Kişisel Verilerin Koruma Etki Değerlendirme
Bir firma ve kuruluşların personellerinin kişisel verilerini bünyelerinde bulundurmaları veya kullanması durumunda verisi işlenen kişiler bakımından büyük sorunlar yaşanmaktadır. Bu riskler, kişisel verinin kaybolması ve kötü niyetli kişilere verilmesi, verinin kopyalanması iyi amaçla kullanılmaması; kişi verilerinin firma tarafından bilinmeyen amaçlar doğrultusunda kullanılabileceği şeklinde değişiklik göstermektedir. Veri koruma etki değerlendirme, kişisel verilerin işlenmesiyle gelecek riskleri belirlemek ve bu riskleri oluşumunun en erken ve en etkili şekilde minimum seviyeye indirmek için tasarlanan bu süreci ifade eder. risk yönetimi ve uyumluluk için önemli bir araç ve ispattır..
GDPR kapsamında, VKED şartlarıyla uyumsuzluk sebebi yetkili kurumlar tarafından para cezaları uygulanmaktadır. Verilerin işlenmesi VKED tabi olduğu durumunda VKED uygulamamaları , VKED’yi doğru olmayan uygulama veya gerekli olduğu halde yetkili kurumlara başvurmama durumunda 10 bin dolar başlayan, söz konusu bir işletme ise bir önceki yıl Dünya cirosunun yüzde 2’si kadar hangi meblağ daha yüksek ise – idari para cezası gündeme gelebilir.
Veri Koruma Etki Değerlendirmeleri, veri sorumlularının GDPR’a uyum sağlaması ve uyumu ispat etmesi için önemli bir araçtır.
VKED’ler yalnızca GDPR’ye tabi olan kuruluşlar için zorunlu haldedir ve her ne kadar bazı kaynaklar birebir konsepte Gizlilik Etki Değerlendirmesi ile atıf yapıyor olsa da VKED’nin GDPR kapsamlarında belirli bir tetikleyicileri ve şartları vardır.
VKED Ne Zaman Gereklidir?
Veri işlemlerinin “gerçek kişi ve kişilerin temel hakları ve özgürlükleri için büyük risk doğurduğu” durumlarında, veri sorumlunun verinin işlenme öncesi VKED tatbik etmesi gerekmektedir. Bununla birlikte, veri işlemenin türü, kapsamı, içeriği, amacı ve yeni çıkan teknolojilerin kullanılması göz önünde bulundurması önemlidir. Özellikle yeni teknolojilerin kullanıldığı durumlarda sonuçlar ve riskler anlaşılmamakta olabiliyor ve VKED tatbik edilme gerekliliği artmaktadır. 35. Madde yer alan , veri işlemenin “yüksek risklerle muhtemel olduğu” durumlara bazı örnekler vermekteyiz:
- Profilleme de dahilleşme üzerine, gerçek kişilere ilişkin kişisel durumlar sistematik ve kapsamlı şekilde otomatik olarak işleme suretiyle değerlendirilme ve kararın gerçek kişileri ilgilendirdiği yasal sonuçlar veya benzer etkiler doğurmasıdır,
- Özel nitelikli veriler veya hükümlü olanlar
- ve suç teşkil eden kişisel verilerin geniş kapsamlı işlenmesi,
- Kamuya açık alanlarda yüksek ölçekte ve sistematik şekilde takip edilme durumu.
Yukarıda belirtilen liste sınırlı değil ve Madde 29. Çalışma Grubu (ÇG29), yapısı gereği büyük risk içerdiğinden VKED gerektiren daha somut bir işlem faaliyeti liste açıklamıştır:
- Değerlendirme veya puan: özellikle ilgili kişinin iş çalışma performansı, ekonomik durumun , sağlığını, kişisel tercih veya ilgili alan, güvenilirliği veya davranışlarının söz konusu olan profilleme ve tahminleri içerir.
- Sistematik izlemeyi Ağlar aracılığıyla toplanan veya kamuya açık alanlar sistematik izlenmesiyle elde edildiği veriler dahil olmak üzere, ilgili kişilerin gözlemlenmesini, izlemek veya kontrol amaçlı kullanılan işleme.
- Hassas veri ve kişisel doğası yüksek olan veri: Özel nitelikli veri ile hükümlülük ve suç işlemeye ilişkin veriler içerir.
- Büyük kapsamlı veri işleme: ÇG29, geniş kapsamlı veri işlemenin tespiti özellikle şu faktörlerinin incelenmesini tavsiye etmektedir: Belirli bir sayı veya ilgili nüfusa sayı ,rakam olarak gösterilen ilgili kişi sayısı, verinin hacmi veya işlenen veri kalemin yoğun çeşitliliği, veri işlemenin sürecini veya kalıcılığı, veri işlemenin coğrafi boyutları.
- Veri kümeleri eşlenmesi veya birleştirilmesi: Örneğin, farklı amaçlar veya farklı veri sorumlular tarafından, ilgili kişinin makul beklentilerini aşacak surette meydana geldiği iki ya da daha fazla veri işleme faaliyetleri.
- Korunmaya mecbur olan kişilerin verileri: İlgili kişi ile veri sorumlusu arasında güç dengesizliği yüksek olması, yani kişilerin verilerinin işlenmesiyle ya da haklarını kullanmasıyla kolayca rıza ve onayı gösterememesi veya muhalefet etmemesi sebebiyle bu tür veri işleme bir kriter olmuştur. Korunmaya ihtiyacı olan ilgili kişiler; işçi sınıfı veya toplumda özel olarak korunmaya ihtiyaç duyan daha hassas gruplar çocuklar (örn. akıl hastalığı olan şahsi kişiler, mülteciler(sığınmacı), yaşlılar) olabilir.
- Yeni teknoloji veya kurumsal çözümleri inovatif tarzında kullanımı veya uygulanması, örn. gelişmiş fiziki erişim kontrolleri için pdks sistemleri parmak izi ve yüz tanımlamanın birleştirilerek kullanması.
- Veri işlemenin; ilgili kişilerin yasa haklarını kullanmaları, hizmet veya hazırlanan sözleşmeden yararlanmalarını bizzat engellediği durumlar.
Veri sorumlusu, genelde iki kriteri sağlayan bir veri işlemenin VKED tabi olabilir. Cg29; genellikle veri sorumlusu almayı planladıkları veya önlemlerine bakılmaksızın, veri işleme ne kadar yüksek kriteri sağlarsa ilgili kişiler hak ve özgürlüklerini o kadar risk altına gireceğini, dolayısıyla işlemlerin VKED’ye tabi olma olasılığınını da o kadar büyük olacağı görüşündedirler.
Bununla beraber, veri sorumlusunu, bazı durumlarda sadece tek kriteri sağlayan veri işlemesinin VKED tabi olduğunu değerlendirebilir. ÇG29, VKED gerekli olup olmadığını muğlak olduğu durumlarda VKED uygulamasını tavsiye etmektedir. VKED, veri sorumlularını GDPR’a uyum sağlayabilmesini ve uyumunu ispat edebilmesi için mühim bir araçtır.
Diğer taraftan; veri sorumlusu, veri işlemesinde yüksek riskler doğuran durum yaratmayacağını da düşünebilirler. Böyle bir aksiyonda , veri sorumlusunun VKED uygulamama isteklerini gerekçelendirmesi, belgelemesi ve veri koruma görevlisinin görüş veya kayıt göstermesi gereklidir.
Kaynak: https://gdpr-info.eu/
İçerik Üreticisi: Alp AYDIN