ISO 27701 Kişisel Veri Yönetim Sistemi Standardı içinde EK-A KVYS’ye özel referans kontrol hedefleri ve kontrolleri (kişisel veri sorumluları için) içinde yer alan kontrol maddelerinden bir tanesi olan Gizlilik Etki değerlendirmesi (GDPR Tüzüğünde Veri Koruma Etki Değerlendirmesi) sürecini nasıl tasarlamalıyız? Hangi konuları ele almalıyız? Uygulama kapsamı nasıl olmalı?
6698 Sayılı Kişisel Verilerin Korunması Kanununa göre ele alırsak;
6698 Sayılı Kişisel Verilerin Korunması Kanunun 12 nci maddesinin birinci fıkrasında;
Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” diyor. Buradan hareketle bahsi geçen 3 temel başlığı kapsayacak şekilde “Gizlilik Etki değerlendirmesi” sürecini tasarlayabiliriz.
1. Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek
Bu başlık altında kanuna uygun olacak şekilde kişisel veri işleme faaliyetinin gerçekleştirilmesi ile ilgili olarak hangi kontrolleri ele almalıyız bunları ilgili veri koruma mevzuatına göre belirlememiz gerekiyor.
a) İşlenme Amacı nedir? Kişisel Veri İşleme amacı net bir şekilde tanımlanmalıdır.
b) Temel İlkelere Uygun mu? İşleme amacı ve bu amacı gerçekleştirmek için gerekli olduğu görülüp işlenmesi düşünülen kişisel veriler dikkate alınarak Kanunda tanımlanan Temel İlkelere uygunluk değerlendirilmelidir. (Hukuka ve Dürüstlük Kurallarına Uygun Olma İlkesi, Doğru ve Gerektiğinde Güncel Olma İlkesi, Belirli, Açık ve Meşru Amaçlar İçin İşlenme İlkesi, İşlendikleri Amaçla Bağlantılı, Sınırlı ve Ölçülü Olma İlkesi, İlgili Mevzuatta Öngörülen veya İşlendikleri Amaç İçin Gerekli Olan Süre Kadar Muhafaza Edilme İlkesi)
c) İşlenme şartı (Hukuki dayanak) nedir? Belirlenen kişisel veri işleme amacına uygun kanunda belirlenen işlenme şartlarından hangisine dayalı olarak işleme faaliyeti gerçekleştirilecek belirlenmelidir.
d) Açık rıza gerekliliği var mı?
e) Açık Rıza Unsurları yerine getiriliyor mu? işleme faaliyeti İlgili kişilerden açık rıza onayı alınmak kaydıyla gerçekleştirilecek ise Açık Rızanın geçerliliği ile ilgili koşullar yerine getiriliyor mu? (Belirli bir konuya ilişkin olması, Rızanın bilgilendirmeye dayanması, Özgür iradeyle açıklanması)
f) Açık Rıza verilmemesi ya da ileride rızanın geri çekilmesi durumlarına ait planlar hazır mı? İlgili kişilerin talep edilen işleme faaliyeti için açık rıza vermeme veya verdikleri açık rızayı kanunen istedikleri zaman geri çekebilme hakları da bulunmaktadır. İlgili kişi ve/veya kişilerin talep edilen işleme faaliyeti için açık rıza vermeme veya açık rıza onaylarını ileri de geri çekmesi durumunda oluşabilecek iş etkisi değerlendirilmeli ve açık rıza vermeme ve rızanın geri çekilmesi sürecini de kapsayacak şekilde bir veri işleme süreci tasarımı yapılmalı, Açık rıza vermeme ve Rızanın geri çekilmesi süreçleri Açık rıza süreçlerine dahil edilmelidir.
NOT: GDPR’ da 16 yaşından küçük çocuklara ait kişisel verilerin işlenmesi ile ilgili faaliyetler için çocuk üzerinde velayet hakkı bulunan kişiden rıza / onay alınması gerekmektedir. Bu gibi ilgili veri koruma mevzuatına göre farklı gereklilikler de göz önünde tutulması gerekiyorsa bu hususlarda değerlendirilmelidir.
g) İşleme faaliyeti Biyometrik kişisel verilerin işlenmesi sürecini içeriyor ise işleme faaliyeti kurul tarafından uygulanması istenen ilke kararlarına uygun mu? Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber İlke Kararları dikkate alınmalıdır.
h) İlgili kişilere aydınlatma (bildirim) yükümlülüğünün yerine getirilmesi ile ilgili planlar hazır mı?
i) Verbis kaydı güncellemesi gerekecek mi? Gerekecek ise değişiklik planı yapıldı mı?
j) Yurt içine veri aktarımı yapılacak mı? Aktarım şartı (Hukuki dayanak) nedir?
k) Yurt içine aktarım yapılacak ise Veri İşleyen sözleşmesi gerekiyor mu? Sözleşme içerisinde yer alması gereken hususlar belirlendi mi?
l) Yurt dışına veri aktarımı yapılacak mı? Aktarım şartı (Hukuki dayanak) nedir?
m) Yurt Dışı veri aktarımı Taahhütname ve/veya Bağlayıcı şirket kuralları aktarım şartına bağlı olarak yapılacak ise gerekli olan taahhütname ya da bağlayıcı şirket kuralları başvurusu hazırlandı mı?
2. Kişisel verilere hukuka aykırı olarak erişilmesini önlemek
Bu başlık altında kişisel verilere hukuka uygun olacak şekilde erişim sağlanmasını ile ilgili olarak hangi kontrolleri ele almalıyız bunları belirlememiz gerekiyor.
a) Söz konusu Kişisel Verilerin işlenmesi faaliyeti ilgili kişiler üzerinde yüksek riskler (tehditler) barındırıyor mu? barındıryorsa nelerdir? Kimlik hırsızlığı (şifreler, kimlik numaraları, kredi kartı numaraları veya sosyal güvenlik numaraları vb), itibar kaybı, ayrımcılık, dolandırıcılık, finansal kayıp, hakların ve özgürlükleri kısıtlanması (yaşama hakkı, sağlık hakkı, eğitim hakkı, ekonomik haklar, özel yaşamın gizliliği hakkı, düşünce ve ifade özgürlüğü, din ve vicdan özgürlüğü, haberleşme özgürlüğü v.b)
b) Kişisel veri işleme faaliyetinden kaynaklanabilecek kişisel veriler üzerinde gizlilik, bütünlük ve erişilebilirlik kayıpları ile ilgili tehditler (riskler) nelerdir? Örneğin; Gizlilik kaybı ile ilgili olarak “Kişisel verilerin yetkisiz şekilde açıklanması, yetkisiz kişilerce ele geçirilmesi, erişilmesi, kullanılması” tehditi.
c) İlgili kişiler üzerindeki riskler (tehditler), kişisel veriler üzerinde gizlilik, bütünlük ve erişilebilirlik kayıpları ile ilgili tehditler (riskler) için Uygulanan teknik ve idari kontroller nelerdir? Bu kontroller yeterli midir?
d) Uygulanan mevcut teknik ve idari kontroller yeterli değil ise ilave hangi kontroller uygulanmalıdır?
e) İşleme faaliyeti Özel Nitelikli Kişisel Veri içeriyor ise “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlusu tarafından alınması gereken yeterli tedbirler" başlığı altında alınan kurul kararlarındaki kontroller uygulanıyor mu?
3. Kişisel verilerin muhafazasını sağlamak
a) İşleme faaliyetine ait kişisel verilerin muhafaza edilmesi ile ilgili olarak; mevzuatta öngörülen veya işlendikleri amaç için gerekli olan saklama süresi ne kadar olacak?
b) İşleme faaliyetine ait kişisel verilerin muhafaza edilmesi ile ilgili olarak; kişisel veriler fiziksel ortamda (Kağıt) ise gerekli muhafaza yöntemleri belirlendi mi?
c) İşleme faaliyetine ait kişisel verilerin muhafaza edilmesi ile ilgili olarak; kişisel veriler fiziksel ortamda (Kağıt) ise silinmesi, yok edilmesi ya da anonim hale getirilmesi gerektiği durumlarda uygulanacak olan yöntemler belirlendi mi?
d) İşleme faaliyetine ait kişisel verilerin muhafaza edilmesi ile ilgili olarak; kişisel veriler elektronik ortamda ise yedekleme yöntemi belirlendi mi?
e) İşleme faaliyetine ait kişisel verilerin muhafaza edilmesi ile ilgili olarak; kişisel veriler elektronik ortamda ise silinmesi, yok edilmesi ya da anonim hale getirilmesi gerektiği durumlarda uygulanacak olan yöntemler belirlendi mi?
6698 Sayılı Kişisel Verilerin Korunması Kanunu’ nu ele alarak temel seviyede bir Gizlilik Etki Değerlendirmesi sürecine ait değerlendirme aşamalarını bu yapıda kurabiliriz. (Bunlarla sınırlı kalmamak kaydıyla)
Bununla birlikte değerlendirme aşamalarındaki sorulara ait yanıtların ilgili kişilere yönlendirilmesi, değerlendirme aşaması ile ilgili gerekli aksiyonların planlanması ve gerçekleştirilmesi ile Gizlilik Etki değerlendirmesi sonunda kişisel veri işleme faaliyetine onay verilmesi ya da onay verilmemesi ile ilgili süreçlerinde bu yapıya entegre edilmesi gerekir.
NOT: Gizlilik Etki Değerlendirmesi Sürecinizi Kişisel Veri İşleme Envanter kayıt yapınızı da dikkate alarak tasarlar iseniz Gizlilik Etki değerlendirmesi süreci tamamlanıp veri işleme faaliyetine onay çıkarsa değerlendirme kaydını envanter kaydına kolaylıkla dönüştürebilir ve ilişkilendirebilirsiniz.
GİZLİLİK ETKİ DEĞERLENDİRMESİ (VERİ KORUMA ETKİ DEĞERLENDİRMESİ) UYGULAMA KAPSAMI
Gizlilik Etki değerlendirmesinin uygulama kapsamını ise mevcut kişisel veri işleme faaliyeti süreçlerinizi göz önünde tutup (veri yoğunluğu, veri niteliği, kişisel veri işleme gereksinimleri, organizasyon yapısı vb.) aşağıdaki uygulama kapsamlarından sizin için gerekli olanları belirleyip uygulama kapsamınızı belirleyebilirsiniz.
Benim önerim yapılabiliyor ya da uygulanabiliyor ise 1 ve 3 numaralı seçeneklerin birlikte uygulandığı kapsam olacaktır.
1- Kişisel veri işleme faaliyeti başlamadan önce (tüm işleme faaliyetlerinde)
2- Kişisel veri işleme faaliyeti başlamadan önce (sadece özel nitelikli kişisel veri içeren işleme faaliyetlerinde)
3- Öncesinde var olan bir kişisel veri işleme faaliyetinde bir değişiklik olduğunda (tüm değişikliklerde)
4- Öncesinde var olan bir kişisel veri işleme faaliyetinde bir değişiklik olduğunda (sadece özel nitelikli kişisel verileri içeren veri işleme faaliyetlerindeki değişikliklerde)
YAZAR
TUNCAY SÖZERİ - ISO 27001 & ISO 27701 Baş Denetçi Eğitmeni
Whatsapp Hattı