Bir kuruluşun kişisel veri toplaması, depolaması veya kullanması durumunda verisi işlenen kişiler bakımından riskler doğmaktadır. Bu riskler, kişisel verinin çalınması veya yanlışlıkla açıklanması ve suçlularca kişiyi taklit etme amacıyla kullanılması; kişilerin, verilerinin kuruluş tarafından bilinmeyen amaçlar için kullanılabileceği sebebiyle endişelenmeleri şeklinde değişiklik göstermektedir. Veri Koruma Etki Değerlendirmeleri ("VKED"), kişisel verilerin işlenmesi sebebiyle doğabilecek riskleri belirlemek ve bu riskleri olabilecek en erken ve en etkili şekilde minimize etmek için tasarlanan süreci ifade eder. VKED risk yönetimi ve GDPR ile uyumluluğun ispatı için önemli bir araçtır.
GDPR kapsamında, VKED şartlarına uyumsuzluk sebebiyle yetkili merciler tarafından para cezaları verilebilmektedir. Veri işlemenin VKED’ye tabi olduğu durumlarda VKED uygulamama, VKED’yi yanlış uygulama veya gerekli olduğu halde yetkili merciye başvurmama durumunda 10 bin Euro’ya kadar, söz konusu bir işletme ise bir önceki yıl Dünya cirosunun yüzde 2’sine kadar – hangi meblağ daha yüksek ise – idari para cezası gündeme gelebilir.
Veri Koruma Etki Değerlendirmeleri, veri sorumlularının GDPR’a uyum sağlayabilmesi ve uyumu ispat edebilmesi için önemli bir araçtır.
VKED’ler yalnızca GDPR’ye tabi kuruluşlar için zorunludur ve her ne kadar bazı kaynaklar aynı konsepte Gizlilik Etki Değerlendirmesi ile atıf yapıyor olsa da VKED’nin GDPR kapsamında belirli tetikleyicileri ve şartları mevcuttur.
VKED Ne Zaman Gereklidir?
Veri işlemenin “gerçek kişilerin temel hak ve özgürlükleri için yüksek risk doğurduğu” durumlarda, veri sorumlusunun veri işlenmesinden önce VKED tatbik etmesi gerekmektedir. Bununla birlikte, veri işlemenin türü, kapsamı, içeriği, amacı ve yeni teknolojilerin kullanımı göz önünde bulundurulmalıdır. Özellikle yeni teknolojilerin kullanıldığı durumlarda sonuçlar ve riskler daha az anlaşılmakta ve VKED tatbik edilme gerekliliği artabilmektedir. 35. madde, veri işlemenin “yüksek risk doğurmasının muhtemel olduğu” durumlara bazı örnekler vermektedir:
Profilleme de dahil olmak üzere, gerçek kişilere ilişkin kişisel durumların sistematik ve kapsamlı şekilde otomatik olarak işleme suretiyle değerlendirilmesi ve kararların gerçek kişileri ilgilendiren yasal sonuçlar veya benzeri etkiler doğurması,
Özel nitelikli verilerin veya hükümlülük ve suç işlemeye ilişkin kişisel verilerin geniş kapsamlı işlenmesi,
Kamuya açık alanların büyük ölçekte ve sistematik bir şekilde takip edilmesi.
Yukarıda belirtilen liste sınırlı değildir ve Madde 29 Çalışma Grubu (ÇG29), doğası gereği yüksek risk içerdiğinden VKED gerektiren daha somut bir işleme faaliyeti listesi açıklamıştır:
Değerleme veya puanlama: özellikle ilgili kişinin iş performansını, ekonomik durumunu, sağlığını, kişisel tercih veya ilgi alanlarını, güvenilirliği veya davranışlarının söz konusu olduğu profilleme ve tahminleri içerir.
Hukuki ve benzer etki meydana getiren otomatik karar alma: “gerçek kişiyi ilgilendiren hukuki etkiler” veya “gerçek kişiyi benzer düzeyde etkileyen sonuçlar” üreten karar almayı amaçlayan işleme.
Sistematik izleme: Ağlar aracılığıyla toplanan veya kamuya açık alanların sistematik izlenmesiyle elde edilen veriler dahil olmak üzere, ilgili kişileri gözlemlemek, izlemek veya kontrol etmek için kullanılan işleme.
Hassas veri veya kişisel doğası yüksek olan veri: Özel nitelikli veriler ile hükümlülük ve suç işlemeye ilişkin verileri içerir.
Geniş kapsamlı veri işleme: ÇG29, geniş kapsamlı veri işlemenin tespitinde özellikle şu faktörlerin incelenmesini tavsiye etmektedir: (1) belirli bir sayı veya ilgili nüfusa oran olarak gösterilen ilgili kişi sayısı, (2) verinin hacmi ve/veya işlenen veri kalemlerinin çeşitliliği, (3) veri işlemenin süresi veya kalıcılığı, (4) veri işlemenin coğrafi boyutu.
Veri kümelerinin eşlenmesi veya birleştirilmesi: Örneğin, farklı amaçlarla veya farklı veri sorumluları tarafından, ilgili kişinin makul beklentisini aşacak surette meydana gelen iki ya da daha fazla veri işleme faaliyeti.
Korunmaya muhtaç kişilerin verileri: İlgili kişi ile veri sorumlusu arasındaki güç dengesizliğinin fazla olması, yani kişilerin verilerinin işlenmesine ya da haklarını kullanmalarına kolayca rıza gösterememesi veya muhalefet edememesi sebebiyle bu tip veri işleme bir kriterdir. Korunmaya muhtaç ilgili kişiler; çocuklar, işçiler veya toplumda özel olarak korunmaya ihtiyaç duyan daha hassas gruplar (örneğin akıl hastalığı olan kişiler, sığınmacılar, yaşlılar) olabilir.
Yeni teknolojik veya kurumsal çözümlerin inovatif kullanımı veya uygulanması, örneğin gelişmiş fiziki erişim kontrolü için parmak izi ve yüz tanımanın birleştirilerek kullanılması.
Veri işlemenin; ilgili kişilerin haklarını kullanmalarını, hizmet veya sözleşmeden yararlanmalarını bizzat engellediği durumlar.
Veri sorumlusu, çoğu zaman iki kriteri sağlayan bir veri işlemenin VKED’ye tabi olduğunu düşünebilir. ÇG29; genellikle veri sorumlusunun almayı planladığı önlemlere bakılmaksızın, veri işleme ne kadar fazla kriteri sağlarsa ilgili kişilerin hak ve özgürlüklerinin o kadar risk altına gireceği, dolayısıyla işlemin VKED’ye tabi olma olasılığının da o kadar yüksek olacağı görüşündedir.
Bununla birlikte, veri sorumlusu, bazı durumlarda sadece bir kriteri sağlayan veri işlemenin VKED’ye tabi olduğunu düşünebilir. ÇG29, VKED’nin gerekli olup olmadığının muğlak olduğu durumlarda VKED uygulanmasını önermektedir. VKED, veri sorumlularının GDPR’a uyum sağlayabilmesi ve uyumu ispat edebilmesi için önemli bir araçtır.
Diğer taraftan; veri sorumlusu, veri işleme faaliyetinin “yüksek risk doğuran bir durum” yaratmayacağını da düşünebilir. Böyle bir durumda, veri sorumlusunun VKED uygulamama sebeplerini gerekçelendirmesi, belgelemesi ve veri koruma görevlisinin görüş veya kayıtlarını göstermesi gerekmektedir.
Ek olarak, sorumluluk ilkesi sebebiyle, her veri sorumlusunun veri işlemedeki amacını, veri kategorilerinin tanımını, verilerin paylaşıldığı kişileri, mümkün olduğu ölçüde “Madde 32(11)’de belirtilen teknik ve idari güvenlik önlemlerinin tanımlanmasını” ve bunlarla sınırlı olmamakla birlikte diğer “sorumluluğu altındaki veri işleme faaliyetlerini kayıt altına alması” [Madde 30(1)] ve sonradan VKED uygulamamaya karar verse bile, yüksek risk doğurma olasılığını değerlendirmesi gerekmektedir.