İşe alım süreçlerinde toplanan verilerden iş ilişkisinin kurulmasıyla birlikte tutulan özlük dosyalarına kadar her aşamada, işverenin KVKK’ya uygun davranması gerekir. Çalışan adaylarının başvuru belgelerinin gereksiz yere saklanmaması, iş sözleşmesi sona erdikten sonra da verilerin yalnızca yasal saklama süreleriyle sınırlı tutulması önem taşır. Bu bağlamda, birçok temel belgenin (bordrolar, puantaj kayıtları, işe giriş/çıkış belgeleri vb.) işverenin kayıt tutma yükümlülüğüne tabi olmasından hareketle, işten ayrılan işçinin işverene karşı açacağı alacak ve işe iade davalarında işveren tarafından ibraz edilmemesi halinde mahkemenin bu durumu işçinin lehine değerlendirebileceği unutulmamalıdır. Ücret alacakları ile kıdem ve ihbar tazminatları için kanunda öngörülmüş zamanaşımı süresi beş yıl olmakla birlikte, Sigortalar ve Genel Sağlık Sigortası Kanunu’nda öngörülen on yıllık saklama süresine riayet edilmeli; çalışanların kişisel sağlık dosyaları ise iş sağlığı ve güvenliği mevzuatı gereği en az on beş yıl süreyle saklanmalıdır. Veriler ölçülülük, amaçla bağlantılılık ve dürüstlük ilkelerine uygun biçimde toplanmalı; belirli, açık ve meşru amaçlar ile işlenmelidir.

KVKK kapsamında işverenlerin en temel sorumluluklarından biri aydınlatma yükümlülüğüdür. Çalışanlara ve verisi işlenen diğer kişilere hangi kişisel verilerin hangi amaçlarla işleneceği, kimlerle paylaşılabileceği ve kişisel veri toplama yöntemi ile hukuki sebebi açık biçimde bildirilmelidir. Bu süreçte, açık rıza alınması gereken durumlarda, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ 5. maddesi uyarınca işverenin bilgilendirme ve rıza süreçlerini ayrı ayrı yürütmesi gerekir. Aydınlatma yükümlülüğünün yerine getirildiğinin ispatı işverene ait olacaktır. Aydınlatma ve açık rıza metinlerinde eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yerilmemesi önem arz etmektedir. Kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğünün ayrıca yerine getirilmesi gerektiği unutulmamalıdır.

İşverenlerin dikkat etmesi gereken bir başka önemli husus, işe alım süreçlerinde çalışan adaylarından iş akdinin kurulması için gerekli olmayan birtakım bilgilerin talep edildiği durumlara ilişkindir. Çalışan adayına evlilik planlarına, dinine, hamilelik durumuna ilişkin sorular sormak, doğrudan iş tanımı/niteliklerle ilişkilendirilemediği sürece özel hayatın gizliliği ve ayrımcılık yasağı ilkelerine aykırılık teşkil edebilecektir. Bununla birlikte her olay kendi özgün şartlarına göre değerlendirilmelidir; sözgelimi toplu iş sözleşmesinin aile yardımlarına ilişkin hükümlerinin işçi açısından doğuracağı sonuçları değerlendirebilmek adına medeni durum bilgisinin sorulması hukuka aykırı sayılmayabilecektir. İşverenin her veri işleme faaliyetinde olduğu gibi mülakatlar öncesinde de ilgili kişiyi aydınlatma yükümlüğünün bulunduğu, bu yükümlülüğün yerine getirilmesinde belirli bir geçerlilik şartı mevzuatta belirtilmemiş olsa da ispat yükümlülüğünün veri sorumlusu sıfatıyla işverende olması sebebiyle şifahi aydınlatma yöntemleriyle sınırlı kalınmamasının önem arz edeceği gözden kaçırılmamalıdır.

Son olarak, çalışanlara ne sıklıkla aydınlatma yapılması gerektiği ve alınması gerekli teknik-idari tedbirlerden söz etmek yerinde olacaktır. İşveren işçilerini sadece işe girişte aydınlatmak suretiyle aydınlatma yükümlüğünü yerine getirmiş sayılmayacaktır. İşleme amacı, toplama yöntemi ve verilerin aktarıldığı kişilerde değişikliğe gidilmesi gibi hallerde yeniden aydınlatma yapılması gerekecektir. Bununla birlikte her türlü verinin işlenmesine ilişkin aydınlatmanın işe girişte yapılması yerine aydınlatmanın kişisel verilerin elde edilmesi sırasında yapılması yoluna gidilmelidir. Ek olarak, verilerin güvenliği için gerekli idari ve teknik tedbirlerin alınması da zorunludur. Kurumsal politikaların hazırlanması, iş sözleşmelerine KVKK’ya uygun hükümlerin ilave edilmesi idari tedbirlere; güncel anti-virüs sistemlerinin kullanılması ise teknik tedbirlere örnek gösterilebilir. İşverenler verilerin muhafazası ve hukuka aykırı biçimde erişilmesini önlemek için gerekli önlemleri almakla yükümlü olup KVKK’ya uyum sürecinin tek seferlik bir süreç olmadığı bilinciyle hareket etmelidir. Uyumun sürdürülebilirliği için kurum içi periyodik denetimler ve düzenli farkındalık eğitimleri planlanmalı, kişisel verilerin işlenmesini gerektiren yeni bir faaliyet ortaya çıktığında envanter ve kurumsal politikalar buna uygun olarak güncellenmelidir.