Avrupa Birliği Genel Veri Koruma Tüzüğünde (GDPR) 35. maddesi kapsamında öngörülen veri koruma etki değerledirmesi; kişisel verilerin gizliliğini etkileme ve ihlal etme potansiyeline sahip olan fiziksel etmenler ve bilişim sistemlerinin uygulama esnasında ve uygulamadan sonraki süreçte; verinin gizliliği açısından kontrol edilmesine yönelik denetim mekanizması vazifesi görmektedir. Bu tür risk analizleri; gelişmiş ülkeler başta olmak üzere dünya genelinde giderek yaygınlaşmaktadır.
Bu kapsamda öncü ülke konumunda olan Kanada; kamu kurumlarının kişisel veri işledikleri bilişim sistemlerinde, gizlilik etki değerlendirmesini zorunlu kılmıştır. Gelişmiş ülkeler, bireylerin verilerini koruma altına almak amacıyla; bilişim sistemelerinin geliştirilmesi, güncellenmesi ve bu kapsamda politika ve prosedür belirlenme sürecini, gizlilik risklerini saptamak ve ihtiyaç duyulan önlemleri almak adına yasalarla çizmiştir.
Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment)
Veri koruma etki değerlendirmesi; genel itibariyle kişisel veri güvenliği üzerinde etkileri olacak fiziksel ve dijital gelişmeleri, yeni uygulama ve sistem güncellemeleri ve politika ve prosedürlerin belirlenmesi gibi süreçleri incelemek, riskleri belirlemek ve olası sızıntılara engel olmak amacıyla önleyici yolları belirlenmesi sürecidir.
Risk etki değerlendirme yöntemleri pek çok alanda kullanılmaktadır. Örnek vermek gerekirse; bir baraj yapımında çevresel etki değerlendirmesi yapılmakta, iklime olabilecek etkilerinden tutun hayvan habitatı üzerindeki potansiyel etkiler; artıları ve eksileriyle gözler önüne serilmektedir.
Veri koruma etki değerlendirmesi ABD’de 2002 yılında kabul edilen e-Devlet kanununda verilerin işlenmesi, saklanması ve paylaşılmasındaki gizlilik risklerini belirlemek; olası gizlilik risklerini azaltmak için gerekli güvenlik tedbirleri ve alternatif süreçleri incelemek ve değerlendirmek amacıyla gerçekleştirilen bir analiz olarak tanımlanmıştır. Daha kapsayıcı bir tanım ise şu şekildedir:
Bilişim uygulamalarının gizlilik boyutunu gözeten ilk genel düzenleme, OECD tarafından 1980 yılında kabul edilen “Adil bilişim uygulamaları” ilkesel çerçevesidir. Bu çerçeve düzenlemenin genel ilkeleri gerek 6698 sayılı Kişisel Verileri Koruma Kanununa gerekse de GDPR başta olmak üzere uluslararası kişisel veri güvenliği kanunlarına kaynak olmuş durumdadır.
- Verinin sınırlılığı: işlemin tamamlanması için gerekli veriden fazlasının işlenmemesi, verilerin hukuki amaçla uygun şekilde toplanması ve bireyin rızasının alınmış ya da aydınlatma yükümlülüğünün yerine getirilmiş olması
- Veri kalitesi: işlenen kişisel verilerin tam, eksiksiz ve güncel olması.
- Amaç kısıtlaması: kişisel verilerin sadece belirtilen amaca uygun olarak işlenmesi
- Kullanım kısıtlanması: kişisel verilerin, işlenme amacı dışında kullanılmaması, bireyin rızası ve hukuki otoriteye dayanmadan açıklanmaması.
- Güvenlik: kişisel verilerin izinsiz erişim, kayıp, silinme ve tahribata karşı yeterli güvenlik tedbileriyle korunması.
- Şeffaflık: veri işleme yöntemlerinin gizli olmaması. Veri işleme araçlarının açık ve bilinir olması; kişilerin veritabanları ve sorumlular hakkında bilgilendirilmesi.
- Bireysel katılım: bireylerin kendileri hakkındaki işlenen ve kayıt altında tutulan verilere ulaşma hakkına sahip olması. Bireylerin verilerin bir kopyasını alma, gerekli gördüğü takdirde itirazda bulunma, gerekli durumlarda verilerin silinmesi, düzeltilmesi ve tamamlanmasını ya da verilerin kendilerine ait olup olmadığını onaylama,
- Sorumluluk: Veri toplayan kişilerin sayılan ilkelere uymasını sağlayacak yasal yaptırımların olması.
Veri koruma etki değerlendirmesi bilişim sistemleri, yeni teknolojiler, sistem yükseltmeleri, henüz kullanıma girmemiş teknolojilerin gizlilik etkileri bakımından incelenmesi sürecidir. Bu sayede uygulanması ve satın alınması söz konusu olan bilişim sistemlerinin, güncellemelerin ve çeşitli uygulamaların problemlerinden sakınarak, olası sorunları engellemek için gereken çözümler tespit edilebilmektedir.
Veri koruma etki değerlendirmesinin henüz sistem ve uygulamalar kurulmadan, kuruluş ve oluşturma aşamalarında gözetilmesi bu sistemlerin olası veri kayıplarına uğramalarını engellemektedir. Veri koruma etki değerlendirmesi 6698 sayılı KVKK’da öngörülmüş olan veri güvenliğine ilişkin politika ve prosedür belirlenmesi sürecinde de uygulanması gerekmektedir. çünkü yanlış belirlenecek olan politika ve prosedürün ciddi veri kayıplarına yol açması kaçınılmazdır. Dolayısıyla bu çalışma; kurulacak bilişim sistemleri, çeşitli uygulamalar ya da belirlenecek olan politika ve prosedürlerden kaynaklanabilecek veri kayıplarını asgari düzeye çekerek potansiyel kişisel veri ihlallerine engel olmayı amaçlamaktadır. Bu şekilde telafisi zor olan kişisel veri kayıpları ortaya çıkmadan engellenebilecektir.
Veri koruma etki değerlendirmesi; bilişim sistemleri ve politika ve prosedürlerin veri güvenliği mevzuatına uygunluğu denetiminin yanı sıra, potansiyel risklerin belirlenerek yasal denetimin ötesinde, karar alıcılara politika ve prosedürler dahil olmak üzere bilişim sistemleri hakkında genel ve tam bilgi sağlamaktadır.
Veri koruma etki değerlendirmesi süreci kurumdan kuruma göre farklılıklar gösterse de şu beş aşamadan oluşmaktadır:
- Projenin tanımlanması: projenin amaçları ve kişisel verilerin işlenip işlenmeyeceğin de kapsayan genel bir değerlendirme;
- Enformasyon akışının ve gizlilik çerçevesinin belirlenmesi:
- Projede kişisel veri akış şemasının ve ilgili tüm yasal ve kurumsal mevzuatın tespit edilmesi;
- Veri Koruma Etki değerlendirmesi: Projenin gizlilik etkilerinin belirlenmesi ve analizi;
- Gizlilik yönetimi: Gizlilik etkilerinin nasıl yönetileceği ve gizlilik korunurken projenin amaçlarının da gerçekleştirilmesini sağlayacak alternatiflerin belirlenmesi;
- Tavsiyeler: Yukarıdaki aşamaları ve tavsiyeleri de içeren nihai Gizlilik Etki Değerlendirmesi raporunun hazırlanması
KAYNAKÇA
M. Tataroğlu / Mahremiyet Sorunlarının Önlenmesinde Mahremiyet Etki Değerlendirmesi(MED), 2013
