlenmiş (pre-ticked) olmaması gerektiğini hatırlatırım.
Sıkça Sorulan Sorular
1. Grup şirketleri arasında CV paylaşmak neden suç?
Suç değil, idari bir ihlaldir. Nedeni ise her şirketin ayrı birer “hukuki şahsiyet” olmasıdır. Adayın verisi sadece başvurduğu şirkette kalmalıdır, aksi durumda aktarım kuralları çiğnenmiş olur.
2. Bir şirkete başvurduğumda tüm holdingin beni tanıması için ne yapmalılar?
Başvuru sırasında size “Verilerimin grup şirketleri arasında paylaşılmasını onaylıyorum” şeklinde bir açık rıza metni sunmalı ve onayınızı almalıdırlar.
3. İş başvurusu yaptığım platform e-postamı başkasına sızdırırsa ne yapabilirim?
Önce ilgili platforma başvurarak bilgi talep etmeli, ardından KVKK’ya şikayette bulunmalısınız. Bu karar gösteriyor ki, Kurul bu tür “dikkatsizlik” kaynaklı sızıntılara tolerans göstermemektedir.
4. Ortak veri tabanı kullanmak yasak mı?
Hayır, ancak bu veri tabanı üzerinde şirketler arası “erişim kısıtlaması” olmalıdır. Veri sorumluları, sadece kendilerini ilgilendiren verilere erişebilecek teknik altyapıyı kurmakla yükümlüdür.
5. Bu kararlar işe alım süreçlerini yavaşlatır mı?
Hayır, sadece daha şeffaf ve güvenli hale getirir. Doğru bir “Aydınlatma Metni” ve “Açık Rıza” kurgusuyla süreçler yine hızlıca yürütülebilir.
Kaynaklar
- KVKK Kurumu Duyurusu – 2 Ağustos 2018
- 6698 Sayılı KVKK (Madde 8, 12 ve 18)
- Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
Etiketler
#KVKK, #İşBaşvurusu, #İK, #VeriAktarımı, #GrupŞirketleri, #İdariParaCezası, #AçıkRıza, #VeriGüvenliği, #BilişimHukuku, #ÖzgürEralp, #Holding, #VeriSorumlusu, #CVPaylaşımı, #Epostaİhlali
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),