Ocak 2023 Newsletter
VERİ KORUMA ETKİ DEĞERLENDİRMESİ NEDİR VE NEDEN ÖNEMLİDİR?
Veri sorumlusu olarak ilgili kişilerin hak ve özgürlüklerini etkileyebilecek bir proje yürütmeyi ya da mevcut bir sürecinizde değişiklik yapmayı mı planlıyorsunuz? Ya da sadece sürecinizin veri koruma nezdinde oluşturabileceği riskleri merak ediyorsunuz. Bu ayki blog yazımızda potansiyel veri ihlallerinin önüne geçecek veri koruma etki değerlendirmesinden bahsedeceğiz!
Veri koruma etki değerlendirmesi nedir?
Veri koruma etki değerlendirmesi (Privacy Impact Assessment), temel olarak, bir veri işleme projesinin veri koruma bakımından risklerini belirlemeye ve bu riskleri en aza indirmeye yardımcı olan bir araçtır. Kavram, Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) 35. maddesinde düzenlenmiştir.
Belirtmek gerekir ki Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) veri koruma etki değerlendirmesi yapılmasına ilişkin yasal bir düzenleme yoktur. Ancak, Kişisel Verileri Koruma Kurumu (“Kurum”), uygulamalarını sürdürürken GDPR’daki ilkeleri de dikkate almaktadır. Ayrıca yakın gelecekte gerçekleşmesi beklenen Kanun değişikliği kapsamında, söz konusu düzenlemenin, Türk Hukukunda da yer alması beklenmektedir. Bu nedenle veri koruma etki değerlendirmesinin uygulanması, veri sorumluları nezdinde önem teşkil etmektedir.
Veri koruma etki değerlendirmesi ne zaman uygulanmalıdır?
Özellikle yeni teknolojiler kullanıldığında ve aşağıdaki durumlarda bir veri koruma etki değerlendirmesi yapılması gerekmektedir:
Gerçek kişilerle ilgili kişisel özellikler hususunda profilleme de dahil olmak üzere otomatik işlemeye dayalı olan ve gerçek kişi ile ilgili hukuki sonuçlar doğuran veri işleme faaliyetleri veya gerçek kişiyi kayda değer şekilde etkileyen kararların dayandığı sistematik ve kapsamlı veri işleme faaliyetleri gerçekleştiğinde,
Özel nitelikli kişisel verilerin büyük çaplı olarak işlenmesi söz konusu olduğunda,
Kamunun erişebileceği bir alanın büyük çaplı olarak sistematik bir şekilde izlenmesi halinde.
Veri koruma etki değerlendirmesi yapılmasının sıklığı ne olmalıdır?
Veri koruma etki değerlendirmesi bir defaya mahsus bir uygulama olmamalı, düzenli olarak gözden geçirmeye tabi olarak devam eden bir süreç olarak görülmelidir. Mevcut projenin bir sürecinde de değişiklik yapılıyorsa, bu uygulamayı gerçekleştirmeniz beklenecektir.
Değerlendirmenin hangi hususları içermesi gerekir?
Bir veri koruma etki değerlendirmesi içinde aşağıdaki hususların bulunması gerekmektedir:
Meşru menfaat de dahil olmak üzere öngörülen işleme faaliyetleri ve işleme amaçlarına ilişkin sistematik bir açıklama,
İşleme faaliyetlerinin amaçlarla ilişkili olarak gerekliliği ve orantılılığına yönelik bir değerlendirme,
İlgili kişilerin hakları ve özgürlüklerine yönelik risklere ilişkin bir değerlendirme,
İlgili kişiler ve ilgili diğer kişilerin hakları ve meşru menfaatleri dikkate alınarak, kişisel verilerin korunmasının sağlanması ve kanuna uygun hareket edildiğinin gösterilmesiyle ilgili güvenceler, güvenlik tedbirleri ve mekanizmalar da dahil olmak üzere risklerin ele alınması hususunda öngörülen tedbirler.
İçinize su serpelim!
Veri koruma etki değerlendirmesi, Kurum tarafından tesis edilebilecek olası idari para cezalarından kaçınmak için önemli bir tedbir olsa da, analiz sonucunda veri işleme faaliyeti içeren süreçte yer alan tüm risklerin ortadan kaldırılmış olması beklenmemektedir. Ancak değerlendirmenin sonunda tüm mevcut risklerin belgelenmesi ve kalan risklerin de makul olup olmadığının incelenmesi gerekmektedir.
Sonuç
Daha önce de belirtmiş olduğumuz gibi, veri koruma etki değerlendirmesi Türk Hukukunda henüz bir yükümlülük olarak düzenlenmemiştir. Ancak Kişisel Verileri Koruma Kurumu ile karşı karşıya geldiğiniz herhangi bir noktada kendinizi savunmak için verimli bir yöntemdir. Ayrıca her sürecin yapı taşlarından olması gereken mahremiyeti sağlamak için de veri sorumlusu olarak sizi ve ilgili kişileri koruyacaktır!
Yazar: İlayda Birdal