ÖZET
Değişen ve gelişen teknolojiler ile şirketler için küresel ve yerel ekosistemde mevcut pozisyonlarını korumak gitgide güçleşmekte ve iş süreçlerinin dijital dünyaya entegre edilmesi zorunluluk hâline gelmektedir. Söz konusu dijital dönüşüm sürecinde, şirketlerin büyüme stratejilerini daha gerçekçi ve etkin bir şekilde oluşturabilmeleri adına, kişisel verileri işlenen ilgili kişilerin hak ve özgürlüklerine karşı doğması muhtemel riskler başta olmak üzere, şirketlerin karşılaşabileceği risklerin tespit edilmesi ve bunlara karşı gerekli tedbirlerin alınması kritik bir öneme sahiptir. Bu noktada, Avrupa Birliği Genel Veri Koruma Tüzüğü kapsamında bir uyum enstrümanı olarak düzenlenen 'veri koruma etki değerlendirmesi', veri temelli mahremiyet ilkesi uyarınca veri gizliliği ile veri koruma risklerinin yeterli ve uygun şekilde değerlendirildiğine ilişkin güvence sağlamayı amaçlamakta ve şirketlerin idari karar alma süreçlerinde yol gösterici olmaktadır. Veri koruma etki değerlendirmesi kavramı, 6698 sayılı Kişisel Verilerin Korunması Kanunu ve ilgili ikincil mevzuat düzenlemeleri kapsamında henüz açıkça düzenlenmemiş olmakla birlikte, kişisel verilerin korunmasına ilişkin mevzuat düzenlemelerinin Avrupa Birliği standartlarına uygun hâle getirilmesi hedefi göz önünde bulundurulduğunda, 'veri koruma etki değerlendirmesi' aracının oldukça yakın bir gelecekte Türk veri koruma hukukuna tabi kişiler tarafından da gündeme alınması gereken mühim bir uyum adımı hâline geleceği öngörülmektedir.
Anahtar Kelimeler: Kişisel Veri, GDPR, DPIA, LIA, PIA, Denge Testi.
GİRİŞ
Riskli veri işleme faaliyetlerinde veri gizliliği ile veri koruma risklerinin veri sorumluları tarafından yeterli ve uygun şekilde değerlendirildiğine ilişkin güvence sağlamayı amaçlayan veri koruma etki değerlendirmesi (data protection impact assessment) ("DPIA") kavramına yer verilen ilk yasal düzenleme 25 Mayıs 2018 tarihinde yürürlüğe giren 2016/679 sayılı Avrupa Birliği Genel Veri Koruma Tüzüğü'dür1 ("GDPR"). Bununla birlikte, 2007 yılında İngiltere Veri Koruma Otoritesi tarafından yayımlanan rehber2 vetakip eden yıllarda ise bazı teknolojilerin kullanılması bakımından Avrupa Birliği'nde ("AB") yapılan çalışmalar ile çerçevesi çizilen mahremiyet etki değerlendirmesi (privacy impact assessment) ("PIA"), DPIA öncesi dönemde de DPIA'ya benzer ve ona esas teşkil eden bir metodoloji olarak uygulamada yerini almıştır.3 Öte yandan, GDPR'nin yürürlüğe girmesi ile birlikte ise, DPIA zorunlu bir uygulama hâline gelmiştir.
İşbu makale kapsamında (i) DPIA'nın tanımına, (ii) hangi veri işleme faaliyetlerinin DPIA yapılması şartına tabi olduğuna ve bu bakımdan göz önünde bulundurulması gereken kriterlere, (iii) hangi veri işleme faaliyetlerinin DPIA yapılması şartına tabi olmadığına, (iv) DPIA süreçlerinin nasıl ele alınması gerektiğine ve bu kapsamda dikkat edilmesi gereken hususlara ve (v) söz konusu değerlendirme süreçlerinin Türk hukukundaki mevcut durumuna yer verilmiştir.
Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsaminda Veri Koruma Etki Değerlendirmesi
Footnotes
1 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the Protection of Natural Persons with Regard to the Processing of Personal Data and on the free movement of such data, and repealing directive 95/46/EC (General Data Protection Regulation) ("GDPR"), OJ 2016 L 119/1, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
2 Information Commissioner's Office, Privacy Impact Assessment and Risk Management, Son Erişim Tarihi: 17 Haziran 2022, https://ico.org.uk/media/1042196/trilateral-full-report.pdf
3 Kloza, D, Van Dijk, N, Gellert, R , Böröcz, I, Tanas A, Mantovani E, Quinn P., Data protection impact assessments in the European Union: complementing the new legal framework towards a more robust protection of individuals, d.pia.lab PolicyBrief No.1/2017, 2017, Son Erişim Tarihi: 17 Haziran 2022, ISSN2565–9936 https://www.researchgate.net/publication/324107616_Data_protection_impact_assessments_in_the_European_Union_complement
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.