Ana içeriğe git
Certyneo
Sécurité

İK'da GDPR: Çalışan Verilerinin İşlenmesi

Certyneo Takımı3 dk okuma

Certyneo Takımı

Editör — Certyneo · Certyneo Hakkında

Digitalisation des processus administratifs — équipe en réunion de travail

Giriş

Genel Veri Koruma Yönetmeliği'nin (GDPR) 25 Mayıs 2018'de yürürlüğe girmesinden bu yana, İK departmanları uyumluluk konusunda ön saflarda yer alıyor. İnsan kaynakları fonksiyonları hassas kişisel verileri günlük olarak işler: CV'ler, maaş bordroları, sağlık verileri, değerlendirmeler, banka bilgileri. Kötü yönetim, şirketi 20 milyon Euro'ya veya küresel cironun %4'üne varan yaptırımlara maruz bırakır (GDPR'nin 83. maddesi). Bu makale, İK döngüsü boyunca çalışan verilerinin işlenmesini güvence altına almak için temel yükümlülükleri ve en iyi uygulamaları sunmaktadır.

İK verileri için geçerli temel ilkeler

GDPR, Madde 5'te belirtilen altı temel ilkeyi empoze eder: yasallık, sadakat, şeffaflık, amaçların sınırlandırılması, küçültme, doğruluk, saklamanın sınırlandırılması ve bütünlük/gizlilik. Uygulamada bu, İK departmanının yalnızca belirli bir amaç için kesinlikle gerekli olan verileri toplayabileceği anlamına gelir. Örneğin, başvururken sosyal güvenlik numarasının sorulması orantısızdır: bu yalnızca DSN'ye işe alındıktan sonra haklı görülebilir.

CNIL, müzakere no. Personel yönetimine ilişkin 2019-160, önerilen saklama sürelerini belirtir: Başarısız başvurular için (onay alınmadığı sürece 2 yıl), idari dosya için yola çıktıktan sonra 5 yıl, işveren versiyonunda maaş bordroları için 6 yıl.

Yasal dayanak ve çalışanlar için bilgiler

Yaygın inanışın aksine, tabiiyet ilişkisi nedeniyle rıza, İK'da nadiren uygun yasal dayanaktır. İlgili dayanaklar daha ziyade iş sözleşmesinin ifası (madde 6.1.b), yasal yükümlülük (madde 6.1.c) veya meşru menfaattir (madde 6.1.f). Hassas veriler (sağlık, sendika) açısından 9. madde, iş hukuku açısından zorunluluk gibi özel bir temel gerektirmektedir.

İşveren, işe alım sırasında verilen bir GDPR bildirimi yoluyla net bilgi sağlamalı, işleme kaydını güncellemeli (madde 30) ve çalışanları etkileyen herhangi bir yeni işlemden önce CSE'ye danışmalıdır (İş Kanunu'nun L.2312-38 maddesi).

Çalışanların güvenliği ve hakları

Teknik ve organizasyonel güvenlik (madde 32) şunları gerektirir: HRIS'in şifrelenmesi, profile göre erişim kontrolü, istişarelerin izlenebilirliği, bordro veya işe alım taşeronlarıyla gizlilik hükümleri (madde 28). İhlal durumunda 72 saat içinde CNIL'e bildirimde bulunulacaktır.

Çalışanların güçlendirilmiş hakları vardır: erişim, düzeltme, silme (yasal saklama yükümlülükleriyle sınırlıdır), taşınabilirlik, itiraz. Bir iç prosedür, en fazla bir ay içinde yanıt verilmesine izin vermelidir. Disiplin dosyasına erişimin reddedilmesinin yasal olarak gerekçelendirilmesi gerekir.

Pratik örnekler

Örnek 1 – İşe alım:Bir KOBİ, tüm adayların özgeçmişlerini 5 yıl boyunca ortak bir klasörde tutmaktadır. Uyumsuz: aşırı süre, güvenlik eksikliği. Çözüm: 2 yıl sonra otomatik tasfiye, işe alım görevlilerine erişimin kısıtlanması, iş teklifinde GDPR'nin belirtilmesi.

Örnek 2 – Video gözetimi:Bir lojistik deposu, iş istasyonlarını sürekli olarak filme alıyor. Olası yaptırım (CNIL, Amazon France Logistique'e 2024'te 32 milyon Euro tutarında yaptırım uyguladı). Çözüm: Hassas alanlara sınırlama, bireysel bilgi, CSE'ye danışma, maksimum bir aylık saklama süresi.

Örnek 3 – İşbirliği araçları:Microsoft 365'in dağıtımı, izleme işlevlerinin etkinleştirilmesi durumunda bir etki analizinin (AIPD) yanı sıra yayıncıyla uyumlu bir alt sözleşme maddesi gerektirir.

Uyum ve yaptırımlar

İşveren, CNIL para cezalarına ek olarak özel hayatın gizliliğinin ihlali nedeniyle endüstriyel mahkeme davalarına maruz kalmaktadır (Medeni Kanun madde 9, İş Kanunu madde L.1121-1). Büyük ölçekte veri işleyen kuruluşlar için DPO'nun atanması zorunludur. İK süreçlerinin yıllık olarak haritalanması, yönetici eğitimiyle birlikte en iyi yasal ve operasyonel korumayı oluşturur.

Sonuç

İK'da GDPR uyumluluğu tek seferlik bir proje değil, sürekli bir iyileştirme sürecidir. Yasal yükümlülükler, çalışan hakları ve operasyonel performans arasında İK yöneticilerinin veri yönetimini titizlikle yönetmesi gerekir. Uyumlu bir HRIS'e yatırım yapmak, ekipleri eğitmek ve her işlemi belgelemek, düzenleyici kısıtlamaları çalışan güveni için bir kaldıraca dönüştürür.

Certyneo'yu ücretsiz deneyin

İlk imza zarfınızı 5 dakikadan kısa sürede gönderin. Kredi kartı olmadan ayda 5 ücretsiz zarf.

Ücretsiz başlaFiyatları gör
Tüm makaleler

Konuyu derinlemesine keşfedin

Bu konuyla ilgili referans makaleler.

RGPD İK: Çalışanların Verilerinin İşlenmesiRGPD, İK hizmetlerine çalışanların kişisel verilerinin işlenmesi konusunda katı yükümlülükler yükler. Bunu nasıl somut olarak karşılayacağınızı keşfedin.RGPD İK: Çalışanların Verilerinin İşlenmesiRGPD, işverenlere çalışanlarının kişisel verilerinin toplanması ve işlenmesi konusunda katı kurallar getirmektedir. Uyumluluğunuzu nasıl sağlayacağınızı ve cezalardan nasıl kaçınacağınızı öğrenin.Elektronik İmza İK ve KVKK: Tam 2026 RehberieIDAS, KVKK ve çalışan kişisel verilerinin yönetimi arasında, İK belgelerinizin elektronik imzası katı kurallara tabidir. Uyumlu kalmanın nasıl sağlanacağını keşfedin.E-ticaret müşteri verilerinin korunması: GDPR uyumluluğu

Konuyu derinlemesine keşfedin

Elektronik imzayı ustaca kullanmak için kapsamlı rehberlerimiz.

Sécurité konusunda okumaya devam edin

Konuyla ilgili bu makalelerle bilginizi derinleştirin.

Digitalisation des processus administratifs — équipe en réunion de travail
Sécurité

Elektronik imza güvenli midir?

Şifreleme, kimlik doğrulama, denetim takibi: elektronik imzalar neden kağıttan daha güvenlidir?

6 min
Digitalisation des processus administratifs — équipe en réunion de travail
Sécurité

E-ticaret müşteri verilerinin korunması: GDPR uyumluluğu

4 min
Digitalisation des processus administratifs — équipe en réunion de travail
Sécurité

Elektronik sertifika ve dijital imza

Elektronik sertifika nedir, ne işe yarar ve dijital imzayla bağlantısı nedir?

5 min