RGPD İK: Çalışanların Verilerinin İşlenmesi

Genel Veri Koruma Yönetmeliği (RGPD), yalnızca bir işletme ile müşterileri arasındaki ticari ilişkilerde uygulanmaz: aynı zamanda, çalışanların kişisel verilerinin işlenmesini çok kesin bir şekilde düzenler. İşe alım, bordro yönetimi, erişim kontrolü, performans değerlendirmesi, video izleme… iş sözleşmesinin yaşam döngüsünün her aşaması, işverenin Avrupa hukuku çerçevesinde katı bir şekilde işlemesi gereken kişisel nitelikli verileri üretir. 20 milyon euro'ya kadar veya yıllık küresel gelirin %4'üne ulaşabilen para cezalarıyla, sorun son derece önemlidir. Bu makale, uygulanabilecek yasal dayanaklarını, İK hizmetlerinin pratik yükümlülüklerini ve işlemlerinizi güvenli hale getirmek için en iyi uygulamaları detaylandırıyor — İK belgelerin dijitalleştirilmesi sırasında dahil.

İK Verilerinin İşlenmesinin Hukuki Temelleri

İş Hukukunda Kabul Edilen Yasal Dayanaklar

RGPD, kişisel verileri işlemek için izin veren altı yasal dayanağı listeler (madde 6). İK bağlamında, bunlardan üçü neredeyse sistematik olarak kullanılır:

• İş Sözleşmesinin İcra Edilmesi (m. 6.1.b): bordro yönetimi, çalışma saati takibi, maaş bordrosunun verilmesi veya izin yönetimi için ana temel oluşturur.

• Yasal Zorunluluk (m. 6.1.c): İş Yasası veya sosyal mevzuat tarafından dayatılan işlemleri haklılaştırır; örneğin işe alınmadan önceki bildirim (DPAE), nominal sosyal bildirim (DSN) veya personel kayıt defteri tutulması.

• Meşru Menfaat (m. 6.1.f): belirli bilgi güvenliği işlemleri veya içsel dolandırıcılık önleme için, bu menfaat çalışanların temel haklarından daha ağır basmamak şartıyla temel oluşturabilir.

⚠️ Rıza temeli, salarial bağlamda son derece dikkatli kullanılmalıdır. CNIL, işveren-çalışan ilişkisine özgü dengesizliğin rızayı RGPD'nin 7. maddesinin anlamı dahilinde nadiren « serbest » kıldığını düzenli olarak hatırlatır. İşlemlerin başka bir yasal dayanağa dayanması gereken durumlarda rızaya başvurmak, işvereni yeniden nitelendirme riskine maruz bırakır.

Özel Veri Kategorileri: Güçlendirilmiş Rejim

İK tarafından toplanan bazı veriler, RGPD'nin 9. maddesiyle yer alan « hassas veriler » rejimine tabidir; işlenmesi prensip olarak istisnalar dışında yasaktır:

• Sağlık Verileri: hastalık izinleri, iş hekimi tarafından ilan edilen iş göremezlikler, engelliliğe ilişkin iş yeri ayarlamaları.

• Sendika Verileri: sendikaya üyelik, temsili görevler.

• Biyometrik Veriler: parmak izi veya yüz tanıma yoluyla erişim kontrolü.

• Suçlar İlişkin Veriler: ceza kaydı doğrulaması, yalnızca düzenlenmiş sektörlerde (güvenlik, çocukluk vb.) izin verilir.

Bu kategoriler için işveren açık bir istisna belirlemeli (m. 9.2), çoğu durumda veri koruması etki değerlendirmesi (AIPD) yapmalı ve sık sık dağıtımdan önce CNIL'e danışmalıdır.

İK Hizmetlerinin Pratik Yükümlülükleri

İşleme Faaliyetleri Kaydı

250'den fazla çalışan istihdam eden her kuruluş, işleme faaliyetleri kaydını (RGPD m. 30) tutmak zorundadır. Bu eşiğin altında, işlemeler işlemler tesadüfi değilse veya hassas verileri içeriyorsa yükümlülük devam eder — İK'da neredeyse her zaman böyle olur. Bu kayıt belgelenmelidir:

• Her işlemenin amacı (örn.: « bordro yönetimi »)

• İlgili veri kategorileri

• Alıcılar (üçüncü taraflar, işlemciler, yetkililer)

• Saklama süreleri

• Uygulanan güvenlik önlemleri

CNIL, kendiliğinden indirilebilen bir kayıt modeli sunmaktadır. Sıkı tutulması, bir inceleme durumunda ilk savunma hattını oluşturur.

Saklama Süreleri: Sık Göz Ardı Edilen Bir Nokta

RGPD'nin 5.1.e maddesi, saklama sınırlaması ilkesini dayatır: veriler toplanma amacı için gerekli süreden daha uzun saklanmamalıdır. İK'da, başvurulan yasal referans süreler aşağıdaki gibidir:

| Veri Türü | Önerilen Saklama Süresi | |---|---| | Bordro | 5 yıl (medeni zamanaşımı) | | İş Sözleşmesi | Sözleşmenin feshi sonrası 5 yıl | | İşe Alım Verileri (seçilmeyen aday) | Son iletişimden sonra maksimum 2 yıl | | Disiplin Dosyası | Cezaya göre değişken süre (uyarı için maksimum 3 yıl) | | Video İzleme | Kural olarak 1 ay | | DSN ve Personel Kaydı | Çalışanın ayrılışından sonra 5 yıl |

Bu süreler kayıtta belgelenmeleri ve temizleme veya kalıcı arşivleme yoluyla uygulanmalıdır.

Çalışanların Bilgilendirilmesi: Genellikle Eksik Görülen Bir Yükümlülük

RGPD'nin 13. maddesi, veri toplama sırasında ilgili kişilere tam bilgi notu sağlanmasını dayatır. İK'da, bu bildirim ideal olarak şu zaman sunulmalıdır:

• İş başvurusunun başlangıcında: işe alım sürecinde toplanan veriler için.

• İş başlangıcında: sözleşmeye entegre edilmiş veya imza sırasında ek olarak sunulmuş.

• Sözleşmeli ilişki sırasında: yeni işlem uygulandığında (örn.: biyometrik kayıt aracı dağıtımı).

İK onboarding sürecinin dijitalleştirilmesi, özellikle İK için elektronik imza yoluyla, bu bilgilerin verilmesi izlemesini kolaylaştırır: bildirimin okunma ve imza tarihi, bir uyuşmazlık durumunda değerli bir kanıt unsuru olan şekilde saat kaydedilir.

İK Verilerinin Güvenliği: Teknik ve Organizasyonel Önlemler

Şifreleme, Erişim Kontrolü ve Bölümlendirme

RGPD'nin 32. maddesi, risk ile uyumlu güvenlik önlemlerinin uygulanmasını gerektirir. Doğası gereği hassas olan ve ihlallerde hedeflenen İK verileri için, minimum en iyi uygulamalar şunları içerir:

• Verilerin istirahatte ve transit sırasında şifrelenmesi: bordro dosyaları, sözleşmeler ve kişisel dosyalar şifreli olarak depolanmalıdır (minimum AES-256) ve güvenli protokoller (TLS 1.3) yoluyla iletilmelidir.

• Rol Tabanlı Erişim Kontrolü (RBAC): sadece yetkili İK yöneticileri bordro verilerine erişir; ekip müdürü yalnızca yönetim için gerekli verilere erişir.

• Erişim Günlüğü: bir çalışan dosyasının her danışılması veya değiştirilmesi, kullanıcı tanımlayıcısı, tarih ve saat ile izlenmelidir.

• Analitik işlemler için Sözde Kimlik Kaldırma (İK panoları, ücret çalışmaları).

İK Alt İşlemcilerinin Yönetimi

İK hizmetleri birçok alt işlemciye başvurur: SIRH editörleri, harici bordro hizmeti sağlayıcıları, eğitim platformları, çevrimiçi işe alım araçları. Bu tarafların her biri, RGPD'nin 28. maddesiyle uyumlu bir alt işleme sözleşmesine tabidir, özellikle şu hususları belirtir:

• Alt işlemde yapılan işlemlerin niteliği ve amacı

• Alt işlemcinin güvenlik ve gizlilik yükümlülükleri

• Önceki yazılı izin olmaksızın alt alt işlemlendirme yasağı

• Sözleşmenin sona ermesi durumunda verilerin iade veya imha yöntemi

Bir hizmet sağlayıcı seçerken, sunucuları Avrupa Ekonomik Alanı (EEA) içinde konumlanıp konumlanmadığını veya EEA dışı aktarımlar için uygun bir mekanizm (standart sözleşme maddeleri, uygunluk kararı) mevcut olup olmadığını da doğrulamalısınız.

İK Belgelerin Dijitalleştirilmesi ve RGPD Uyumluluğu

İK süreçlerinin artan dijitalleştirilmesi — elektronik iş sözleşmeleri, dijital bordro, uzaktan imzalanan değişiklikler — özel RGPD sorunları ortaya çıkarır. eIDAS ile uyumlu elektronik imza bütünlük ve özgüllük açısından tartışılmaz garantiler sağlasa da, işverenin kullanılan platformun şu hususları sağlamasını yapması gerekir:

• İmza işlemi sırasında gereksiz verileri toplamaması (minimizasyon ilkesi, m. 5.1.c)

• İmza kanıtlarını (denetim izi) güvenli koşullar altında ve uygun bir süre boyunca tutması

• İmzalayanların haklarının kullanılmasına izin vermesi (erişim, düzeltme, yasal sınırlar dahilinde silme)

İmza araçlarının uyumluluğu konusunda daha fazla bilgi için, Certyneo'nun elektronik imza tam kılavuzu herhangi bir dağıtımdan önce doğrulanacak teknik ve hukuki kriterleri detaylandırır.

Çalışanların Hakları ve Bunların Etkili Kullanılması

RGPD Tarafından Garantilen Haklar Panoraması

Çalışanlar, RGPD'nin 15 ile 22. maddeleri tarafından öngörülen tüm haklara sahiptir. İK bağlamında, en sık kullanılan haklar şunlardır:

• Erişim Hakkı (m. 15): çalışan, işveren tarafından kendisi hakkında tutulacak tüm veriler, belirli koşullar altında iş e-postaları dahil olmak üzere bir kopyasını talep edebilir.

• Düzeltme Hakkı (m. 16): hatalı verilerin düzeltilmesi (banka hesabında hata, yanlış raporlanan derece vb.).

• Silme Hakkı (m. 17): İK'da yasal saklama yükümlülükleri tarafından sınırlı, ancak seçilmeyen bir aday için işe alım verilerine uygulanabilir.

• Muhalefet Etme Hakkı (m. 21): meşru menfaat tarafından desteklenen bir işlemeye karşı, belirli gözetim işlemleri gibi kullanılabilir.

• Taşınabilirlik Hakkı (m. 20): çalışan tarafından sağlanan ve sözleşmenin icra edilmesi bağlamında verilen verilere uygulanabilir.

Yanıt Süresi ve İç Prosedürler

İşveren, herhangi bir hak kullanım talebine cevap vermek için bir aya sahiptir; bu süre karmaşıklık veya yüksek talep hacmi durumunda üç aya uzatılabilir (m. 12.3). Bu işlemi verimli bir şekilde organize etmek için şunlar önerilir:

• Talepleri almak için tek bir iletişim noktası atayın (DPO veya RGPD referanı)

• Çalışanlar için erişilebilir bir adanmış form kurun

• Her talebi ve yanıtını hak kullanım talepleri kaydında belgeyin

• İK yöneticilerini örtülü talep tanımlamaya eğitin (« kişisel dosyamı istemeyen » bir çalışan fiilen erişim hakkını kullanır)

Kuruluşta DPO'nun Rolü

RGPD, üç durumda bir Veri Koruma Sorumlusu (DPO) atanmasını dayatır (m. 37): kamu yetkilisi, hassas verilerin geniş çaplı işlenmesi veya sistemli geniş çaplı gözetim. Önemli İK işlenmesinin olan birçok şirket bu yükümlülük kapsamına girer. DPO iç veya dışsal olabilir; işlevsel bağımsızlığa sahip olmalı ve veri korumasını etkileyen tüm kararlarla, yeni İK sayısal araçlarının dağıtımı da dahil olmak üzere ilişkili olmalıdır. Rolü danışmanlık niteliğinde olup, kararı bağlayıcı değildir: nihai sorumluluk işveren (sorumlu işlemci) tarafında kalır.

İK Verilerinin İşlenmesine Uygulanabilecek Yasal Çerçeve

RGPD: Kurucu Metin

2016/679 sayılı Avrupa Parlamentosu ve Konsey Yönetmeliği (RGPD) (27 Nisan 2016), Avrupa'daki kişisel veri işlemesinin düzenleyici temelini oluşturur. 25 Mayıs 2018'den beri tüm Üye Devletlerde doğrudan uygulanabilir olması, işletmenin uyruğu ne olursa olsun AB'de ikamet eden çalışanların verilerini işleyen tüm işverenlere zorunlu kılınır. İK bağlamında uygulanabilecek ana maddeler şunlardır:

• M. 5: temel ilkeler (yasal dayanak, sadakat, şeffaflık, minimizasyon, doğruluk, saklama sınırlaması, bütünlük ve gizlilik, hesap verebilirlik)

• M. 6: işleme yasal dayanakları

• M. 9: hassas verilerin rejimi

• M. 12 ile 22: ilgili kişilerin hakları

• M. 24 ile 32: sorumlu işlemci ve işlemcinin yükümlülükleri

• M. 33-34: veri ihlali bildirimi (CNIL'e 72 saat içinde ve yüksek risk halinde kişilere bildirim)

• M. 35: yüksek riskli işlemler için etki analizi (AIPD) zorunlu

• M. 83: idari cezalar (20 milyon euro veya küresel yıllık gelirin %4'üne kadar)

Değiştirilmiş Bilgi Işığı Yasası

Fransız hukukunda, 1978'nin 6 Ocak tarihli kişisel veri, dosyalar ve özgürlüklere ilişkin 78-17 sayılı Yasa ve 2018'in 20 Haziran tarihli 2018-493 sayılı Yasa ile 2018'in 12 Aralık tarihli 2018-1125 sayılı Kararname tarafından değiştirilmiş, RGPD'yi ulusal hareket alanları açarak (« açık maddeler ») tamamlar. İK'da en önemli olanları arasında: kurumsal personel temsilinin (kişisel veri yasası m. 9) bağlamında sendika verilerini işleme imkanı veya işyeri sağlık verilerinin işlenmesine özel kurallar bulunur.

İş Kanunu ve Sosyal İçtihat

İş Kanunu, herhangi bir gözetim veya çalışan kontrol mekanizması dağıtılmadan önce Sosyal ve Ekonomik Komite (CSE) ile önceden bilgilendirilmesini ve danışılmasını dayatır (m. L. 2312-38). Danışılmaması, toplanan kanıtların muhalef edilmemesi ve ceza hukuku cezalarına maruz kalma riskine yol açar.

Yüksek Mahkeme içtihadı, kontrol araçlarının (coğrafi konumlama, kimlik kartı okuyucu, faaliyet takip yazılımları) peşinde sürülen amaca orantılı olması ve çalışanlara ve CNIL'e bildirilen amaçlar dışında herhangi bir başka amaç için kötüye kullanılamayacağını düzenli olarak hatırlatır.

İK Belgelerin Elektronik İmzası: eIDAS ve Medeni Kanun

İş sözleşmeleri, değişiklikler veya disiplin belgelerin dijitalleştirilmesi sırasında, işveren Yönetmelik (AB) n°910/2014 eIDAS'a uymalıdır; bu elektronik imzanın üç seviyesini tanımlar. CDI iş sözleşmesi veya bir anlaşmalı fesih belgesi kadar yapılandırılmış belgeler için, gelişmiş elektronik imza (hatta nitelendirilmiş) imzalayanın kimliğini ve belgenin bütünlüğünü garantilemek üzere önerilir. 1366 ve 1367. maddelerdeki Medeni Kanun, elektronik yazı ve elektronik imzanın kanıtsal değerini onaylar; imzalayanın güvenilir bir şekilde tanınması ve bütünlüğün sağlanması koşuluyla.

CNIL Tarafından İK Meselelerine İlişkin Verilen Cezalar

CNIL, İK veri işlenmesine ilişkin birkaç önemli ceza vermiştir: 2022'de, bir şirket uzaktan çalışan çalışanların aşırı gözetimi için ekran yakalama yazılımları aracılığıyla 400.000 euro para cezasına çarptırılmıştır. 2023'te, bir güvenlik şirketi geçerli yasal dayanak olmaksızın aşırı biyometrik veri toplama için 200.000 euro ceza almıştır. Bu kararlar, bu alan üzerinde artan düzenleyici dikkat gösteren durumları göstermektedir.

Kullanım Senaryoları: RGPD İK Pratik Olarak

Senaryo 1 — 450 Çalışanı olan Bir Orta Ölçekli Endüstriyel İşletme İşe Alım Sürecini Uyumlaştırıyor

Yaklaşık 450 kişi istihdam eden ve üç bölgede faaliyet gösteren orta ölçekli bir endüstriyel işletme, yıllık 3.000'den fazla spontan başvuru alıyor ve yaklaşık altmış iş ilanına yanıt veriyordu. CV'ler ve motivasyon mektupları, süreli olmayan şekilde altı hizmet müdürü arasında paylaşılan bir e-posta kutusunda depolanıyordu. Adaylara verilerinin kullanılması konusunda herhangi bir bilgi notu sunulmuyordu.

Bir RGPD denetiminin ardından, aşağıdaki eylemler altı ayda dağıtıldı:

• RGPD uyumlu bir ATS'ye (Başvuru İzleme Sistemi) geçiş, inaktivliğin 24 ayı sonrasında dosyaların otomatik olarak temizlenmesi

• Her çevrimiçi başvuru formuna RGPD bilgi notu eklenmesi

• eIDAS ile uyumlu bir platform aracılığıyla işe alım mektupları ve iş sözleşmelerinin elektronik imzası; imzalı sözleşmelerin iade süresini ortalama 8 günden 48 saatin altına düşürür

• İK işleme faaliyetleri kaydının güncellenmesi; 12 yeni İK işleme dosyası

Sonuç: Takip eden 18 ayda alınan CNIL başvurusu yok; İK belgelerin yönetimine dijitalleştirme sayesinde tahmini 1,2 ETP kazanım.

Senaryo 2 — 1200 Çalışanı olan Bir Dağıtım Grubu Video İzleme Politikasını Düzenliyor

Gıda dağıtımında uzmanlaşmış bir grup, 34 satış noktasını kapsayan bir video gözetim sistemi dağıtmıştı. Görüntüler belirli sitelerde 45 gün boyunca, çalışanlar için görüntülenen bilgi olmaksızın saklanıyordu. Çeşitli sensörler, kalıcı bir şekilde kasa işletmeciliği konumlarını kapsıyor ve orantısız gözetim riski oluşturuyordu.

CNIL'e çalışan şikayeti sonrasında şirket, şunları içeren bir uyumlulaştırma girişiminde bulundu:

• Saklama süresinin tüm siteler genelinde maksimum 30 güne indirilmesi

• Kameraların bireysel çalışma pozisyonlarının sürekli gözetimini dışlamak için yeniden konumlandırılması

• Herhangi bir yeni dağıtımdan önce merkezi CSE'nin danışılması ve rızası

• İş sözleşmeleri ve yerinde gösterilen içsel bir charter aracılığıyla çalışanları sistematik olarak bilgilendirme

Sonuç: CNIL şikayetinin ceza olmaksızın kapatılması; takip eden yıllık memnuniyet anketi sırasında ölçülen sosyal iklimde iyileşme (« işverene güven » öğesinde +11 puan).

Senaryo 3 — Harici İK Danışmanlık Şirketi İstemcileriyle Veri Aktarımını Güvenli Hale Getiriyor

Bordro dışarıya çıkartma ve personel yönetiminde uzmanlaşmış bir danışmanlık şirketi, yaklaşık 1.800 aylık bordro temsil eden, yaklaşık yirmi KOBİ müşterisi için çalışan dosyalarını yönetiyordu. Bordro dosyaları şifrelenmemiş e-posta yoluyla iletiliyordu ve RGPD'nin 28. maddesi anlamında resmi bir alt işleme sözleşmesi yoktu.

Danışmanlık şirketi pratiklerinin tamamen yeniden yapılandırılmasına girişti:

• RGPD'nin 28. maddesine uygun Veri İşleme Sözleşmelerinin (DPA) her müşteri ile imzalanması, izlenebilirlik sağlayan gelişmiş bir elektronik imza platformu aracılığıyla

• Bordro dosyalarının (TLS şifrelemesi + çift faktörlü kimlik doğrulama) iletilmesi ve alınması için güvenli bir müşteri portalı kurulması

• Verileri, iş sağlığı verileri için HDS-sertifikalı Fransa'da konumlandırılmış sunucularda barındırılması

• Alt işlemcilere karşı (yazılım editörü, arşivleme için) bir alt işleme politikasının yazılması

Sonuç: Şifrelenmemiş e-posta yoluyla İK veri aktarımında %100 azalma; uyumluluğu zorunlu bir seçim kriteri haline getiren iki yeni müşteri sözleşmesi kazanılması, RGPD'de.

Sonuç

İK'da RGPD, sadece ek bir idari kısıtlama değildir: işveren ile çalışanları arasında güven için bir araç ve şeffaflığın giderek daha fazla değerli olduğu bir işgücü piyasasında rekabetçi bir faktördür. Güncellenmiş işleme faaliyetleri kaydı, kontrollü saklama süreleri, resmiyet içinde çalışan bilgileri, hassas verilerin güçlendirilmiş güvenliği ve alt işlemcilerin sözleşmesi: bunların her biri, hem yasal hem de sorumlu İK politikası oluşturmaya katkıda bulunur.

İK belgelerin dijitalleştirilmesi — sözleşmeler, değişiklikler, bordro, bilgi notları — RGPD uyumluluğu ve operasyonel verimliliği birleştirme benzersiz bir fırsat sunmaktadır, eIDAS ile uyumlu sertifikalı araçlara dayanmak şartıyla. Certyneo, İK ekipleri için tasarlanmış bir elektronik imza çözümü ile bu çabanızda sizin yanınızdadır. Certyneo'da fiyatlandırmayı keşfedin ve bugün İK belgelerinizi güvenli hale getirmek için ücretsiz deneme başlatın.