İspanya Veri Koruma Otoritesi (AEPD), iş görüşmesi öncesinde adaylardan adli sicil kaydı ve medeni durum gibi özel bilgileri talep eden bir lojistik şirketine Genel Veri Koruma Tüzüğü (GDPR) kapsamında 100.000 euro para cezası verdi.

Olay, Temmuz 2023’te bir çalışan adayının şikâyetiyle gündeme geldi. İddiaya göre, bir lojistik şirketi iş görüşmesinden önce adli sicil kaydı, medeni durum ve çocuk sayısını içeren belgeleri talep etti. Aday, bu uygulamanın hukuka aykırı olduğunu belirterek İspanya Veri Koruma Kurumu’na başvurdu.

8,8'lik deprem sonrası balinalar karaya vurdu
8,8'lik deprem sonrası balinalar karaya vurdu
İçeriği Görüntüle

Şirket: “Pozisyona uygunluğu ölçmek içindi”

Şirket savunmasında, bu bilgilerin işe alım sürecinde pozisyonun gerekliliklerini sağlamak amacıyla ve adayın yararına talep edildiğini belirtti. Özellikle bazı güvenlik pozisyonlarında adli sicil kaydının yasal zorunluluk olduğunu da öne sürdü. Ancak süreç boyunca yapılan değişiklikle Haziran 2024 itibarıyla bu belgelerin ancak iş sözleşmesinden sonra talep edilmeye başlandığı ortaya çıktı.

AEPD: Veri minimizasyonu ilkesine aykırı

İspanya Veri Koruma Otoritesi, talep edilen bu bilgilerin işe alımın erken aşamasında toplanmasının gereksiz olduğunu ve veri minimizasyonu ilkesine aykırılık teşkil ettiğini vurguladı. Kurum, şirketin daha sonra kendi inisiyatifiyle süreci değiştirmiş olmasının, başlangıçtaki uygulamanın daha az müdahaleci alternatiflerinin olduğunu gösterdiğini kaydetti.

Adli Sicil Kaydı: Özel nitelikli veri

Kararda, adli sicil bilgilerinin özel nitelikli kişisel veri olduğu vurgulandı. Bu bilgilerin yalnızca yasal bir zorunluluk çerçevesinde, sözleşme imzalandıktan sonra ve gerekli koruma önlemleri alınarak işlenebileceği belirtildi. Sabıka kaydının olmaması durumunda dahi bu veriyi talep etmenin hassas veri işlemeye girdiği ifade edildi.

Medeni durum ve çocuk sayısı gibi bilgilerin ise işe alımla doğrudan bir bağlantısı bulunmadığı, dolayısıyla toplanmasının gereksiz olduğu belirtildi.

Ceza Detayları

  • Adli sicil kaydı talebi nedeniyle: 75.000 €

  • Medeni durum bilgisi talebi nedeniyle: 25.000 €
    Toplam ceza: 100.000 €

GDPR İhlalleri İşe Alımda Sıkı Denetleniyor

Bu karar, işverenlerin işe alım süreçlerinde yalnızca gerçekten gerekli olan verileri, yasal dayanakla ve adayın haklarını gözeterek işlemeleri gerektiğine dair önemli bir örnek teşkil ediyor. AEPD’nin kararı, GDPR’ın özel nitelikli veri tanımı ve veri minimizasyonu ilkesi konusunda net bir içtihat oluşturuyor.

Kaynak: GDPR Hub