İK'da bordro ve sözleşmeler: KVKK ve GDPR neyi bekliyor
İK; bordroları, sözleşmeleri, istirahat raporlarını ve banka bilgilerini işler. İşte KVKK ve GDPR'ın bunları işleyenden istedikleri ve neden işi kendi cihazınızda yapmanın yardımcı olduğu.
Bir İK masası, herhangi bir şirketteki en veri yoğun yerlerden biridir. Sıradan bir salı günü, tek bir kişi bir bordroyu, imzalı bir sözleşmeyi, bir istirahat raporunu, bir banka belgesini ve birinin kimlik fotokopisini açabilir. Bunların her biri bir PDF’tir ve bu PDF’lerin her biri, nasıl ele alındığını asla göremeyen gerçek bir insana aittir.
İşin doğası bu. Asıl soru, KVKK ve GDPR’ın tüm bunlarla ne yapmanızı beklediği ve gündelik PDF işinin kuralların neresine oturduğudur.
İK’nın dokunduğu veri hassas türden
KVKK ve GDPR kapsamında her kişisel veri eşit değildir. Bir iş e-posta adresi kişisel veridir. Bir maaş rakamı da öyledir, ama daha fazla ağırlık taşır ve İK bunlardan bir yığının üzerinde oturur.
Bordrolar insanların ne kazandığını gösterir. Sözleşmeler koşulları gösterir, bazen sağlık ya da aile durumuyla ilgili maddeler içerir. İstirahat raporları bir tıbbi durumu açığa çıkarabilir; bu da ekstra korumaya sahip özel nitelikli bir veri kategorisidir. Banka bilgileri dolandırıcılığın kapısını aralar. T.C. kimlik ve sosyal güvenlik numaraları, kimlik hırsızlarının tam da istediği şeydir. Tüm bunları tek bir departmana koyun, bir hedef elde edersiniz.
KVKK ve GDPR bu materyali daha çok önemser, çünkü bir sızıntının vereceği zarar daha büyüktür. Sızdırılan bir pazarlama listesi can sıkıcıdır. Sızdırılan bir yığın bordro ve kimlik taraması ise birinin finansını ve iç huzurunu mahvedebilir.
Kuralların sizden gerçekte istediği
Kuralları takip etmek için mevzuatı ezberlemenize gerek yok. Birkaç görev, İK’nın bu dosyalarla yaptığı işin çoğunu kapsar.
Veriyi güvende tutun. GDPR’da Madde 32 uygun teknik ve idari tedbirler ister. Açık ifadeyle, dosyalar ne kadar hassas olduklarıyla uyumlu bir şekilde korunmalıdır. Bir bordro, bir yemek menüsünden daha fazla özen hak eder.
Yalnızca ihtiyacınız olanı, ihtiyacınız olduğu sürece kullanın. Bir sözleşmeyi istihdamı yönetmek için toplarsınız, ofisin yarısının okuyabildiği paylaşımlı bir sürücüde sonsuza dek saklamak için değil. Sebep ortadan kalktığında, dosya da gitmelidir.
Verinin nereye gittiğini bilin. Bir dosya her kontrolünüzden çıktığında, onu kimin ne için aldığını bilmeniz beklenir. Kişisel veriyi sizin adınıza işleyen dışarıdan bir hizmete verirseniz, o hizmet bir veri işleyendir ve onunla bu veriyle ne yapabileceğini düzenleyen bir sözleşmenin olması gerekir.
Hesap vermeye hazır olun. Bir şey ters giderse, makul adımlar attığınızı gösterebilmeniz gerekir. “Arama sonuçlarında bulduğum ücretsiz bir web sitesine yükledim” savunmak isteyeceğiniz bir adım değildir.
Dosyanın nereye gittiği işin bir parçasıdır
İyi insanları yakalayan boşluk işte burada. İK çalışanları, paylaşımlı klasörü kimin açabileceğini uzun uzun düşünür, sonra da buldukları ilk PDF web sitesinde iki bordroyu birleştirir. Klasör üzerindeki o özenli erişim denetimi, dosya otuz saniye sonra başka bir yere yüklenirse hiçbir anlam ifade etmez.
Çoğu çevrimiçi PDF aracı, dosyanızı kendi sunucusuna göndererek, işlemi orada çalıştırarak ve sonucu geri göndererek çalışır. Dosya, sahip olmadığınız, hiç denetlemediğiniz bir şirketin işlettiği, adını söyleyemeyeceğiniz bir konumdaki bir makineye iner. Belki zamanında silerler. Belki bir yedek bir kopyayı tutar. Belki tüm sistem, dosyanızı asla haberdar olmayacağınız bir depolama alanından geçiren kiralık bir altyapı üzerinde çalışır. Kontrol edemezsiniz ve istirahat raporunu internetin öbür ucuna gönderdiğiniz kişi de edemez.
Bir istirahat raporu ya da bir banka belgesi için, o yüklenen kopya zayıf halkadır. İK dizüstü bilgisayarından hiç çıkmayan bir dosya, başka birinin sunucusunda gerçekleşen bir ihlalde ifşa edilemez.
İşi kendi cihazınızda yapmak
Hiçbir şey yüklemeyen bir PDF aracı türü vardır. Tüm işlem, zaten kullandığınız bilgisayarda, tarayıcının içinde çalışır. Kod bir kez yüklenir, PDF’iniz tarayıcının belleğinde açılır, işi yaparsınız ve bitmiş dosya doğrudan makinenize geri kaydedilir. Hiçbir şey dışarı gönderilmez, çünkü gönderecek bir sunucu adımı yoktur.
reader.me işte böyle çalışır ve İK belgelerine uygun olmasının nedeni de budur. Bir bordro setini birleştirin, bir sözleşmeden birkaç sayfa çıkarın, bir taramayı e-postaya sığacak kadar küçültün; hepsi bilgisayarınızda gerçekleşir. Sekmeyi kapatın, çalışma belleği onunla birlikte yok olur.
Bu konuda bana güvenmek zorunda değilsiniz. Tarayıcının DevTools’unu açın, Network sekmesine gidin, bir işlem çalıştırın ve bakın. Hiçbir istek dosyanızı dışarı taşımaz. Dosya hiçbir isteğin gövdesinde yoksa, hiçbir yere gönderilmemiştir. İşte Madde 32’nin sevdiği türden bir kontrol budur, çünkü bunu gerçekten gösterebilirsiniz.
Bugün yapmaya değer iki şey
Binadan çıkan dosyaları koruyun. Bir bordroyu ya da sözleşmeyi e-postayla gönderdiğinizde, e-postanın kendisi nadiren uçtan uca güvenlidir. PDF’e önce bir parola koyun, böylece belge onu ele geçirene ya da yanlış alıcıya ulaşana yararsız olur. Bunu kendi cihazınızda PDF koruma ile, hiçbir yükleme olmadan yapabilir ve parolayı bir telefon görüşmesi gibi ayrı bir kanaldan paylaşabilirsiniz.
Yazdırıp yeniden taramadan imzalayın. Sözleşmeler ve onaylar bir imza gerektirir ve eski yazdır, imzala, tara, kâğıdı at rutini her yere gevşek kopyalar bırakır. İmzayı doğrudan PDF’e eklemek, tek bir temiz dosyayı korur ve kâğıt izinden kurtarır. PDF imzalama aracı bunu tarayıcıda yapar, böylece sözleşme imzalanmak için bilgisayarınızdan hiç çıkmaz.
İK’daki gündelik PDF işi sıkıcı görünür ve tuzak da budur. İki dosyayı birleştirmek ya da bir sözleşmeyi imzalamak saniyeler sürer ve hassas verinin ya yerinde kaldığı ya da sessizce çıktığı an o saniyelerdir. Belgeler bir bordro ofisinden ya da bir mali müşavirden geçtiğinde bunun nasıl yaşandığının daha uzun versiyonunu istiyorsanız, bordrolar ve gizlilik üzerine bu yazı konuyu ele alıyor. İşi cihazda tutun, KVKK ve GDPR tarafı çok daha basit hale gelir.