2025’te Türkiye’de veri güvenliği, İK profesyonelleri için kritik bir sorumluluk. Avustralya’daki bir vaka, bir İK çalışanının gizli şirket verilerini kişisel e-postasına gönderdiği için işten çıkarılmasını ele alıyor. Fair Work Commission (FWC), bu durumu ciddi bir gizlilik ihlali olarak değerlendirdi.
Vakanın Detayları
Avustralya’da bir İK çalışanı, 27 Mayıs 2022’de işe alım uzmanı olarak başladı. Görevleri arasında yetenek yönetimi, performans değerlendirme ve vize işlemleri yer alıyordu; bu, gizli bilgilere erişimi gerektiriyordu. Çalışanın sözleşmesi, şirket politikalarına uymayı ve gizli bilgileri üçüncü taraflarla paylaşmamayı zorunlu kılıyordu. Şirketin Bilgi Sistemi Kullanıcı Şartı ve Gizlilik Çerçevesi gibi politikaları vardı. Çalışan, işe alım sürecinde bu politikalar hakkında eğitim aldığını kabul etti. Ancak, Şubat-Nisan 2024 arasında, 93 çalışanın vize detayları, maaşları, sözleşmeler, bir üst düzey yöneticinin istifa mektubu ve başka bir yöneticinin bonus geçmişi gibi gizli verileri kişisel e-postasına gönderdi. Çalışan, iş e-postasına evden erişemediğini ve büyük ekleri yönetmek için kişisel e-postasını kullandığını savundu. Ayrıca, yöneticilerinin de benzer şekilde kişisel e-posta kullandığını iddia etti.
FWC’nin Kararı ve Gerekçeleri
FWC, çalışanın savunmasını inandırıcı bulmadı. Komisyon, bir İK profesyonelinin, eğitim almış olsa bile, 93 çalışana ait hassas bilgileri izinsiz kişisel e-postasına göndermesinin kabul edilemez olduğunu belirtti. Göçmenlik detayları, maaşlar ve vize numaraları gibi verilerin hassasiyeti, ihlalin ciddiyetini artırdı. Çalışanın IT sorunları iddiası da reddedildi; çünkü sadece Mayıs 2023’te bir kez IT yardım masasına bildirimde bulunmuş ve sorun hızla çözülmüştü. E-postaların kısa bir zaman diliminde gönderilmesi, FWC tarafından şüpheli bulundu ve bu eylemlerin normal iş akışında olmadığına karar verildi. Komisyon, işverenin çalışanı işten çıkarma kararını haklı buldu, çünkü bu davranış gizlilik yükümlülüklerinin ciddi bir ihlaliydi.
Türkiye’de İK ve Veri Güvenliği
Türkiye’de, Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, çalışan verileri sıkı koruma altındadır. İK profesyonelleri, maaş, performans veya vize gibi hassas bilgileri işlerken, yalnızca iş amaçlı ve güvenli sistemler kullanmalıdır. Örneğin, İstanbul’daki bir teknoloji firması, İK çalışanlarına KVKK uyumlu veri işleme eğitimleri vererek veri ihlallerini %30 azalttı. Türk İK liderleri, bu vakadan hareketle, net gizlilik politikaları oluşturmalı ve çalışanları düzenli olarak eğitmelidir. Hibrit çalışma modellerinde, güvenli VPN’ler ve şifreli e-posta sistemleri gibi teknolojiler, veri güvenliğini güçlendirebilir. Ayrıca, izinsiz veri aktarımı gibi ihlaller için disiplin süreçleri açıkça tanımlanmalıdır.
İK Liderleri için Dersler
Bu vaka, İK profesyonellerinin veri güvenliğine verdiği önemi vurguluyor. Türk İK liderleri, çalışanların gizli bilgilere erişimini sınırlandırmak için rol bazlı erişim kontrolleri uygulayabilir. Örneğin, bir Ankara merkezli finans şirketi, İK sistemlerine iki faktörlü kimlik doğrulama ekleyerek veri sızıntılarını önledi. Ayrıca, şirket politikalarının ihlal edilmesi durumunda, işten çıkarma öncesinde adil bir soruşturma süreci yürütülmelidir. Türkiye’de, İş Kanunu’nun 25/II maddesi, ciddi ihlaller için haklı fesih hakkı tanır, ancak süreç şeffaf ve belgelenmiş olmalıdır. İK, çalışanların teknik sorunlarını çözmek için proaktif IT desteği sağlayarak, kişisel e-posta kullanımını önleyebilir.
Soru-Cevap Bölümü
Soru 1: Türk İK liderleri veri güvenliğini nasıl güçlendirebilir?
Cevap: KVKK uyumlu politikalar oluşturun, çalışanları düzenli eğitin, rol bazlı erişim kontrolleri ve şifreli sistemler kullanın.
Soru 2: Kişisel e-postaya veri gönderme Türkiye’de işten çıkarma nedeni olabilir mi?
Cevap: Evet, KVKK ihlali ve gizlilik politikalarına aykırılık, İş Kanunu’nun 25/II maddesi uyarınca haklı fesih nedeni olabilir.
HR Today Yorumluyor
HR Today olarak, veri güvenliğinin İK’nın temel sorumluluklarından biri olduğuna inanıyoruz. Avustralya’daki bu vaka, Türkiye’de İK liderleri için önemli bir uyarı niteliğinde. Net politikalar, düzenli eğitimler ve güvenli teknolojiler, veri ihlallerini önlemede kritik. Türk İK liderlerini, KVKK’ya tam uyum sağlamaya ve çalışanların gizli verilerini korumak için proaktif adımlar atmaya çağırıyoruz. Bu yaklaşımlar, yalnızca yasal riskleri azaltmakla kalmayacak, aynı zamanda çalışan güvenini ve organizasyonel itibarı güçlendirecektir.
