Kişisel Verilerin Koruma Etki Değerlendirme

Bir firma ve kuruluşların personellerinin kişisel verilerini bünyelerinde bulundurmaları veya kullanması durumunda verisi işlenen kişiler bakımından büyük sorunlar  yaşanmaktadır. Bu riskler, kişisel verinin kaybolması  ve kötü niyetli  kişilere verilmesi, verinin kopyalanması iyi amaçla kullanılmaması; kişi verilerinin firma  tarafından bilinmeyen amaçlar doğrultusunda  kullanılabileceği şeklinde değişiklik göstermektedir. Veri koruma etki değerlendirme, kişisel verilerin işlenmesiyle gelecek riskleri belirlemek ve bu riskleri oluşumunun en erken ve en etkili şekilde minimum seviyeye indirmek için  tasarlanan bu süreci ifade eder. risk yönetimi ve  uyumluluk için  önemli bir araç ve ispattır..

GDPR kapsamında, VKED şartlarıyla uyumsuzluk sebebi yetkili kurumlar tarafından para cezaları uygulanmaktadır. Verilerin  işlenmesi VKED tabi olduğu durumunda VKED uygulamamaları , VKED’yi doğru olmayan  uygulama veya gerekli olduğu halde yetkili kurumlara başvurmama durumunda 10 bin dolar başlayan, söz konusu bir işletme ise bir önceki yıl Dünya cirosunun  yüzde 2’si kadar  hangi meblağ daha yüksek ise – idari para cezası gündeme gelebilir.

Veri Koruma Etki Değerlendirmeleri, veri sorumlularının GDPR’a uyum sağlaması ve uyumu ispat etmesi için önemli bir araçtır.

VKED’ler yalnızca GDPR’ye tabi olan  kuruluşlar için zorunlu haldedir ve her ne kadar bazı kaynaklar birebir  konsepte Gizlilik Etki Değerlendirmesi ile atıf yapıyor olsa da VKED’nin GDPR kapsamlarında belirli bir tetikleyicileri ve şartları vardır.

VKED Ne Zaman Gereklidir?

Veri işlemlerinin “gerçek kişi ve kişilerin  temel hakları ve özgürlükleri için büyük  risk doğurduğu” durumlarında, veri sorumlunun verinin işlenme öncesi VKED tatbik etmesi gerekmektedir. Bununla birlikte, veri işlemenin türü, kapsamı, içeriği, amacı ve yeni çıkan  teknolojilerin kullanılması göz önünde bulundurması önemlidir. Özellikle yeni teknolojilerin kullanıldığı durumlarda sonuçlar ve riskler anlaşılmamakta olabiliyor ve VKED tatbik edilme gerekliliği artmaktadır. 35. Madde yer alan , veri işlemenin “yüksek risklerle muhtemel olduğu” durumlara bazı örnekler vermekteyiz:

1. Profilleme de dahilleşme üzerine, gerçek kişilere ilişkin kişisel durumlar sistematik ve kapsamlı şekilde otomatik olarak işleme suretiyle değerlendirilme ve kararın gerçek kişileri ilgilendirdiği yasal sonuçlar veya benzer etkiler doğurmasıdır,
2. Özel nitelikli veriler veya hükümlü olanlar
3.  ve suç teşkil eden kişisel verilerin geniş kapsamlı işlenmesi,
4. Kamuya açık alanlarda yüksek ölçekte ve sistematik  şekilde takip edilme durumu.

Yukarıda belirtilen liste sınırlı değil ve Madde 29. Çalışma Grubu (ÇG29), yapısı gereği büyük  risk içerdiğinden VKED gerektiren daha somut bir işlem faaliyeti liste açıklamıştır:

• Değerlendirme veya puan: özellikle ilgili kişinin iş çalışma  performansı, ekonomik durumun , sağlığını, kişisel tercih veya ilgili alan, güvenilirliği veya davranışlarının söz konusu olan profilleme ve tahminleri içerir.

• Sistematik izlemeyi  Ağlar aracılığıyla toplanan veya kamuya açık alanlar sistematik izlenmesiyle elde edildiği veriler dahil olmak üzere, ilgili kişilerin gözlemlenmesini, izlemek veya kontrol amaçlı  kullanılan işleme.

• Hassas veri ve kişisel doğası yüksek olan veri: Özel nitelikli veri ile hükümlülük ve suç işlemeye ilişkin veriler içerir.

• Büyük kapsamlı veri işleme: ÇG29, geniş kapsamlı veri işlemenin tespiti özellikle şu faktörlerinin incelenmesini tavsiye etmektedir: Belirli bir sayı veya ilgili nüfusa sayı ,rakam olarak gösterilen ilgili kişi sayısı,  verinin hacmi veya işlenen veri kalemin yoğun çeşitliliği,  veri işlemenin sürecini veya kalıcılığı,  veri işlemenin coğrafi boyutları.

• Veri kümeleri eşlenmesi veya birleştirilmesi: Örneğin, farklı amaçlar veya farklı veri sorumlular tarafından, ilgili kişinin makul beklentilerini aşacak surette meydana geldiği iki ya da daha fazla veri işleme faaliyetleri.

• Korunmaya mecbur  olan kişilerin verileri: İlgili kişi ile veri sorumlusu arasında güç dengesizliği yüksek olması, yani kişilerin verilerinin işlenmesiyle ya da haklarını kullanmasıyla kolayca rıza ve onayı  gösterememesi veya muhalefet etmemesi sebebiyle bu tür veri işleme bir kriter olmuştur. Korunmaya ihtiyacı olan  ilgili kişiler; işçi sınıfı  veya toplumda özel olarak korunmaya ihtiyaç duyan daha hassas gruplar çocuklar  (örn. akıl hastalığı olan şahsi kişiler, mülteciler(sığınmacı), yaşlılar) olabilir.

• Yeni teknoloji veya kurumsal çözümleri inovatif tarzında  kullanımı veya uygulanması, örn. gelişmiş fiziki erişim kontrolleri için pdks sistemleri  parmak izi  ve yüz tanımlamanın birleştirilerek kullanması.

• Veri işlemenin; ilgili kişilerin yasa haklarını kullanmaları, hizmet veya hazırlanan sözleşmeden yararlanmalarını bizzat engellediği durumlar.

Veri sorumlusu, genelde  iki kriteri sağlayan bir veri işlemenin VKED tabi olabilir. Cg29; genellikle veri sorumlusu almayı planladıkları veya önlemlerine bakılmaksızın, veri işleme ne kadar yüksek kriteri sağlarsa ilgili kişiler hak ve özgürlüklerini o kadar risk altına gireceğini, dolayısıyla işlemlerin VKED’ye tabi olma olasılığınını da o kadar büyük  olacağı görüşündedirler.

Bununla beraber, veri sorumlusunu, bazı durumlarda sadece tek kriteri sağlayan veri işlemesinin VKED  tabi olduğunu değerlendirebilir. ÇG29, VKED  gerekli olup olmadığını muğlak olduğu durumlarda VKED uygulamasını tavsiye etmektedir. VKED, veri sorumlularını GDPR’a uyum sağlayabilmesini ve uyumunu ispat edebilmesi için mühim bir araçtır.

Diğer taraftan; veri sorumlusu, veri işlemesinde  yüksek riskler doğuran durum yaratmayacağını da düşünebilirler. Böyle bir aksiyonda , veri sorumlusunun VKED uygulamama isteklerini gerekçelendirmesi, belgelemesi ve veri koruma görevlisinin görüş veya kayıt göstermesi gereklidir.

Kaynak: https://gdpr-info.eu/

İçerik Üreticisi: Alp AYDIN