Veri Koruma Etki Değerlendirmesi (VKED) Ne Fayda Sağlar?
GDPR’da açık bir şekilde düzenlenmiş veri koruma etki değerlendirmesini (VKED/DPIA) iş süreçlerimize entegre etmenin nasıl bir fayda sağlayacağı ve risklerin nasıl görünür hale getirilebileceği konusuna biraz yakından bakalım.
Genel Veri Koruma Yönetmeliği (“GDPR”) Avrupa Birliği’nde ikamet eden kişilerin, kişisel verilerini korumaya yönelik oluşturulmuş bir düzenlemedir. Bildiğiniz gibi; Kişisel Verilerin Korunması Kanunu da (“KVKK”), GDPR ile paralel olarak, kişilerin temel hak ve özgürlüklerini korumak ve kişisel veri toplayan, işleyen ve saklayan gerçek ve tüzel kişilerin uyması gereken kuralları düzenlemektedir.
KVKK ve GDPR temellerinde aynı amaca hizmet etseler de; aynı konuyu farklı seviyelerde ele alan hükümler içerebilmektedir. Bu nedenle; GDPR’da yasal bir düzenleme olarak ele alınan ve cezai yaptırıma tabii bazı maddeler; Türkiye sınırları içerisinde sadece “iyi uygulama örneği” olarak kullanılabilmektedir.
GDPR’ın 35. ve 36. maddeleri, özellikle yeni teknolojilerin kullanıldığı ve veri işleme çalışmalarının niteliği, kapsamı, bağlamı ve amaçları çerçevesinde işleme türünün gerçek kişilerin hak ve özgürlüklerine yönelik yüksek risk oluşturması ihtimaline yönelik veri koruma etki değerlendirmesinin yapılması hususunu ele almaktadır.
BDDK, SPK, Türkiye Cumhuriyeti Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, BTK, KVKK gibi otoriteler tarafından yayınlanan mevzuatlar çerçevesinde önemli projeler ve değişiklikler için bilgi güvenliği gereksinimlerinin belirlenmesi, risk ve etki değerlendirmelerinin yapılması, çalışmaların mevzuat gereksinimlerine uygun olarak yürütülmesi noktasındaki yükümlülükler tanımlanmış olsa da, VKED çalışmasının gerçekleştirilmesi ihtiyacı açık bir şekilde düzenlenmemiştir. Özellikle, yeni teknolojilerin kullanıldığı projeler çerçevesinde kişisel verilerin güvenliğine yönelik etki değerlendirmesinin derinliği ise bu bakımdan kurumların inisiyatifine bırakılmıştır.
Peki; VKED çalışması ne fayda sağlar, neye hizmet eder? İlgili çalışmanın öncelikli olarak her bir projeye, kişisel verilerin işlenebileceği/işlendiği kritik tüm süreçlere zorunlu bir adım olarak eklenmesi;
- İşleme faaliyetinin kişisel verilerin güvenliği üzerindeki etkisinin daha analiz ve tasarım aşamasında değerlendirilmesine,
- Bazı önemli kararların proje esnasında alınmasına,
- Kontrol noktalarının bu aşamada tasarlanmasına,
- Sözleşme yükümlülüklerinin revize edilmesine ve
- Risk değerlendirme çalışmalarının kişisel veri işleme faaliyeti açısından detaylı olarak gerçekleştirilmesine fayda sağlamaktadır.
Bu durum; KVKK açısından doğan yükümlülüklerin de daha görünür bir hale gelmesini sağlayarak alınması gereken idari ve teknik tedbirlerin de doğru şekilde belirlenmesine olanak sağlamaktadır.
Peki; VKED çalışması için yayınlanmış bir doküman mevcut mudur? Bu çalışmayı hızlıca süreçlerimize nasıl entegre edebiliriz?
Bu ihtiyaca yönelik; GDPR kapsamında iyi hazırlandığını düşündüğüm ingilizce bir şablonun türkçeleştirilmesini sağlayarak (KVKK uyumunu gözeterek) VKED dokümanını oluşturdum. Yapılan değerlendirmeler 8 ayrı risk başlığı altında risk skorunun da otomatize şekilde belirlenmesini sağlıyor. Süreçlerini bu çalışma ile iyileştirmek isteyen ve “mahremiyete” önem gösteren tüm ilgili paydaşlarla da dokümanı paylaşmayı çok isterim:)
Geri bildirimleriniz ile katkı sağlamak isterseniz yazımı ve şablonu güncellemekten, herhangi bir konuda sorunuz var ise de yanıtlamaktan büyük mutluluk duyarım.
Risklerimizi yönetebildiğimiz bir hafta diliyorum.
Sevgiyle kalın!
