14 Nisan 2016 yılında Avrupa Parlamentosu tarafından kabul edilen ve 2 yıllık bir geçiş ve uyum sürecinin tamamlanmasını müteakip 25 Mayıs 2018 tarihinde yürürlüğe girmesi kararlaştırılan Genel Veri Koruma Yönetmeliği (General Data Protection Regulation 2016/679) ("GDPR") Avrupa Birliği (''AB'') kapsamında bireylerin verilerinin korunması ve gizliliği konularını düzenlemektedir.

Selefi olan 1995 tarihli Avrupa Birliği Veri Koruma Direktifi'nin ("Directive 95/46/EC") aksine kapsadığı alan çerçevesinde devletlerin herhangi bir iç düzenleme yapmasına gerek olmaksızın emredici olarak düzenlemeye giren GDPR bu kapsamda veri işleme faaliyetinin niteliklerini göz önünde bulundurarak bazı veri sorumlularının verilerin işlenmesi faaliyeti öncesinde gerçekleştirilmesi gereken ve işleme faaliyetinin risklerini analiz eden veri koruma etki değerlendirmesi yapılması zorunluluğu öngörmektedir.

Yapılacak olan bu değerlendirmenin sonucunda ise belirli risk grubuna giren veri sorumlularının ilave yükümlülüklere tabi olması öngörülmektedir.

Veri Koruma Etki Değerlendirmesi Yükümlülüğü (Data Protection Impact Assessment)

Özellikle yeni teknolojilerin kullanıldığı ve işlenmenin doğası, kapsamı, bağlamı ve amaçları dikkate alındığında işlemenin gerçek kişilerin hak ve özgürlükleri için yüksek bir riskle sonuçlanmasının muhtemel olması durumunda, veri sorumlusu, verilerin işlenmesinden önce veri koruma etki değerlendirmesi gerçekleştirmekle yükümlü tutulmaktadır.

Veri koruma etki değerlendirmesi, öngörülen işlemenin kişisel verilerin korunması üzerindeki etkisinin bir değerlendirmesi olarak gerçekleştirilmektedir.

Yönetmelik şu hallerde veri koruma etki değerlendirmesinin özellikle yapılması gerektiğini vurgulamaktadır:

  • Gerçek kişilerle ilgili hukuki etki yaratan ya da benzer şekilde doğal kişiyi önemli ölçüde etkileyen, karar verme sürecine dayanan ve profilleme de dahil olmak üzere, otomatik işlemeye dayanan gerçek kişilerle ilgili kişisel hususların sistematik ve kapsamlı bir değerlendirmesi; veya
  • Özel nitelikteki kişisel verilerin veya mahkûmiyet ve suçlamalarla ilgili kişisel verilerin işlenmesi; veya
  • Kamuya açık olan bir alanın büyük ölçekte ve sistematik olarak izlenmesi.

GDPR'ye göre değerlendirme aşağıdaki hususları içermek zorundadır;

a) Öngörülen işlemenin sistematik bir tanımı ve denetleyici tarafından izlenen meşru çıkar dahil olmak üzere işlemenin amaçları;

b) Veri işleme operasyonlarının gerekliliği ve amaçlarla bağlantılı olarak gerekliliği ve orantılılığının değerlendirilmesi;

c) Veri ilgililerinin hak ve özgürlüklerine yönelik risklerin değerlendirilmesi;

d)  Kişisel verilerin korunmasını sağlamak için öngörülmüş olan muhafaza ve güvenlik önlemleri ve diğer mekanizmalar dahil olmak üzere risklerin engellenmesi için öngörülen önlemlerin veri ilgililerinin ve ilgili diğer kişilerin hakları ve meşru çıkarları dikkate alınarak bu Yönetmelikle uyumluluğunun incelenmesi;

Önceden İstişare (Prior Consultation)

GDPR'nin 36.madde si tarafından veri koruma etki değerlendirmesinin sonucundan, veri işleyicisinin verileri işlemesi sonucu ortaya yüksek yoğunlukta risklerin çıkabileceği anlaşılmaktaysa veri sorumlusunun veri işlemeden önce Denetim Otoritesine danışması gerektiğini düzenlemektedir.

Denetim otoritesi, önceden istişare yükümlülüğü çerçevesinde yapılan başvuru sonucu söz konusu veri işleme faaliyetinin Yönetmeliği ihlal edeceğini düşünmekteyse, özellikle veri sorumlusunun riski yeterince tanımlanmadığı veya azaltmadığı durumlarda Yönetmelik kapsamında belirtilen yetkilerini kullanabilmektedir

Veri Koruma Görevlisi Atama Yükümlülüğü (Designation of the Data Protection Officer)

GDPR uyarınca veri sorumlusu veya veri işleyicisinin aşağıdaki koşulların sağlanması halinde bir veri koruma görevlisi atanması gerekmektedir:

  • Veri işleme süreci, yargı organlarının yargıya ilişkin görev sınırları içerisinde kalan faaliyetleri hariç olmak üzere herhangi bir kamu otoritesi veya kamu kuruluşu tarafından gerçekleştiriliyor olması halinde,
  • Veri sorumlusunun veya veri işleyicisinin gerçekleştirmiş olduğu temel faaliyetlerinin doğası gereği, kapsamı ve/veya amacı gereği veri ilgililerinin büyük ölçekte, düzenli ve sistematik şekilde izlenmesini gerektiren veri işleme faaliyetlerini ihtiva etmesi halinde,
  • Veri sorumlusu veya veri işleyicisinin gerçekleştirmiş olduğu temel faaliyetlerinin 9.madde de belirtilen özel nitelikteki verilerin büyük ölçekte işlenmesi veya yönetmeliğin Veri sorumlusu veya veri işleyicisinin gerçekleştirmiş olduğu temel faaliyetlerinin 9.maddede belirtilen özel nitelikteki verilerin büyük ölçekte işlenmesi veya yönetmeliğin 10.madde sinde belirtilen cezai mahkûmiyet verilerinin işlenmesi halinde

Veri koruma görevlisi ilgili kuruluşun kadrolu çalışanı olabileceği gibi sözleşmeli personel biçiminde de çalışması mümkündür.

GDPR veri koruma görevlisinin hizmet satın alınması yolunun veya bir grup teşebbüsün bir tane veri koruma memuru ataması yönteminin izlenebileceğini belirtmektedir. Bu kolaylıktan faydalanabilmek için her bir kuruluşun veri koruma memuruna kolaylıkla ulaşabilir olması gerekmektedir.

Veri sorumlusu veya veri işleyicisinin bir veri koruma memuru çalıştırıyor olması halinde, veri koruma memurunun iletişim bilgilerinin yayınlanması ve Denetim Otoritesine ("Supervisory Authority") bildirilmesi gerekmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.