Finlandiya Veri Koruma Kurumu, iş başvurusu yapan adayların gerekli olmayan kişisel verilerini toplayan bir şirkete 12.500 avro para cezası verdi. Somut olayda, işverenin standart iş başvuru formunda çalışan adayının muhtemel hamilelik durumu, aile ilişkileri, askerlik durumu, dini inancı, sağlığı gibi bilgileri sorduğu tespit edildi. Ancak cezaya konu veri sorumlusu şirket, iş başvuru formundaki bilgilerin verilmesini zorunlu tutmadığı ve çalışan adaylarının rızaları doğrultusunda dilediğinde bu sorulara cevap vermeyebileceği savunmasını yaptı.
GDPR’ın niteliği gereği kişisel verilerin korunması konusunda ulusal mevzuat, GDPR kurallarına paralel olarak düzenlenebilmektedir. Bu kapsamda, Finlandiya’nın iş hayatında mahremiyetin korunmasına ilişkin mevzuatı uyarınca işverenlerin sadece çalışanın işi için doğrudan gerekli bilgileri işlemesi gerekmektedir. Şöyle ki, GDPR’ın 5. maddesinde düzenlenen veri minimizasyonu ilkesi, kişisel verinin kullanım amacına ulaşmak için gereken en az düzeyde veri işlenmesini belirtmektedir. Bu ilke uyarınca veri sorumluları, öncelikle işleyecekleri verilerin işleme amacı doğrultusunda gerekli olup olmadığına karar vermek zorundadır.
Bu doğrultuda Kurum, veri minimizasyonu ilkesi uyarınca gerekli olmayan verilerin toplandığını tespit ederek şirkete para cezası uyguladı. Kurum, yaptığı incelemede çalışanların açık rızası olduğu savunmasına bakmaksızın söz konusu verilerin işlenmesinin gerekli olup olmadığını değerlendirdi. Başka bir deyişle, iş başvuru formunda çalışan veya çalışan adayının doğrudan işi ile ilgili olmayan soruları kendi rızasıyla cevaplaması halinde dahi “gereklilik” şartının sağlanamayacağı gerekçesiyle ihlal tespit edildi. Dolayısıyla gerekli olmayan verilerin toplanmasının çalışan adaylarının rızasıyla meşrulaştırılamayacağını belirtti.
Hatırlanacağı üzere geçen ay 27/02/2020 tarihli ve 2020/167 sayılı kararında Kişisel Verileri Koruma Kurulu, giriş-çıkış kontrolünde el okutma sistemini kullanan bir spor salonuna idari para cezası uygulamıştı. Finlandiya Veri Koruma Kurumu tarafından verilen karara benzer şekilde Kurul, şirketin açık rıza savunmasına itibar etmeksizin, spor salonu hizmetinden faydalanmak için üyelerin biyometrik verilerinin işlenmesinin ölçülülük ilkesi ile uyumlu olmadığını değerlendirmiştir. Zira ölçülülük ilkesi uyarınca işleme amacı için gerekli olmayan verilerin işlenmemesi gerekmektedir. Gereklilik, ölçülülük ilkesinin ön koşulu niteliğindedir. Hem Kurul kararında hem de Finlandiya Veri Koruma Kurumu’nun kararında açık rızanın olup olmadığına bakılmaksızın öncelikle verilerin işlenmesinin gerekli olup olmadığı incelemesi yapılarak ihlal kararı verilmiştir.
Finlandiya Veri Koruma Kurumu tarafından verilen bu karar, ülkemizdeki şirketler açısından da dikkat edilmesi gereken önemli bir karardır. Şirketlerin, iş başvuru formlarında çalışan adaylarından işe alım için gerekli minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan bilgi taleplerinden kaçınması gerektiğini hatırlamakta fayda bulunmaktadır.