Bu yazımıza; 07 Nisan 2016 tarihinde yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Hakkındaki Kanun’un amaç kısmı ile giriş yapalım:
“…kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerintemel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir“
Bu amaç doğrultusunda kanun; kurumlara kişilerin verilerini işlerken şimdiye kadar yaşam döngülerinde alışa gelmedikleri kadar yükümlülükler getirmektedir. Kurumların hayatlarında artık ilgilenmeleri (/daha fazla ilgilenmeleri) gereken nur topu gibi mahremiyet (privacy), bilgi güvenliği, hukuk, uyum ve risk gibi kaçınılmaz global disiplinler arası yaklaşımlar mevcut. Genel olarak organizasyonlarda “biz fazla kişisel veri işlemiyoruz zaten”, “çalışan sayımız az, kanun muhtemelen bizi çok etkilemez”, “hukukçularımız ilgilenir”, “çalışanlara protokol imzalattık, web sayfamıza da bildirimi koyduk, yeterli aydınlatmayı da yaptık mı çoğunu halletmiş oluyoruz” gibi kulağımızın üzerine yatma meylimiz olduğu gibi, bu konuyu çok güzel yürütmeye çalışan, yeri geldiğinde danışmanlık alan, rol ve sorumluluklarını belirleyip, düzenli aralıklar ile proje adımlarını raporlayan yaklaşımlar da görmekteyiz.
Bu girizgahın ardından, kanunda geçen “kişiler” sözcüğünün biraz hafife aldığımızı düşündüğümüzü belirtmek istiyorum. Sadece müşteri ve çalışan odaklı çalışmalar yapmak; puzzle‘da bir süre sonra parçaların yanlış yerleştirildiğini fark etmeyi, resmin bir türlü neden tamamlanamadığına kafa yormayı, eksik parçaların halının altlarında aranması gibi tekrar süreçlerini doğurabilir. Bu bağlamda müşterilerin ve çalışanların yanı sıraçalışan adaylarının, taşeron çalışanların ve tedarikçi, iş ortağı çalışanlarına ait verilerini de yönetmek gerekiyor. Filmin bu aktörlerine ait bileşen kategorilerine bazı örnekleri aşağıda bulabilirsiniz. Altını çizmemiz gereken ise, bu kategorilerin norm olmadığı, aşağıdakiler ile sınırlı kalmayabileceği ve kurum, sektör bünyesine göre eklemeler, çıkarımlar gösterebileceğinin hatırlanmasıdır.
ÇALIŞANLARA AİT KİŞİSEL VERİ KATEGORİLERİ
Kimlik Bilgisi
* Ad soyad, * Tüm kimlik bilgileri, *TC kimlik numarası, *Milliyeti, *Medeni durumu, * Doğum tarihi, *Bazı durumlarda kimlik fotokopisi
İletişim Bilgisi
*Telefon numarası, *Açık adres bilgisi, *e-posta adresi
Finansal Bilgi
*Finansal ve maaş detayları, *Çalışanlara özel kredi risk raporları, *Prim listesi, *İcra takip dosyalarına ilişkin dosya ve borç bilgileri, *Banka bilgileri
Eğitim Bilgisi
* Öğrenim durumu, * Sertifika ve diploma fotokopileri, * Eğitim ve beceriler, * CV
Görsel ve İşitsel Veri
* Gerçek kişiye ait fotoğraf, *ses kayıtları, *kamera kayıtları
Çalışan Performans ve Kariyer Gelişim Bilgisi
* Eğitim katılım formları, * eğitim saatleri ve süreleri, * (varsa) sınav sonuçları, * iç terfi değerlendirme süreçleri (İngilizce, genel yetenek sınavları, kişilik envanteri), * etik uygunsuzluk raporları, * personel terfi transfer hareketleri dosyası, * dış arama ekibi puantaj ve performans raporları, * toplantı kayıtları, * scorecard bilgileri, * işe giriş tarihi, * haftalık çalışma saatleri (login-logout kayıtları)
Aile, Yakın Bilgisi
* Aile bildirim formları
Özel Nitelikli Kişisel Veri
* Sağlık poliçeleri, * Engeli ile ilgili sağlık raporları, * Sağlık beyan belgesi, * Sağlık raporları, * Hamilelik durumu, hamilelik raporu, * Meslek hastalığı kayıtları, * İşe giriş muayene formu, * Günlük hasta şikâyetleri, * Kullanmakta olduğu ilaçlar, * Klinik geçmişi, * Akciğer grafisi, * İşitme testi, * Göz muayenesi, * Kan grubu bilgisi, * Sabıka kaydı, * Din bilgisi, * Oruç tutanlar listesi
Diğer
* Araç bilgileri, * çalışanların kullandığı iş bilgisayarlarının IP adresleri, * web gezinti hareketleri, * hobileri, * çıkış mülakat raporları, * terhis belgesi, * yıllık izin kullanım defteri / kayıtları, * işten çıkış mülakat formları, * SGK sicil numarası
ÇALIŞAN ADAYLARINA İLİŞKİN KİŞİSEL VERİ KATEGORİLERİ
Kimlik Bilgisi
* Ad-soyad, * TC Kimlik Numarası, * Milliyeti, * Medeni durumu, * Bazı durumlarda kimlik fotokopisi
İletişim Bilgisi
* Kişiyle iletişime geçilmesini sağlayacak herhangi bir iletişim bilgisi (Tel, e-mail, adres, sosyal medya hesabı, vb)
Finansal Bilgi
* Finansal ve maaş detayları, * Adaylara özel kredi risk raporları
Eğitim Bilgisi
* Öğrenim durumu, * Eğitim ve beceriler, * Sertifika ve diplomalara ait detaylar
Görsel Veri
* Vesikalık fotoğraf, * Kamera kaydı
Mevcut İş Bilgisi
* İş ünvanı, * CV, * aday başvuru formları
TAŞERON ÇALIŞANLARINA AİT KİŞİSEL VERİ KATEGORİLERİ
Kimlik Bilgisi
* Ad Soyad, * Nüfus cüzdanı fotokopisi, * Ehliyet fotokopisi,
İletişim Bilgisi
*Telefon numarası, *Açık adres bilgisi, *e-posta adresi
Finansal Bilgi
* Aylık maaş dekontları, * sigorta primi ödeme bilgileri
Özel Nitelikli Kişisel Veri
* Sabıka kaydı, * işe giriş periyodik muayene formu, * portör muayene bilgileri (yemek şirketi çalışanlarına özel), * psikoteknik belgesi (raporu)
Diğer
* İş sözleşmeleri, * mesai süreleri, * ruhsat fotokopisi, * serc2 belgesi (Sürücü mesleki yeterlilik), * İSG eğitim belgesi, * SGK tedarikçi firmada işe giriş formu
İŞ ORTAĞI/TEDARİKÇİ ÇALIŞANLARINA AİT KİŞİSEL VERİ KATEGORİLERİ*
Kimlik Bilgisi
* Ad Soyad
İletişim Bilgisi
*Telefon numarası, *e-posta adresi
(*) İş ortağı/ Tedarikçi olarak; OSGB personeli (iş yerinde tam zamanlı çalışmayan iş yeri hekimi, iş güvenliği uzmanı, var ise sağlık personeli), yazılım firmalarının bakım-onarım için gönderdiği çalışanlar, elektrik firması çalışanları, teknik onarım firması çalışanları, toplu e-mailing firmaları çalışanları ve gümrük komisyoncularının çalışanları vb sınıflar olabilir.
SON NOT
BU YAZIMIZI VERBİS YAYINLANMADAN YAKLAŞIK BİR YIL ÖNCE YAZMIŞTIK. Genel normlar kapsamında şirketinizde kullanabileceğiniz veri envanteri için yukarıdakiler good practice’dir. VERBİS’in yayımladığı ve sisteminde istediği Veri Kategorileri ise aşağıdaki gibidir.
1-Kimlik •Ad soyad •Anne – Baba Adı •Anne kızlık soyadı •Doğum tarihi •Doğum yeri •Medeni hali •Nüfus cüzdanı seri sıra No •T.C. Kimlik No. •vb.
2-İletişim •Adres no, •E-posta adresi •İletişim adresi •Kayıtlı e-posta adresi
3-Lokasyon •Bulunduğu yerin konum bilgileri
4-Özlük •Bordro bilgileri •Disiplin soruşturması •İşe giriş-çıkış belgesi kayıtları •Mal bildirimi bilgileri •Özgeçmiş bilgileri •Performans değerlendirme raporları •vb.
5-Hukuki İşlem •Adli makamlarla yazışmalardaki bilgiler •Dava dosyasındaki bilgiler •vb.
6-Müşteri İşlem •Çağrı merkezi kayıtları •Fatura •Senet •Çek bilgileri •Gişe dekontlarındaki bilgiler •Sipariş bilgisi •Talep bilgisi •vb.
7-Fiziksel Mekân Güvenliği •Çalışan ve ziyaretçilerin giriş çıkış kayıt bilgileri •Kamera kayıtları •vb.
8-İşlem Güvenliği •IP adresi bilgileri •İnternet sitesi giriş çıkış bilgileri •Şifre ve parola bilgileri •vb.
9-Risk Yönetimi •Ticari •Teknik •İdari risklerin yönetilmesi için işlenen bilgiler •vb.
10-Finans •Bilanço bilgileri •Finansal performans bilgileri •Kredi ve risk bilgileri •Malvarlığı bilgileri •vb.
11-Mesleki Deneyim •Diploma bilgileri •Gidilen kurslar •Meslek içi eğitim bilgileri •Sertifikalar •Transkript bilgileri •vb.
12-Pazarlama •Alışveriş geçmişi bilgileri •Anket •Çerez kayıtları •Kampanya çalışmasıyla elde edilen bilgiler
13-Görsel ve İşitsel Kayıtlar •Görsel ve işitsel kayıtlar •vb.
14-Irk ve Etnik Köken •Irk ve etnik kökeni bilgileri •vb.
15-Siyasi Düşünce Bilgileri •Siyasi düşüncesini belirten bilgiler •Siyasi parti üyeliği bilgisi •vb.
16-Felsefi İnanç, Din, Mezhep ve Diğer İnançlar •Dini aidiyetine ilişkin bilgiler •Felsefi inancına ilişkin bilgiler •Mezhep aidiyetine ilişkin bilgiler •Diğer inançlarına ilişkin bilgiler •vb.
17-Kılık ve Kıyafet •Kılık ve kıyafete ilişkin bilgiler
18-Dernek Üyeliği •Dernek üyeliği bilgileri •vb.
19-Vakıf Üyeliği •Vakıf üyeliği bilgileri •vb.
20-Sendika Üyeliği •Sendika üyeliği bilgileri •vb.
21-Sağlık Bilgileri •Engellilik durumuna ait bilgiler •Kan grubu bilgisi •Kişisel sağlık bilgileri •Kullanılan cihaz ve protez bilgileri •vb.
22-Cinsel Hayat •Cinsel hayata ilişkin bilgiler •vb.
23-Ceza Mahkûmiyeti Ve Güvenlik Tedbirleri •Ceza mahkûmiyetine ilişkin bilgiler •Güvenlik tedbirlerine ilişkin bilgiler •vb.
24-Biyometrik Veri •Avuç içi bilgileri •Parmak izi bilgileri •Retina taraması bilgileri •Yüz tanıma bilgileri •vb.
25-Genetik Veri •Genetik veriler •vb.
26-Diğer Bilgiler •Kullanıcı tarafından belirlenecek veri türleri •vb.