Tesislerde KVKK Uyumlu Personel ve Tedarikçi Yönetimi

2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), sadece bilişim sektörünü değil; tesis yönetimi, dahili kamera kayıtları, personel özlük dosyaları ve dış kaynak personel ilişkilerini de derinden ilgilendirir. Özellikle outsource personel ile çalışan kurumsal tesislerde KVKK uyumu, denetlenebilir bir süreç olarak yönetilmelidir.

KVKK'nın Tesis Operasyonlarına Etkisi

Tesisinizde KVKK kapsamına giren kişisel veri örnekleri:

• Personel ve ziyaretçi kamera kayıtları

• Giriş-çıkış kart sistemi (PDKS) verileri

• X-Ray ve metal detektör kayıtları

• Plaka tanıma sistemleri

• Personel özlük dosyaları ve sağlık raporları

• Dış kaynak personel kimlik bilgileri

Veri Sorumlusu vs Veri İşleyen

Bu ayırımı anlamak kritik:

• Veri sorumlusu: Tesisinizdeki verilerin neden ve nasıl işleneceğini belirleyen taraf — genellikle siz

• Veri işleyen: Sizin adınıza veri işleyen taraf — dış kaynak güvenlik veya temizlik firması

Dış kaynak firmaya kişisel veri aktarırken aranızda Veri İşleme Sözleşmesi (Data Processing Agreement) olması zorunludur.

Dış Kaynak Personel KVKK Risklerinde Hatıralayacaklar

1. Personel kayıt işleme: Hangi veriler tesisinize teslim ediliyor (kimlik fotoğrafı, SGK numarası, sağlık raporu)?

2. Veri saklama süresi: Personel ayrıldıktan sonra ne kadar saklanacak?

3. Erişim yetkileri: Tesisinizdeki kim hangi veriye erişebilir?

4. Yurtdışı aktarım: Bulut sistemleri yurtdışı mı (KVKK md.9 açık rıza gerek)?

5. Veri ihlali bildirimi: 72 saat içinde KVKK Kurumu'na bildirim yükümlülüğü

Aydınlatma Yükümlülüğü

Tesisinizde çalışan dış kaynak personeline; veri sorumlusunun kim olduğu, hangi verilerin işlendiği, amaçları, aktarılan kişiler ve haklarını açıklayan Aydınlatma Metni sunulmalı ve im imzalatılmalıdır.

Tedarikçi Seçiminde KVKK Kontrol Listesi

• VERBİS kaydı var mı?

• Veri İşleme Sözleşmesi taslak örnekleri sunabiliyor mu?

• Veri ihlal yanıt planı var mı?

• İşlenen verileri yurtdışına aktarıyor mu?

• Personel KVKK eğitimi tamamlanmış mı?

Yaptırım Riski

KVKK ihlalleri için 2024 itibariyle 1 milyon TL'ye kadar idari para cezası uygulanabilmektedir. Tedarikçiniz uyumsuzsa, sorumluluk genellikle veri sorumlusu olan size aittir.

Sıkça Sorulan Sorular

Soru: Dış kaynak temizlik personeli kimlik bilgilerini istemek zorunda mıyız?
Evet, iş sağlığı ve güvenliği mevzuatı ve tesis güvenliği açısından zorunludur. Ancak amacı aşılmamalı; sadece gerekli minimum veri alınmalıdır.

Soru: Outsource personelin maaşı kişisel veri midir?
Evet. Hizmet sağlayıcı firma bordrosundaduğu için maaş bilgisi onların veri sorumluluğunda kalır; size aktarılması şart değildir ve genellikle gerekmez.

Sonuç

Dış kaynak personel yönetiminde KVKK uyumu, satın alma kararınızın vazgeçilmez parçası olmalıdır. Prodes Grup KVKK ve Gizlilik Politikamızı inceleyebilir veya uyumlu hizmet için bizimle iletişime geçebilirsiniz.