İşe Alım Sürecinde KVKK: Aday ve Çalışan Verileri Nasıl Korunur? İK İçin Uyum Rehberi

İnsan Kaynakları · İşe Alım · KVKK Uyum · Aday & Çalışan Verileri

İşe Alım Sürecinde KVKK Aday ve Çalışan Verileri Nasıl Korunur?

İşe alım prosesinde veri sorumluları; adayların kimlik, iletişim, eğitim ve mesleki yeterlilik gibi kişisel verilerini toplar, uygun adayın saptanması ve değerlendirme süreçlerinin yürütülmesi amacıyla bu verileri işler. Bu kapsamda veri sorumlusu; aydınlatma yükümlülüğünü yerine getirmek, veri güvenliği tedbirlerini uygulamak ve süreç sonunda verileri saklama-imha planına uygun şekilde yönetmekle sorumludur.

Bu rehber; işe alım öncesinden istihdam sonrasına kadar İK süreçlerinde KVKK uyumunu kurumsal bir çerçevede ele alır. Amaç; gereksiz veri toplamayı önlemek, özel nitelikli verilerde doğru açık rıza kurgusunu sağlamak ve özlük dosyası dahil tüm veri yaşam döngüsünü güvenli hale getirmektir.

İşe Alımda KVKK Uyum Çalışma Boyunca Koruma

İçindekiler 1. İşe Alım Sürecinde KVKK Uyumunun Temelleri 2. Aday Başvuru Formları ve Veri Minimizasyonu 3. Aydınlatma Yükümlülüğü: Adayı Nasıl Bilgilendirmelisiniz? 4. Özel Nitelikli Veriler: Ne Zaman Açık Rıza Gerekir? 5. Saklama – İmha: Süreç Bitince Ne Yapılmalı? 6. Çalışma Boyunca Kişisel Verilerin Korunması 7. Özlük Dosyası: Hukuki Dayanak ve Güvenlik 8. Teknik ve İdari Tedbirler (İK için) 9. Sık Sorulan Sorular (SSS)

Hızlı Özet

İşe alım: Yalnızca değerlendirme amacıyla gerekli veriler toplanmalı, aday mutlaka aydınlatılmalı.
Özel nitelikli veri: Ayrımcılık riski doğuracak veri talep edilmemeli; sağlık/psikolojik test vb. için açık rıza + sıkı güvenlik gerekir.
Süreç sonu: Olumsuz aday verileri makul süre sonunda silinmeli/yok edilmeli/anonimleştirilmelidir.
İstihdam: Özlük dosyası iş mevzuatı gereği tutulur; erişim ve güvenlik sıkı yönetilmelidir.

İK KVKK Aday Verisi Özlük Dosyası

Not: İşe alımda en sık hata; “ileride lazım olur” yaklaşımıyla fazla veri toplamak ve süreç sonunda imha adımlarını işletmemektir. KVKK uyumu, veri yaşam döngüsünün tamamını (toplama → işleme → saklama → erişim → imha) kapsar.

1. İşe Alım Sürecinde KVKK Uyumunun Temelleri

İşe alım prosesinde veri sorumlusu; adayın değerlendirilmesi amacıyla kişisel verileri toplar ve işler. Bu süreçte temel prensipler: belirli ve meşru amaç, veri minimizasyonu, şeffaflık, güvenlik ve saklama sınırıdır.

Yetki ve rol yönetimi: Aday verilerine yalnızca işe alımda görevli sınırlı personel erişebilmelidir.
Eğitim ve farkındalık: İşe alımda görevlendirilen çalışanlara KVKK ve gizlilik odaklı özel eğitimler verilmelidir.
Amaç dışı kullanım yasağı: Aday verileri reklam/pazarlama gibi işe alımla ilgisiz amaçlarla kullanılmamalıdır.
Paylaşım kontrolü: Aday verileri üçüncü kişilerle ancak hukuki şartlar ve bilgilendirme çerçevesinde paylaşılmalıdır.

Kritik hatırlatma: Aday, veriyi kime ilettiğini ve işe alımın hangi kurum adına yürütüldüğünü net biçimde bilmelidir. Bu şeffaflık, aydınlatma metninin omurgasıdır.

2. Aday Başvuru Formları ve Veri Minimizasyonu

Aday başvuru formları, veri minimizasyonu ilkesinin en görünür uygulama alanıdır. Adaydan yalnızca işe uygunluk değerlendirmesi için gerekli veriler istenmelidir. “Genel merak” veya “ileride lazım olabilir” yaklaşımı, uyumsuzluk riski doğurur.

Toplanmaması / sınırlanması gereken örnek veriler

İşle ilgisiz finansal bilgiler: İşe alım aşamasında banka hesap bilgisi talebi (genellikle gereksizdir).
İşle ilgisiz adli/ceza geçmişi: Pozisyon gerektirmiyorsa bu tür veriler sorulmamalıdır.
Şoförlük gerektirmeyen pozisyonlarda trafik cezası/kaza geçmişi sorgulaması yapılmamalıdır.
Ayrımcılığa yol açabilecek bilgiler: Adayın özel hayatı, aile durumu, inanç/siyasi görüş gibi alanlar işe alımda talep edilmemelidir.

Hızlı Kontrol (Form Tasarımı)

Her alan için “Bu bilgi olmadan değerlendirme yapılamaz mı?” sorusu soruldu mu?
Alanlar pozisyona göre dinamik mi? (tek form herkes için aynı mı?)
Zorunlu/opsiyonel alan ayrımı net mi?
Formun yanında kısa aydınlatma özeti yer alıyor mu?

3. Aydınlatma Yükümlülüğü: Adayı Nasıl Bilgilendirmelisiniz?

Adaylar; kişisel verilerinin hangi amaçlarla işlendiğini, kimlere aktarılabileceğini, hangi yöntemle toplandığını ve haklarını açıkça bilmelidir. İşe alım aydınlatması, “genel gizlilik politikası” yerine işe alım faaliyeti ile sınırlı ve erişilebilir bir metin olarak kurgulanmalıdır.

Aday aydınlatma metninde minimum içerik

Veri sorumlusu (ve varsa temsilci) kimlik bilgileri
İşleme amaçları (başvurunun alınması, değerlendirme, mülakat planlama, uygunluk analizi vb.)
Aktarım (grup şirketleri, danışmanlık/İK yazılımı sağlayıcıları, yetkili kurumlar vb. varsa)
Hukuki sebep (KVKK m.5/2 kapsamındaki şartlar veya açık rıza gerektiren haller)
Saklama süresi ve imha yöntemi (silme/yok etme/anonimleştirme)
İlgili kişi hakları ve başvuru kanalı

Uygulama önerisi: Aday başvuru sayfasında “kısa aydınlatma özeti” + “detaylı metne erişim” (katmanlı yaklaşım) kullanılabilir; ancak kısa özetin içinde veri sorumlusu ve temel amaçlar mutlaka yer almalıdır.

4. Özel Nitelikli Veriler: Ne Zaman Açık Rıza Gerekir?

İşe alım sürecinde ayrımcılığa yol açabilecek özel nitelikli kişisel verilerin talep edilmesi kural olarak kaçınılması gereken yüksek riskli bir alandır. Buna rağmen bazı pozisyonlarda (işin niteliği gereği) sağlık raporu, psikolojik değerlendirme veya alkol/uyuşturucu testi gibi uygulamalar gündeme gelebilir.

Açık rıza + ekstra güvenlik gerektirebilecek örnekler

Psikolojik test sonuçları / değerlendirme raporları
Sağlık verileri (işe uygunluk raporu dahil)
Alkol/uyuşturucu testleri

Bu gibi veriler toplanacaksa; aday önceden ayrıntılı bilgilendirilmeli, açık rıza özgür iradeye dayalı şekilde alınmalı ve veri güvenliği tedbirleri (erişim kısıtı, şifreleme, ayrı saklama, kısa saklama süresi, loglama) artırılmalıdır.

İK risk yönetimi: Özel nitelikli veri süreci; standart işe alım akışından ayrıştırılmalı, “ayrı rol/ayrı erişim/ayrı saklama” yaklaşımıyla yönetilmelidir.

5. Saklama – İmha: Süreç Bitince Ne Yapılmalı?

İşe alım ve değerlendirme süreci tamamlandığında, aday verileri “otomatik arşiv” mantığıyla tutulmamalıdır. Olumsuz sonuçlanan başvurular için, kurumun saklama ve imha politikasında belirlenen makul süre sonunda veriler silinmeli, yok edilmeli veya anonim hale getirilmelidir.

İyi uygulama örnekleri

Süre bazlı otomasyon: ATS/İK sisteminde otomatik imha tetikleyicileri.
Arşiv ayrımı: Aktif aday havuzu ile kapalı başvuruların ayrı saklanması.
İmha kayıtları: Silme/yok etme işlemlerinin kayıt altına alınması (hesap verebilirlik).

Kritik kontrol: “Aday havuzunda tutma” yaklaşımı varsa, bunun kapsamı, saklama süresi ve adayın bilgilendirilmesi açıkça yönetilmelidir.

6. Çalışma Boyunca Kişisel Verilerin Korunması

İstihdam başladıktan sonra işveren; çalışan verilerini bordro, yan haklar, performans, erişim yönetimi ve iş sağlığı-güvenliği gibi süreçlerde işler. Bu süreçlerde temel hedef; verilerin doğru-güncel tutulması, erişimin ihtiyaç kadar sınırlandırılması ve güvenliğin teknik-idari tedbirlerle sürdürülebilir hale getirilmesidir.

Çalışanların hakları ve kontrol mekanizması

Çalışanlar, kendileriyle ilgili tutulan kişisel verilere erişim ve hatalı verilerin düzeltilmesini talep edebilir.
İşveren, çalışanlara veri doğrulama/düzeltme kanalları sağlamalı ve başvuruları yönetmelidir.

Operasyonel kazanım: İK’da veri doğruluğu; bordro hatalarını, yanlış bildirimleri ve ihtilaf risklerini doğrudan azaltır.

7. Özlük Dosyası: Hukuki Dayanak ve Güvenlik

4857 sayılı İş Kanunu uyarınca işveren, her işçi için özlük dosyası tutmak ve belirli kayıtları muhafaza etmekle yükümlüdür. Bu kapsamda özlük dosyasında yer alan kişisel veriler bakımından işveren; çalışanı aydınlatmak ve güvenliği sağlamakla sorumludur.

Özlük dosyasında güvenlik ilkeleri

Fiziksel güvenlik: Basılı evraklar kilitli alanlarda, erişimi sınırlı biçimde saklanmalıdır.
Dijital güvenlik: Personel verileri şifreleme ve erişim yetkisiyle korunmalı; rol bazlı erişim uygulanmalıdır.
Ayrıcalıklı erişimler: Özlük verilerine erişebilen personele gizlilik taahhüdü ve disiplin hükümleri uygulanmalıdır.

Uyarı: Özlük dosyası zorunluluğu, “sınırsız veri toplama” anlamına gelmez. Dosya kapsamı, mevzuat ve amaçla sınırlı tutulmalıdır.

8. Teknik ve İdari Tedbirler (İK İçin)

İK süreçlerinde veri güvenliği; yalnızca BT kontrolü değil, süreç sahipliğidir. Aşağıdaki tedbirler işe alım + çalışma yaşam döngüsünde temel kontrol setini oluşturur.

İdari tedbirler

İşe alımda görevli personele KVKK ve gizlilik eğitimleri (periyodik)
İK için rol ve sorumluluk matrisi, yetki tanımları
Gizlilik sözleşmeleri ve iş sözleşmesine KVKK hükümleri
İmha süreçleri ve kayıtlarının tutulması (hesap verebilirlik)
Üçüncü taraf İK yazılımları/ajanslar için veri işleme sözleşmeleri

Teknik tedbirler

İK sistemlerinde güçlü parola + mümkünse çok faktörlü doğrulama (MFA)
Şifreleme (veri tabanı ve yedekler dahil), anahtar yönetimi
Loglama ve izleme (yetkisiz erişim denemeleri dahil)
USB/CD gibi taşınabilir ortamlara veri aktarım kısıtları
Güvenlik duvarı, ağ geçidi, antivirüs/EDR gibi uç nokta korumaları

işe alım kvkk aday aydınlatma metni özel nitelikli veri özlük dosyası saklama imha ik veri güvenliği

Kurumsal yaklaşım: İK veri güvenliği; BT kontrolleri + İK süreç tasarımı + sözleşmesel/organizasyonel tedbirlerin birlikte çalışmasıyla olgunlaşır.

9. Sık Sorulan Sorular (SSS)

Adayın CV’sini “her ihtimale karşı” uzun süre saklayabilir miyiz?

Süreç sonunda saklama süresi “makul” olmalı ve kurumun saklama-imha politikasıyla uyumlu şekilde belirlenmelidir. Süre aşımında silme/yok etme/anonimleştirme uygulanmalıdır.

İşe alımda banka hesap bilgisi istemek uygun mu?

Genellikle hayır. Banka hesabı gibi bilgiler, işe alım değerlendirmesi için gerekli değildir. Bu tür bilgiler çoğunlukla işe giriş tamamlandıktan sonra, bordro sürecinin gereği olarak talep edilmelidir.

Psikolojik test veya sağlık verisi toplarsak ne yapmalıyız?

Adayı önceden bilgilendirmeli, açık rıza sürecini ayrı kurgulamalı ve veriyi ayrı erişim/saklama güvenliğiyle yönetmelisiniz. Veri setini minimumda tutmak ve kısa saklama süresi belirlemek kritik önemdedir.

Aday verilerini pazarlama faaliyetinde kullanabilir miyiz?

İşe alım amacıyla toplanan verilerin pazarlama gibi amaç dışı kullanımına gidilmesi, KVKK açısından yüksek uyumsuzluk riski doğurur. Amaç değişikliği varsa yeni hukuki sebep ve bilgilendirme kurgusu gerekir.

Özlük dosyasındaki verilere herkes erişebilir mi?

Hayır. Erişim “ihtiyaç kadar” prensibiyle sınırlandırılmalı; yetkilendirme, loglama ve gizlilik yükümlülükleri ile desteklenmelidir.

İK sistemleri için asgari güvenlik standardı nedir?

MFA/strong password, rol bazlı erişim, şifreleme, loglama-izleme, yedek güvenliği ve düzenli güvenlik güncellemeleri temel kontrol setini oluşturur. Sürece özel ek tedbirler risk seviyesine göre belirlenmelidir.