RGPD İK: Çalışanların Verilerinin İşlenmesi

İnsan kaynakları yönetimi, her gün önemli bir hacimde kişisel veri üretir: iş sözleşmeleri, maaş bordroları, sağlık verileri, performans değerlendirmeleri, banka hesap bilgileri… Mayıs 2018'de Kişisel Verilerin Korunması Genel Yönetmeliği (RGPD) yürürlüğe girdikten bu yana, İK yönetim birimleri kuruluşlar içinde uyum sağlamanın merkezi aktörleri haline gelmiştir. Ancak, CNIL'in 2024 faaliyet raporuna göre, insan kaynakları sektörü denetimler sırasında en sık itham edilen üç alanından biri olmaya devam etmektedir. Bu makale, çalışanlarınızın verilerini tam uyum içinde işlemek için kilit yükümlülükler, iyi uygulamalar ve mevcut araçlardan geçerek size rehberlik etmektedir.

İK Hangi Kişisel Verileri İşler?

Yaygın Veri Kategorileri

İK hizmetleri çok geniş bir kişisel veri yelpazesini yönetir. İki büyük aile ayırt edilir:

Sıradan veriler, iş sözleşmesi çerçevesinde toplanan: ad, soyad, adres, sosyal güvenlik numarası, banka hesap numarası, CV, diplomalar, mesleki geçmiş, yıllık değerlendirmeler, çalışma saatleri, devam ve devamsızlık verileri.

Hassas veriler, RGPD'nin 9. maddesi anlamında güçlendirilmiş kısıtlamaya tabi: sağlık verileri (hastalık izinleri, iş kazası bildirimleri, tıbbi kısıtlamalar), sendika verileri (sendika üyeliği, temsilci görevleri), belirli işe alım bağlamlarında ceza kararlarıyla ilgili veriler.

İkincisi, yalnızca yönetmelik tarafından öngörülen açık bir istisna şartı altında işlenebilir — örneğin, çalışma hukuku konusunda yasal yükümlülüklerin yerine getirilmesi veya ilgili kişinin açık rızası gibi.

İşe Alım Özel Durumu

İşe alım aşaması, genellikle yanlış şekilde düzenlenen özel işlemeleri üretir. CV, motive mektupları ve test sonuçlarının toplanması kesin saklama sürelerini gerektirir: CNIL'in tavsiyelerine göre, reddedilen adayların verileri son iletişimden sonra maksimum iki yıl içinde silinmeli veya anonim hale getirilmelidir. CV'leri güvenli olmayan paylaşılan bir depoda süresiz olarak saklama, açık ihlaldir.

İşe alım takip sistemleri (ATS) veya davranış analizi algoritmaları içinde izleme araçlarının kullanılması, RGPD'nin 13. ve 14. maddeleri uyarınca adaylara iletilen gizlilik politikasında açık bir şekilde belirtilmelidir.

İK Bağlamında İşlemin Yasal Temelleri

Doğru Yasal Temeli Belirlemek

RGPD, kişisel verilerin her işlemesinin 6. maddede tanımlanan altı yasal temelden birine dayanmasını şart koşar. İK bağlamında, üç temel özellikle kullanılır:

• İş sözleşmesinin yerine getirilmesi (md. 6.1.b): bordro yönetimi, izin veya eğitim için gerekli olan verilerin işlemesini haklı kılar.

• Yasal yükümlülük (md. 6.1.c): zorunlu sosyal bildirimler (DSN), personel kayıtları veya iş kazası takibine uygulanır.

• Meşru menfaat (md. 6.1.f): erişim kartı yönetimi veya video gözetleme gibi işlemeler için çağrılabilir, katı bir dengeleme testi şartı altında.

Rıza (md. 6.1.a) ise iş bağlamında zayıf bir yasal temeldir: CNIL ve Avrupa Veri Koruma Kurulu (CEPD), işveren ile çalışan arasındaki yapısal dengesizliğin serbest bir rızanın kanıtını zorlaştırdığını hatırlatır. Son çare olarak kullanılmalıdır.

İşlemlerin Kaydı, Kaçınılmaz Yükümlülük

En az 250 kişi istihdam eden veya daha küçük ölçekte hassas veriler işleyen herhangi bir kuruluş bir işleme faaliyetleri kaydı tutmalıdır (RGPD'nin 30. maddesi). İK'de bu kayıt, her işleme için belgelendirilmelidir: amaç, veri kategorileri, alıcılar, saklama süreleri ve uygulanan güvenlik önlemleri.

Denetim sırasında CNIL'e sunulmak üzere tutulan bu belge, aynı zamanda değerli bir yönetim aracıdır. İK'ye adanmış elektronik imza çözümüyle birlikte, bir İK belgesinin yaşam döngüsünün her adımını izlemek ve zaman damgası koymak mümkün olur ve böylece süreçlerin denetlenebilirliği artar.

Çalışanların Hakları ve İşverenin Yükümlülükleri

Çalışanları Bilgilendirme: Anlık Yükümlülük

RGPD'nin 13. maddesi, ilgili kişilere verilerinin toplanması sırasında bilgi verilmesini zorunlu kılar. Uygulamada, İK'nın çalışanlara — ideal olarak iş sözleşmesi imzası sırasında — aşağıdakileri detaylandıran bir RGPD bilgi notu sunması gerekir: işleyen sorumlusunun kimliği, amaçlar ve yasal temeller, saklama süresi, mevcut haklar ve DPO (Veri Koruma Sorumlusu) iletişim bilgileri (varsa).

Bu değişimi dijitalleştirme ve güvenliğe almak elzemdir. Kurumsal elektronik imza kullanımı bu bildirimin sunumu için zaman damgalı ve tartışılmaz bir kanıt sağlar, eIDAS yönetmeliği gerekçeleriyle uyumludur.

Kesinlikle Saygı Gösterilecek Çalışan Hakları

Çalışanlar verilerine karşı geniş haklara sahiptir:

• Erişim Hakkı (md. 15): her çalışan, işveren tarafından işlenen kendisini ilgilendiren tüm verilerin bir kopyasını talep edebilir.

• Düzeltme Hakkı (md. 16): yanlış veri düzeltmesi (örn.: adres, banka hesap numarası).

• Silinme Hakkı (md. 17): özellikle sözleşme sonu ve yasal saklama sürelerinin geçmesinden sonra uygulanır.

• Karşı Çıkma Hakkı (md. 21): çalışan meşru menfaate dayalı işlemeye karşı çıkabilir.

• Sınırlama Hakkı (md. 18): tartışmalı işlemenin geçici dondurulması.

İşveren, hakların kullanımı talebine bir ay içinde cevap verme yükümlülüğüne sahiptir, karmaşıklık durumunda üç aya uzatılabilir (RGPD'nin 12. maddesi).

İK Verileri Güvenliği ve Alt Yükleniciler Yönetimi

Teknik ve Organizasyonel Önlemler

RGPD'nin 32. maddesi, riske "uygun" güvenlik önlemlerinin uygulanmasını gerektirir. İK verileri için, iyi uygulamalar şunları içerir:

• Şifreleme, hassas veriler içeren dosyaların (maaş bordroları, tıbbi dosyalar).

• Erişim denetimi: en az ayrıcalık prensibi — bir bordro müdürü disipliner verilere erişemez.

• Sistem erişimlerinin günlüğü İK sistemlerine (İK bilgi sistemi, bordro araçları).

• İhlal yanıt planı: veri sızıntısı durumunda, işveren CNIL'e 72 saat içinde bildirim yapma yükümlülüğüne sahiptir (md. 33) ve risk yüksekse muhtemelen ilgili kişilere (md. 34).

Elektronik imza kılavuzu aracılığıyla tam bir denetim, İK ekiplerinin kağıt üzerinde devam eden güvensiz işlemeleri tanımlamasına ve bunları uyumlu şekilde dijitalleştirmesine yardımcı olabilir.

İK Hizmet Sağlayıcılarını DPA ile Çerçevelemek

İK hizmetleri birçok alt yükleniciyi çağırır: bordro yazılımı, eğitim platformları, zaman yönetim araçları. Kişisel verilere erişen her hizmet sağlayıcı, RGPD'nin 28. maddesi uyarınca bir veri işleme anlaşması (Data Processing Agreement — DPA) konusu olmalıdır. Bu sözleşme, işleme talimatları, güvenlik garantileri, verilerin iadesi veya imha modaliteleri ve ihlaç durumundaki yükümlülükleri belirtmelidir.

Altyapısını Avrupa Birliği içinde barındıran veya Komisyon tarafından onaylanan tip sözleşme maddeleri (CCT) tarafından kapsanan hizmet sağlayıcılar seçmek, AB dışında herhangi bir yasadışı transfer yapılmasından kaçınmak için hayati bir gereklilik olmaya devam etmektedir.

Saklama Süreleri: Yapısal Risk

Personel Dosyasına Uygulanabilir Yasal Süreler

İK verilerinin saklama süresi bir metin yığını tarafından çerçevelenmiştir: RGPD (saklama sınırlaması prensibi, md. 5.1.e), İş Kanunu ve çeşitli vergi ve sosyal hükümler. Uygulamada, saygı gösterilmesi gereken ana süreler şunlardır:

| Belge Türü | Minimum Saklama Süresi | |---|---| | Maaş Bordrosu | 5 yıl (sosyal reşit olma süresi) | | İş Sözleşmesi | Sözleşme sonu sonrası 5 yıl | | Bordro Verileri (DSN) | 3 yıl (URSSAF denetimi) | | Personel Kaydı | Çalışan ayrılması sonrası 5 yıl | | Disiplin Verileri | Ölçüsüyle orantılı süre | | Tıbbi Dosya (iş hekimliği) | 50 yıl (özel yönetmelik) |

İK bilgi sisteminde otomatik arşivleme ve silme politikası uygulanması, elektronik imzanın belge oluşturmayı zaman damgalı yapan iş akışları ile birleştirilmesi, CNIL'e karşı uyumluluğu göstermek için günümüzde en iyi uygulamadır.

Kaçınılması Gereken Tuzaklar

CNIL tarafından İK verilerine ilişkin denetimler sırasında gözlenen en sık hatalar: reddedilen adayların CV'lerinin süresiz tutulması, eski çalışanların bilgisayar erişiminin korunması, bordro dosyalarının şifrelenmemesi ve erişim kartı verilerinin yasal sürelerden sonra silinmemesi. Bu noktaları güvenli hale getirmek için, elektronik imza çözümlerinin karşılaştırması göz atmak, yerel arşivleme ve belgelerin yaşam döngüsü yönetimi işlevlerini doğal olarak entegre eden araçları tanımlamaya olanak sağlar.

İK Verilerinin İşlemesine Uygulanabilir Hukuki Çerçeve

Çalışanların kişisel verilerinin işlemesi, düzenlemenin çeşitli seviyeleri artiküle eden yoğun bir normatif çerçeveye uyuyordu.

Yönetmelik (AB) 2016/679 — RGPD temel taş oluşturur. 5 ile 11. maddeler temel prensipleri tanımlar (yasallık, dürüstlük, şeffaflık, amaç sınırlaması, veri minimizasyonu, doğruluk, saklama sınırlaması, bütünlük ve gizlilik). 9. madde, İK'de özellikle sık olan sağlık ve sendika verileri dahil olmak üzere, veri kategorilerine uygulanabilir katı koşulları belirler. 83. madde, ciddi ihlallerde 20 milyon avro veya küresel ciro'nun %4'ü ile ceza kesintisine olanak sağlar.

Değiştirilmiş Bilişim ve Özgürlükler Kanunu (1978 tarihli 78-17 kanunu), konsolide haliyle, RGPD'yi Fransız hukukuna uyarlar. CNIL'e denetim ve ceza yetkisini verir ve İş Hekimliğinde sağlık verileri için özellikle sektörel istisnalar sağlar.

İş Kanunu çalışanların gözetlenmesiyle ilgili işlemeleri düzenler (özel yaşama saygı konusunda md. L. 1121-1), sayısal araçlar üzerinde personel temsilcilerinin danışması (md. L. 2312-38) ve zorunlu kayıtları.

eIDAS Yönetmeliği (910/2014), eIDAS 2.0 (AB Yönetmeliği 2024/1183) tarafından tamamlanan, İK belgeleri üzerinde apposed elektronik imzaların yasal değerini yönetir. Nitelikli elektronik imza (SEQ), eIDAS Ek I'e ve ETSI EN 319 132 ile ETSI EN 319 122 normlarına uygun, Fransız Medeni Yasası'nın 1367. maddesi anlamında elle yazılı imzaya eşdeğerlik varsayımı sunar.

Medeni Yasası'nın 1366. maddesi, "elektronik belge, kâğıt üzerinde yazılan belgelerle aynı kanıt gücüne sahiptir, işleminin yapıldığı kişi düzgün şekilde belirlenebilir ve bütünlüğünü garantilemek amacıyla koşullar içinde kurulup korunmuş olması şartı ile" ifade eder. Bu hüküm doğrudan demateryalize İK sözleşmelerine, tadillere, gizlilik anlaşmalarına ve diğer İK belgelerine uygulanır.

NIS2 Direktifi (AB 2022/2555), Fransız hukuku tarafından 26 Şubat 2025 tarihli kanun ile çevirilen, gerekli kuruluşlara ve önemli kuruluşlara (özellikle büyük endüstriyel işletmeler ve sayısal hizmet operatörleri) hassas İK verilerinin korunmasını içeren bilgi güvenliği riski yönetiminde güçlendirilmiş gereklilikler yüklüyor.

CNIL tarafından verilen cezalar keskin şekilde artmaktadır: 2024'te, cezaların toplam tutarı 100 milyon avroyu aşmakta, çalışan verilerinin yönetiminde doğrudan eksikliklerle ilgili birçok karar vardır. Saklama sürelerinin göz ardı edilmesi, İK alt yüklenenleriyle DPA yapılmaması ve güvenlik önlemlerinin yetersizliği en sık itiraz edilen kusurlar arasında yer almaktadır.

Senaryo: İK'da RGPD Uyumluluğu Uygulamada

Senaryo 1 — 450 Çalışanlı bir ETI, İşe Alma Süreçlerini Dijitalleştirir

Fransa'nın üç bölgesine yayılmış bir orta büyüklükteki endüstriyel işletme, iş sözleşmelerini ve tadillerini kağıt üzerinde yönetiyordu. Yeni çalışanların dosyaları bordro hizmetine yalnızca ortalama 12 iş günü sonra iletiliyordu, bu da yaklaşık %8 oranında bordro hatalarına neden oluyordu. Ayrıca, yeni çalışanlara RGPD bildirimi hiçbir şekilde resmi olarak iletilmiyordu: bilgi yalnızca ayrı olarak imzalanmayan kurumsal düzenlemenin altında yer alıyordu.

İK bilgi sistemine entegre bir elektronik imza çözümü dağıtımından sonra, çalışanın ve İK müdürünün eş zamanlı olarak co-imzaladığı RGPD notifikasiyon sunumunun ardından, şirket İK belgesı başlangıç süresini 2 iş gününe (% 83 azalma) indirmiştir. Eksik verilere bağlı bordro hataları %1'in altına düşmüştür. Her imzalı belge, nitelikli zaman damgasıyla arşivlenmiş olup, CNIL denetimi veya işçi hukuku uyuşmazlığı durumunda karşı konulamaz bir kanıt sağlar.

Senaryo 2 — 1.200 Çalışanlı bir Grup, Saklama Politikasını Uyuma Koyar

Özel dağıtım alanında faaliyet gösteren bir grup, eski bir çalışanın şikayetinin ardından bir CNIL denetiminden geçti. İnceleme, 8 yıl öncesinden ayrılan çalışanların bordro verilerini içeren Excel dosyalarının şifrelenmemiş güvenli olmayan paylaşılan sunucuda hala erişilebilir olduğunu ortaya çıkardı. Resmi bir uyarı ve 3 aylık uyum süresi emri verilen uyarı sunuldu.

Grup daha sonra İK işlemelerinin kapsamlı bir denetimini yürütmüştür, 23 işleme faaliyetini haritalanmış ve İK bilgi sistemi tarafından tetiklenen otomatik bir silme planı uygulamıştır. Elektronik olarak imzalanan belgeler, yasal yükümlülüklere göre konfigüre edilmiş saklama sürelerine sahip bir dijital kasa sisteme taşınmıştır. DPO, 18 ay sonraki ikinci bir CNIL denetimi sırasında sunulmuş olan tam bir İK işleme kayıtları üretmiştir; bu denetim sonuç olmadan tamamlanmıştır. Uyum masrafı, olası bir cezanın tutarının %60'ının altında tahmin edilmiştir.

Senaryo 3 — 35 Kişili bir İK Danışmanlık Firması, Kendi Danışmanlarına ve Müşteri Verilerini Güvenler

İnsan kaynakları konusunda uzmanlaşmış bir danışmanlık firması, hem kendi danışmanlarının hem de müşteri şirketlerinin adaylarının ve çalışanlarının verilerini yönetir (değerlendirme veya kariyer sonu görevleri çerçevesinde). Böylelikle kendini hem işlemci hem de alt yüklenici (hatta ortak sorumlu) olarak çift konumda bulur.

Firma, farklılaştırılmış bir belge mimarisi uygulamıştır: sıradan iç değişimler için basit elektronik imza, müşteri görev mektuplarıyla sözleşmeler için ileri elektronik imza ve veri işleme anlaşmaları (DPA) sistematik olarak görev mektuplarına entegre edilmiştir. Tüm danışmanlara güncellenmiş bir RGPD şartı sunulmuş, elektronik olarak imzalanmış ve ayrılan bir kayıtta tutulmuştur. Bu işletme firmanın, katı satıcı denetimlerine tabi büyük hesaplar için ticari argüman olarak uyumluluğunu göstermesini sağlamış, sözleşmeleştirme ortalama süresini 7 günden 2 haftaya azaltmıştır.

Sonuç

RGPD, insan kaynakları yönetimlerine uygulamalarının derinlemesine dönüşümü gerektirir: yasal temellerin kesin tanımlanması, çalışanların etkin şekilde bilgilendirilmesi, hakların yönetimi, alt yüklenicilerin sözleşmesel çerçevelenmesi, veri güvenliği ve saklama sürelerine uygunluk. Bu yükümlülükler sadece idari formaliteler değildir — bunlar şirketin birkaç milyon avro tutarında cezalardan kaçınma ve ekiplerine karşı güven çerçevesinde çalışma kapasitesini koşullandırır.

İK süreçlerinin dijitalleştirilmesi, eIDAS uyumlu elektronik imza çözümleri aracılığıyla, işletme verimliliğini düzenleyici uyumluluğla birleştirmek için en etkili araçlardan biridir. Certyneo, İK ekiplerini iş sözleşmesinin imzasından çalışan dosyalarının güvenli arşivlemesine kadar bu geçişte destekler.

Certyneo'nun İK süreçlerinizi nasıl güvenli hale getirebileceğini keşfedin İK ekiplerine adanmış teklifimize baş vurarak veya ücretsiz olarak başlayarak çözümü taahhüt olmaksızın test edin.