KVKK’na uyum çalışmaları içerisinde en çok önemsediğim ve şirketleri olası cezalardan koruyacak olan “Gizlilik Etki Değerlendirmesi”, Genel Veri Koruma Yönetmeliği’nde de 35.maddede yerini almıştır. Gizlilik Etki Değerlendirmesi (PIA) veya Veri Koruma Etki Değerlendirmesi (DPIA), veri kontrolörüne ya da veri sorumlusuna gerek veri işlemeye başlamadan önce gerekse veri işleme faaliyetinin herhangi bir aşamasında sistemde etkili bir operasyon yaparak sistemin güvenlik açığı olup olmadığını tespit ederek, bunu raporlama imkanı vermektedir. Şirketin veri sorumlusu, şirketin dışından bir hizmet sağlayıcı ile anlaşarak da bu gizlilik kontrolünü yapabilir ve sistemin açıklarının raporlanmasını isteyebilir.
Gizlilik etki değerlendirmesi yapılabilmesi GDPR m.35/3’de sınırlanmış ve belli durumlar için yapılması tavsiye edilmiştir. Bu durumlara göz attığımızda;
- Puanlama, profil oluşturma,
- Kişilerin temel hak ve hürriyetlerinin ciddi zarar göreceği durumlar söz konusu ise,
- Kişilerin otomatik karar süreçlerine tabi olduğu alanlar söz konusu ise,
- Özel nitelikte kişisel verilerin işlenmesi,
- Çeşitli süreçlerde işlenen verilerin birleştirilmesi,
- Biyometrik verilerin kullanım süreçleri,
- Genetik verileri işlemek,
- Çocuklarla ilgili profilleme yapmak ya da pazarlama faaliyeti oluşturmak (çevrimiçi hizmet oluşturmak)
- AB ve Avrupa Ekonomik Topluluğu etki alanı dışında ülkelere veri aktarımı söz konusu ise…
Yüksek risk söz konusudur ve gizlilik etki değerlendirmesi bu durumda yapılmalı ve bazı durumlarda da kaçınılamaz bir işleme faaliyeti olduğunda Kişisel Verilerin Korunması Kurumu’na bilgi verilmeli, görüş istenmelidir. Kişisel Verilerin Korunması Kurumu’nun bu durumlarda şirketlere uyarı niteliğinde tavsiyeleri önemli kişisel veri ihlallerinin ve risklerinin önüne geçecektir.
Şirket verinin güvenliği konusunda risk olduğunu düşünüyor ancak emin de değilse yine de gizlilik etki değerlendirmesi yapmalıdır. GDPR’ye göre bu risk operasyonu 3 yılda bir tekrarlanmalıdır.
GDPR, şirketlerin “Gizlilik Etki Değerlendirmesi” yapması gereken iş ve işlemleri kolayca tespit edebilmek adına bir checklist yapmanın pratik açıdan operasyonları kolaylaştıracağını ifade etmektedir. Bu nedenle “Acil durumlar” , “Temiz Durumlar” gibi bir ayrım ile katalog hazırlanabilir.
Özellikle KVKK’nın “Özel Nitelikli Kişisel Verilerin İşlenmesi’nde Yeterli Önlemlerin Alınması Şartı” ve yeterli önlemlerin neler olduğuna dair düzenlenen Kurul kararında yer alan tüm fenomenler şirketler tarafından uygulanmalı ve sistem açıkları tespit edilmelidir.
Uygulamada, Kurul tarafından belirlenen yeterli önlemlerin ihtiyaçları karşılayacak düzeyde olup olmadığı ya da yeni teknolojiler karşısında uygulanabilirliliğinin mümkün olup olmadığı gibi durumlar şirketlerin pratiklerinden anlaşılabilecektir. Bu anlamda şirketlerin gizlilik etki raporlarının Veri Koruma Otoriteleri ile paylaşması ve ortak bir çözüm üretilmesi süreci en iyi uygulama olarak benimsenebilir. Zira Veri Koruma Otoriteleri tarafından verilen idari para cezaları kişilerin temel hak ve özgürlüklerinin korunması adına büyük bir adım teşkil etmemektedir. Yeterli önlemlerin alınabilmesi için geçerli stratejilerin ve politikaların belirlenmesi, güvenlik uzmanlarının veri sorumlusu ile ortak hareket etmesi ve veri işleyenlerin de periyodik olarak eğitimlerinin önemsenmesi gibi kıstaslar ön plana çıkacaktır.
Sonuç olarak, (PIA) Gizlilik Etki Değerlendirmesi yapmadan önce kendinize basit bir takım sorular yönelterek, bu değerlendirmeye giriş yapabilirsiniz. Örneğin, Kişisel verileri toplama yetkimiz var mı? Topladığım kişisel verileri nereye kaydetmeliyim? Sistemde tutmuş olduğum eski veriler var mı ve karar verme sürecimde bana hangi veriler yardımcı oluyor? Veriler güncel mi? Kişisel verileri yetkisiz kişilerle paylaştık mı? Kişisel verilerin silinme yöntemlerini yeterince etkili uyguluyor muyuz? Soruları çeşitlendirerek veri sorumlusu ya da güvenlik uzmanı tarafından yapılan sistem açığı denemeleri etkili bir Gizlilik Etki Değerlendirmesi yapmamıza yardımcı olacaktır.