Kariyer.net 360 kullanımında veri sorumlusu ve veri işleyen olarak yükümlülüklerimiz neler? “KVKK Uyum Modülü” ile işveren üye şirketlerimize hangi faydaları sunuyoruz? Kariyer.net Strateji ve İş Geliştirme Genel Müdür Yardımcısı Barış Karadenizli, bu soruların cevabını ve daha fazlasını sizler için paylaştı.
Kariyer.net 360 sistemi hakkında
Kariyer.net bünyesinde bulunan Kariyer.net 360 uygulamamız; işveren kullanıcılarımızın ilan yayınlamak, ilanlara gelen başvuruları incelemek ve Kariyer.net’te üyeliği bulunan 25 milyonun üzerindeki özgeçmiş sahibi ilgili kişilerin özgeçmişlerini inceleyerek istihdam ihtiyaçlarını karşılamakta kullandıkları bir platformdur.
Bu yazının kaleme alındığı Kasım 2020 itibarıyla ayda 25 bin, yılda 55 binin üzerinde işveren üye firmamızdan 90 binin üzerinde işveren kullanıcısının her ay düzenli olarak kullandığı Kariyer.net 360, insan kaynakları alanında Türkiye’nin en kritik Kişisel Veri İşleme faaliyetlerine ev sahipliği yapan platformlardan biridir.
Kariyer.net 360’ı ilan yayınlayarak başvuruları Kariyer.net üzerinde toplayan veya özgeçmiş havuzundan belirli kriterlere göre arama yaparak kullanan tarafların (yazının farklı yerlerinde “müşterilerimiz” veya “işveren üyelerimiz” olarak anılan paydaşlarımız) Kariyer.net kullanımıyla gündeme gelen sözleşmesel ilişki, Kariyer.net ve karşı taraf olan tüzel kişiliği hem Türk Borçlar Hukuku anlamında hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu ile hukuki dayanağını ondan alan ikincil mevzuat ve Kişisel Veri Koruma Kurulu kararları uyarınca birbirine bağlamaktadır.
Türk Borçlar Hukuku uyarınca sahip olduğumuz ve akit taraflar olarak birbirimize karşı sorumluluklarımıza ilaveten, 6698 sayılı KVKK’da yer alan “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12.maddenin 2.fıkrasında yer alan, “Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, i) kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, ii) kişisel verilere hukuka aykırı olarak erişilmesini önlemek, iii) kişisel verilerin muhafazasını sağlamak amaçlarıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur” hükmü sebebiyle verilerin gizliliği ve güvenliğinin sağlanması hususlarında işveren üyelerimiz ile kanunen müşterek sorumluluğumuz bulunmaktadır.
Bu yazı bu ilişkilerdeki karşılıklı sorumluluklarımızı detaylandırmak amacıyla hazırlanmıştır.
1- Kariyer.net’in veri sorumlusu olduğu kapsam
Kariyer.net ile işveren üyelerimiz arasındaki veri ilişkisi, kullanımların önemli bir kısmında Veri Sorumlusu’ndan Veri sorumlusuna veri aktarımıdır. Bu kapsamda; işveren üyelerimizin Veri Sorumlusu, Kariyer.net’in Veri İşleyen olarak konumlandığı aşağıda detaylandırılmış kısıtlı senaryolar dışında, aynı ilgili kişi grubu için Kariyer.net’in Veri Sorumlusu olduğu büyük bir veri işleme alanı bulunmaktadır. Bu gerçek, bizi yalnızca Veri İşleyen statüsü ile hareket eden herhangi bir çözüm sağlayıcı olmaktan alıkoymaktadır. Bu durum, Kişisel Veri Koruma Kurumu’nun web sitesinde yayımlanan Veri Sorumlusu ve Veri İşleyen Rehberi’nde “Bir tüzel ya da gerçek kişinin aynı anda hem veri sorumlusu hem de veri işleyen olabileceğini söylemek mümkündür” ifadesiyle ortaya konan ihtimalde anlatılmak istenen durumdur. Dolayısıyla Veri İşleyen olduğumuz iddiası öne sürülebilecek durumlarda dahi sorumlu olduğumuz alanların yanı sıra; aşağıdaki başlıklarda ilgili kişilere (Kariyer.net terminolojisi ile adaylarımıza) karşı sorumluluklarımız devam etmektedir.
- Kişisel verilerin toplanması için hangi bilgi teknolojileri sistemlerinin veya metotların kullanılacağı,
- Kişisel verilerin hangi yöntemle saklanacağı,
- Kişisel verilerin korunması için alınacak güvenlik önlemlerinin detayları,
- Kişisel verilerin aktarımının hangi yöntemle yapılacağı,
- Kişisel verilerin saklanmasına ilişkin sürelerin doğru uygulanabilmesi için kullanılacak metot,
- Kişisel verilerin silinmesi, yok edilmesi ve anonim hale getirilmesi yöntemleri.
Burada Kariyer.net 360 Aday Takip Sistemi’nin işleyişi önem kazanmaktadır. Kariyer.net 360 sistemi, Veri Sorumlusu sıfatı ile bireylerin verilerini istihdam amacıyla toplayan Kariyer.net Elek. Yay. ve İlt. Hiz. A.Ş.’nin işveren üyelerinin kullanıcılarını kendilerinin belirlediği taraflarca (tüzel kişiliğin gerçek kişi temsilcileri) Kariyer.net ile geçerli bir sözleşmesi bulunması koşuluyla kullanılan yazılımıdır. Bu yazılımın genel işleyişi sadece aşağıdaki özelliklerle kısıtlı bir kapsamla değerlendirildiğinde, Kariyer.net’in Kariyer.net 360 yazılımında Veri işleyen olduğu iddiası öne sürülebilir:
- İşveren talimatı ile tanımlanan firmayı temsile en yetkili kullanıcı olarak admin kullanıcı tanımlanması,
- Admin kullanıcının farklı rollerde yeni kullanıcılar belirleyerek kişisel veri işleyebilme hakkı olan yeni işveren kullanıcılarını dilediği gibi tanımlayabilmesi,
- İşveren üyelerin yetkilendirdiği gerçek kişiler üzerinden ilanlarına başvuranlarla ilgili ve/veya Aday Veri Tabanı üzerinden yaptıkları filtreleme, kısa listeleme, mülakat daveti, video mülakat daveti, kişilik envanter testi daveti gönderilmesi vb. süreçlerin işletilmesi,
- Firma kullanıcılarının özgeçmişe dair “yazdır”, “indir”, “paylaş” gibi seçenekler kullanmaları suretiyle veriyi Kariyer.net 360 dışına çıkarabilmeleri.
İşveren üyelerimiz, yukarıdaki faaliyetleri firmanın yetkili olarak tanımladığı kullanıcılarıyla kendisi gerçekleştirebilmektedir. Diğer taraftan Kariyer.net 360 sisteminde işveren üyelerimiz ve işledikleri verilerle ilintili aşağıdaki işlemler Kariyer.net tarafından gerçekleştirilmektedir:
- 6 aydan daha uzun süredir kullanım yapmayan kullanıcıların otomatik olarak pasife alınması.
Bunun amacı firmadan ayrılan kullanıcıların Kariyer.net sisteminde tanımlı unutulması sonucu, sistemde tanımlı oldukları firmayı bağlar biçimde veri işleme faaliyeti gerçekleştirmelerinin önlenmesidir.
- Firmanın açmış olduğu ilanlarda sözleşmeleri kesintisiz biçimde devam etse dahi, 24 aydan daha eski başvuruların otomatik olarak arşivlenmesi.
Bunun amacı da yine işveren üyelerimizin veri işleme faaliyetlerinin, kanunda öngörülen belirli bir süreyle sınırlı olma kuralına uygun işlenmesini temin etmeye yöneliktir. (Dileyen müşterilerimiz arşivlenmiş verinin sistemde kendilerine görünür hale gelmelerini talep edebilirler.)
- İşveren üyelerimizin ilgilendiği özgeçmişleri sadece sistemde tanımlı diğer kullanıcılar ile paylaşabilmesi.
Bunun amacı ise özgeçmişin sehven yazılacak e-posta adresleriyle paylaşımından kaynaklanacak olası veri ihlallerinin engellenmesidir.
- Başvurusunu geri çekmiş olan adayların başvurularının Kariyer.net 360 sisteminde işveren üyelerimizin yetkililerinin erişimine kapatılması ve ilgili koşullara uyan durumlar için işverene bilgilendirme e-postalarının gönderilmesi.
Bu geliştirmenin amacı da yine işverenlerimizin kanuna uyumlu biçimde veri işleme faaliyetleri gerçekleştirilmesinin sağlanmasıdır. Burada iki farklı durum vardır:
-
-
- Eğer başvuran bireye ait özgeçmiş açılmamış ise ilgili kişiye ait bilgilerin işverenin Kariyer.net 360 sistemindeki hesabından işverenin herhangi bir aksiyon almasına gerek olmaksızın kaldırılması,
- Eğer başvuran bireye ait özgeçmiş “paylaş” “yazdır” “indir” gibi seçeneklerden biri kullanılarak ilave veri işleme faaliyetine tabi tutulmuş ise işverenin Kariyer.net 360 sistemindeki hesabından kaldırılmasının yanı sıra üye işverenimizin yetkili kullanıcılarına 24 saat içinde işverene ait bu bilginin iletilmesiyle diğer veri kayıt sistemlerinde de aksiyon alınmasına dair bilgilendirme yapılması.
-
- Başvuru gerçekleştirmiş ilgili kişilerin özgeçmişlerinde başvuru sonrası yaptıkları değişikliklerin Kariyer.net 360 bünyesinde ilgili firma hesabı altındaki verileri de güncellemesi.
Bu fonksiyon ile Kariyer.net işveren üyelerimizin, veri sorumlusu olmaktan gelen “Verilerin güncelliğinden veri sorumlusu sorumludur” kapsamındaki yükümlülüklerini herhangi bir başka efora ihtiyaç duymaksızın kanuna uyumlu biçimde yerine getirebilmesine destek olunmaya çalışılmaktadır.
- Başvuru yapmış bireyin başvurusunun işveren kullanıcıları tarafından silinememesi.
Bu geliştirmenin amacı, işveren kullanıcılarının sehven gerçekleştireceği faaliyetlere istinaden iş arayan tarafla bağlantısının kopma ihtimalini ortadan kaldırmaktır.
- İlgili kişilerin (adayların) Kariyer.net’e kanun kapsamındaki haklarından olan “Bireysel (tekil) veri imha” başvurusunda bulunması veya Kariyer.net’in gerçekleştirmesi gereken Re’sen (periyodik) veri imha süreçlerine dahil olan ilgili kişilerin firmalara yaptıkları başvuruların da bu kapsamda veri imha süreçlerine tabi tutulması işlemleri.
Bu geliştirmenin de amacı yine işveren üyelerimizin kanuna uyumlu veri işleme faaliyetleri gerçekleştirebilmesinin teminidir.
Yukarıda saydımız tüm özellikler, hiçbir veri işleyenin veri sorumlusundan bağımsız olarak inisiyatif alıp, aksiyon alabileceği işlemler değildir.
Kariyer.net’in bu faaliyetleri gerçekleştirebilmesinin ana gerekçesi Özel İstihdam Bürosu sıfatı ile iş arayan adaylardan verilerin ilk toplandığı an olan özgeçmiş oluşturma faaliyetidir. Bu kapsamda başlayan ilişki, veri işleme ilkelerine uygunluk hususunda da Kariyer.net’in aksiyon alabilmesinin zeminini oluşturmaktadır.
Bu nedenle Kariyer.net bünyesinde geliştirdiğimiz herhangi bir yazılımın kullanılması suretiyle toplanan/işlenen kişisel verilerin veri minimizasyonu ilkesine uygun şekilde, işlenme amacıyla orantılı ve ölçülü olmasının sağlanması, kaçınılmaz biçimde Kariyer.net olarak bizlerin sorumluluk sahası içerisine girmektedir.
2- Yeni “KVKK Uyum Modülü”nün işveren üye şirketlerimize faydaları
Kariyer.net, bireylerin üyelik oluşturması esnasında kendi tüzel kişiliğinin getirdiği hukuki zemine uygun olarak aydınlatma yükümlülüğünü yerine getirmekte ve gerekli olan kısımlar için “Açık rıza”larını almaya çalışmaktadır. Kurum’un birçok rehberinde ve kararında da belirttiği gibi açık rıza hizmete ön koşul değildir. Bireyler açık rıza vermeksizin de Kariyer.net’te üyelik oluşturabilmekte, buna istinaden açık rıza olmaksızın bilgi girişi yapılabilecek kapsamla sınırlı olan özgeçmişler iş başvurusu için kullanılabilmekte, bu başvurular toplanıp işveren üyelerimizin veri işleme faaliyetleri gerçekleştirebilmeleri amacıyla aktarılabilmektedir. “Uyum Modülü”nün devreye girmesi, bu kapsamda herhangi bir değişiklik getirmemektedir. Kariyer.net veri sorumlusu sıfatıyla yerine getirmesi gereken tüm yükümlülükleri yerine getirmeye devam etmektedir.
Kariyer.net ile İşveren üyelerimiz arasındaki veri ilişkisinin ana ekseni önceki kısımlarda detaylandırıldığı üzere “Veri Sorumlusu’ndan Veri Sorumlusuna veri aktarımı” faaliyetidir. Kariyer.net’in Veri İşleyen olduğu kısıtlı kapsam, sürecin ana eksenini değiştirmemektedir.
Bu nedenle Kariyer.net kullanan işverenlerimizin Kariyer.net üzerinde Veri Sorumlusu sıfatıyla gerçekleştirdikleri faaliyetlerin yönetimi de bu kapsamda ortak sorumluluk olarak nitelendirilebilecek kısımlara sahiptir.
Konu hakkında bugüne dek işverenlerimize yaptığımız iletişimlerde şu 4 noktaya dikkat çekmeyi amaçladık:
- İşveren üyelerimizin Kariyer.net üzerinden başvuru aldığı adaylara aydınlatma yükümlülüğünü yerine getirme veri sorumlusu sıfatıyla kanuni yükümlülüktür. (Kariyer.net’ten elde edilen veriler işveren üyelerimizin de bireyin verilerini işlemek için izin aldığı anlamına gelmektedir.)
- Kariyer.net üzerinden elde edilen verilerin işlenmesi, Aydınlatma yükümlülüğünün yerine getirilmesi için ilgili düzenlemelerdeki “Üçüncü taraflar üzerinden elde edilen kişisel veriler” tanımına girmekte, buna bağlı olarak da veriyi alan tarafın bu yükümlülüğünü “makul bir süre” içerisinde yerine getirebilmesine olanak tanınmaktadır. Bu nedenle işveren üyelerimizin aydınlatma yükümlülüklerini Kariyer.net dışındaki kanallarla da yerine getirebilmesi mümkündür. Buna rağmen, Kariyer.net tüm müşterilerinin ücretsiz olarak kullanabileceği Aydınlatma metni yükleme ve yayınlama çözümünü 2019 Aralık’ta devreye almıştır. Bugün 1500’ün üzerinde işverenimiz, kendi aydınlatma metinlerini Kariyer.net üzerinden ilan metni altında ücretsiz olarak yayınlamaktadır.
- İlgili kişilerden açık rıza alınmasını gerektiren veri işleme faaliyetleri gerçekleştiren işverenlerimiz için bu süreci kolaylaştıran Kariyer.net Uyum Modülü, müşterilerimizin bu yükümlülüklerini Kariyer.net üzerinde de yerine getirebilmesini sağlamayı amaçlayarak satın almak isteyen müşterilerimizin kullanımına sunulmuştur.
- Yukarıdaki geliştirmenin bir sonucu olarak, Aydınlatma ve Açık rıza onayı süreçlerini Kariyer.net üzerinde gerçekleştirmeyen işveren üyelerimizin ilana başvuru esnasında sorabilecekleri “adaya ek sorular” kısmında da bazı düzenlemelere gidilmiştir. Buna göre Uyum Modülü kullanmayan firmalarımız sadece sistemde önceden tanımlı olan, bu süreçte kapsamı genişletilen “hazır sorular”ı (soru metinlerini Kariyer.net’in belirlediği) kullanarak ek veri toplama işleme faaliyetleri gerçekleştirebilecekler. Uyum Modülü kullanan müşterilerimiz ise hazır sorulara ek olarak, soru metinlerini kendilerinin oluşturabileceği “özel sorular” kısmını da kullanarak ek veri işleme faaliyetleri gerçekleştirebileceklerdir.
Detaylara girmek gerekirse;
Kariyer.net üzerinden elde ettiğiniz verilerin aktarımı, kanundaki tanımıyla “Veri sorumlusundan (Kariyer.net’ten) veri sorumlusuna (size) veri aktarımı” dır. Kariyer.net üzerinden elde ettiğiniz veriler ile birlikte işveren üyelerimiz de veri sorumlusu haline gelmekte ve bu sıfattan gelen aydınlatma yükümlülüğünü yerine getirmesi gerekliliği oluşmaktadır. Aydınlatma yükümlülüğüne dair yayınlanan tebliğde bu yükümlülük için “Üçüncü taraflar üzerinden elde edilmiş kişisel veriler için aydınlatma yükümlülüğü makul bir sürede yerine getirilir” ibaresi bulunmaktadır. Bu nedenle bu yükümlülük, iş ilanına başvuru esnasında veya başvuruları topladıktan sonra farklı bir kanalla yerine getirilebilir durumdadır.
Müşterilerimizin bazılarında bu yükümlülüğün yerine getirilmesi için “Kariyer.net’ten gelen başvurulara haftada bir firmamızın aydınlatma metnini e-posta gönder/e-posta’dan bir linkle bireyi firmanın açık rıza talep ettiği ortama yönlendir/açık rıza talep et” gibi süreçler geliştirilmiştir. Ancak bunların verimsiz olduğuna dair geri bildirimlerle firmanın “Açık rıza” onayı alması gerektiren durumlarda bu sürecin “İlgili kişilerin Kariyer.net üzerinde gerçekleştirdikleri başvuru esnasında yerine getirilip getirilemeyeceği” konusu gündeme gelmiştir.
Bu kapsamda Aydınlatma yükümlülüğünün Kariyer.net üzerinde yerine getirilmesi için yapılan geliştirmeler iki farklı fazda ilerlemiştir.
İlk faz olarak Aydınlatma metnine dair devreye aldığımız geliştirme ile tüm firmalarımıza ücretsiz olarak kullanıma açtığımız “Aydınlatma metni yayınlama” modülümüz 2019 Aralık’ta devreye alınmıştır.
İkinci faz geliştirmelerimizde bazı müşterilerimizin taleplerinden yola çıkılmıştır. Yukarıdaki ilk faz; bazı müşterilerimizce yeterli görülürken, bazı müşterilerimiz tarafından yeterli bulunmayarak Kurul’un ilgili kararına istinaden hem aydınlatmanın hem de açık rızanın ayrı ayrı başvuru an’ında Kariyer.net üzerinde gerçekleştirilmesine dair bir talep oluşmuştur. (Açık rıza onay metni Aydınlatma metninden farklı bir metindir. Konu hakkında Kurul’un aldığı kararı şu linkte bulabilirsiniz.)
Bu taleplere istinaden Aydınlatma metni yayınlama geliştirmemiz ücretsiz olarak devrede tutulmaya devam edilirken; ayrıca açık rızayı da Kariyer.net üzerinden toplamak isteyen müşterilerimize özel, ücretli bir hizmet olarak, açık rıza metni yayınlama ve seçimlik hakların da verildiği biçimde onay verenlerin izinlerinin log’lanması modülü geliştirilmiştir.
İlk faz olan aydınlatma metni yayınlama modülünde birey bazlı hiçbir veri toplanmamaktadır. Açık rıza modülümüz ile bu modülü satın alacak müşterilerimiz için adaylara firmaya ait aydınlatma ve açık rıza metinleri gösterilecek ve “xxx.yyy@email.com kullanıcısı GG.AA.YYY tarih saat SS:DD ’da sistemde firmanız adına yüklenmiş açık rıza metninize onay vermiştir/vermemiştir” bilgisi birey bazlı log’lanmaya başlanacaktır.
Bu kapsamda ayrıca “ilana ek sorular” kısmında önemli değişiklikler yapılmıştır.
Adayın iş başvurusu sürecinde işverenlerimizin istihdam amacıyla “ilana ek soru” özelliğini kullanmak suretiyle ek veri toplama faaliyetleri gerçekleştirilebildiği hepimizin malumudur.
Ancak bu konuda soruların kapsamına dair yapılan incelemeler, işveren kullanıcıları tarafından sorulan “özel sorular” seçeneğinde sorulan soruların Özel Nitelikli Kişisel Veri olarak da nitelendirilebilecek bir çizgiye kadar uzanan, oldukça geniş bir kapsam ile sorulabildiğini göstermiştir.
Bu tür kullanımlar kapsamında gerek İşverenlerimizin, gerek Kariyer.net’in regülatif risklerinin daha dikkatli yönetilebilmesi için “ilana ek sorular” konusunun tekrar düzenlenmesi ihtiyacı ortaya çıkmıştır.
“İlana ek sorular” özelliğimiz iki farklı kısma ayrılmıştır.
- “Hazır sorular” kısmı ile soru metni Kariyer.net tarafından belirlenmiş, cevaplarının Kariyer.net’in de Veri sorumlusu sıfatı ile yükümlülük içinde olmayı kabul ettiği soru seti oluşturulmuştur.
- “Özel sorular” kısmı ile soru metni işveren temsilcileri tarafından belirlenmiş, cevaplarının sadece ilgili firmaya özel olarak saklandığı, Kariyer.net’in sadece veri işleyen sıfatıyla verileri tuttuğu kişisel veriler kısmı oluşturulmuştur.
Kariyer.net bünyesinde ikinci başlıkta belirtilen “özel sorular” kısmında soru sorulabilmesi, sadece yeni kurgulanmış olan firmanın Aydınlatma yükümlülüğüne dair metin paylaşımı ve firmanın kendisine ait açık rıza süreçlerinin de Kariyer.net üzerinde gerçekleştirilmesini sağlayan Uyum Modülü kullanımıyla mümkün olabilecektir. Kapsamı oldukça genişletilmiş olan “hazır sorular” kısmı ise tüm müşterilerimizce mevcut üyelik sözleşmelerine istinaden kullanılabilecektir.
Buna bağlı olarak, iş başvurusu sürecinde ilgili kişiye (adaya) firmanıza ait aydınlatma metni ilan metninin altında gösterilecek, açık rıza metni ise “başvur” butonuna basılmasından sonra adaya seçimlik hakların da sunulduğu biçimde gösterilecektir. Adayın firma açık rıza metnine onay vermediği durumda adayın başvurusu ve hazır sorulara verdiği cevaplar aktarılırken, işveren üyemizin kendisinin oluşturduğu özel sorulara ait cevaplar aktarılmayacaktır.
Yukarıda detaylandırılan sorumluluklar çerçevesinde Kariyer.net olarak her zaman tabi olduğumuz tüm mevzuatların üzerimize yüklediği veri sorumlusu, veri işleyen, yer sağlayıcı ve özel istihdam bürosu sıfatlarının tümünün her türlü gereğini yerine getirmekte olduğumuz gibi, sizinle aramızdaki ilişkinin de gereği olan her türlü teknik ve idari güvenlik tedbirini almaya devam etmekteyiz. Geliştirmeler devreye alındıkça benzer iletişimlerimizi yapmaya devam edeceğiz.
Konuyu bilgilerinize sunarız.
Konuk Yazar: Barış Karadenizli
Kariyer.net Strateji ve İş Geliştirme Genel Müdür Yardımcısı
Yorum yapmak ister misin?