Veri Koruma Etki Analizi: Ne Zaman Zorunlu, Nasıl Yapılır?

Giriş

"Veri Koruma Etki Analizi" (Data Protection Impact Assessment — DPIA), AB GDPR ekosisteminde açıkça tanımlanmış ve belirli durumlarda yapılması zorunlu bir araçtır. Türkiye'de 6698 sayılı KVKK, DPIA kavramını açık biçimde düzenlemez; ancak m. 12'nin veri güvenliği yükümlülüğü ve Kurul'un özel nitelikli verilerde istediği "yeterli önlemler" — DPIA'nın işlevsel karşılığını doğurur. GDPR kapsamında faaliyeti olan Türk şirketler, DPIA'yı doğrudan m. 35 gereği uygular; KVKK odaklı Türk şirketlerin de DPIA benzeri bir risk analizi kurması, Kurum denetiminde sıklıkla sorulan bir disiplindir.

Bu yazıda DPIA'nın hukuki zeminini, ne zaman zorunlu hâle geldiğini, hangi işleme faaliyetlerinin belgelenmesi gerektiğini ve bir DPIA'nın içermesi gereken asgari unsurları ele alıyoruz.

DPIA Nedir?

DPIA, kişisel veri işleme faaliyetinin veri sahiplerinin hak ve özgürlükleri üzerindeki etkilerini sistematik biçimde değerlendirmeye yarayan bir araçtır. Klasik bir bilgi güvenliği risk analizinden farkı, riskleri şirket açısından değil veri sahibi açısından ele almasıdır.

İyi bir DPIA şu soruların cevabını verir: işleme faaliyeti hangi amaca hizmet ediyor? Bu amaç için işleme gerçekten gerekli mi? Orantılı mı? Veri sahiplerinin hak ve özgürlükleri üzerindeki olası olumsuz etkiler nelerdir? Bu etkileri azaltacak teknik ve idari tedbirler hangi düzeyde uygulanıyor? Kalan risk, makul bir seviyede mi?

GDPR m. 35: Zorunluluk Çerçevesi

GDPR m. 35'e göre, işleme "gerçek kişilerin hak ve özgürlükleri için yüksek risk" taşıma ihtimali varsa DPIA zorunludur. Tüzük, yüksek risk olarak kabul edilecek üç durumu doğrudan sayar:

1. Otomatik karar vermeye dayanan, kişiyi önemli ölçüde etkileyen sistematik ve kapsamlı değerlendirme (profilleme dâhil),
2. Özel nitelikli verilerin büyük ölçekli işlenmesi veya m. 10 kapsamındaki cezai mahkumiyet verilerinin işlenmesi,
3. Kamuya açık alanların büyük ölçekli sistematik izlenmesi.

Bu üç durum dışında, denetim otoriteleri (örneğin Almanya'daki BfDI, Fransa'daki CNIL, İtalya'daki Garante) her ülkede "DPIA zorunlu" kriterleri listeleyen rehberler yayımlamıştır. WP29 (şimdi EDPB) rehberi dokuz kritere yer verir; bu kriterlerden ikisi bir araya geldiğinde işleme yüksek riskli kabul edilir:

• Değerlendirme veya puanlama,
• Otomatik karar verme (hukuki etki veya benzer önemli etkiyle),
• Sistematik izleme,
• Özel nitelikli veri veya yüksek kişisel nitelikli veri,
• Büyük ölçekli işleme,
• Veri setlerinin eşleşmesi veya birleştirilmesi,
• Savunmasız kişilere ait veri (çocuklar, çalışanlar, hastalar),
• Yeni bir teknolojinin yenilikçi kullanımı,
• Kişinin bir hak, hizmet veya sözleşmeden yararlanmasını engelleyen işleme.

KVKK'da DPIA: Açık Zorunluluk Yok, Ama Fiili Zorunluluk Var

KVKK'nın 12'nci maddesi, veri sorumlusuna "uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almak" yükümlülüğünü getirir. Kurum, bu yükümlülüğün içeriğini zaman içinde hem rehberler hem de Kurul kararlarıyla somutlaştırdı. Özellikle Kurul'un 31 Ocak 2018 tarihli ve 2018/10 sayılı kararı — özel nitelikli verilerde istenen "yeterli önlemler" — yapılandırılmış bir risk değerlendirmesinin parçası olarak okunabilir.

Bunun yanında, 2024 yılı KVKK reformunun ardından Kurum'un yayımladığı rehberler (Yurt Dışına Aktarım Rehberi, Özel Nitelikli Verilerin İşlenmesine İlişkin Rehber) risk temelli yaklaşımı açıkça öne çıkarır. Aktarılan veri kategorisinin hassasiyetine, alıcının ülkesindeki korumaya ve işleme ölçeğine göre ek tedbirler alınması gerektiği vurgulanır — bu, DPIA'nın akış şemasıyla örtüşen bir yapıdır.

Pratikte Kurum denetimlerinde şirketlerden işleme faaliyetleri için risk değerlendirmesi ve alınan tedbirlerin gerekçesi sık sık talep edilir. Bu talebe cevap verebilecek yapılandırılmış bir DPIA belgesi, hem uyum kanıtı hem de savunma materyali olarak değer taşır.

Bir DPIA'nın Asgari Unsurları

İyi bir DPIA, tek tip bir form değil; işlemeye özgü olarak şekillenen bir analiz belgesidir. Aşağıdaki unsurlar asgari içeriği oluşturur:

1. İşleme faaliyetinin tanımı

• Faaliyet adı ve kısa açıklaması,
• İşlemenin amacı ve süreçteki konumu,
• Veri kategorileri (kimlik, iletişim, finansal, sağlık, biyometrik vb.),
• Veri sahibi kategorileri (müşteri, çalışan, aday, iş ortağı vb.),
• Alıcılar ve alt işleyenler,
• Veri akış şeması,
• Yurt içi ve yurt dışı aktarım noktaları,
• Saklama süresi ve silme / anonimleştirme takvimi.

2. Hukuki sebep ve gereklilik testi

• İşlemenin KVKK m. 5 veya m. 6 (ya da GDPR m. 6, m. 9) kapsamındaki hukuki sebebi,
• İşlemenin amaç için gerçekten gerekli olup olmadığı,
• Daha az müdahaleci bir alternatifin mümkün olup olmadığı,
• Orantılılık değerlendirmesi.

3. Risk analizi

• Veri sahipleri için olası olumsuz etkiler (ayrımcılık, maddi/manevi zarar, kimlik hırsızlığı, özerklik kaybı, vb.),
• Her etkinin olasılığı ve şiddeti,
• Toplam risk puanı (örneğin düşük/orta/yüksek/çok yüksek).

4. Alınmış ve planlanan tedbirler

• Teknik tedbirler (şifreleme, erişim kontrolü, pseudonymization, network segmentasyonu, log kaydı, vb.),
• İdari tedbirler (politika, eğitim, prosedür, tedarikçi değerlendirmesi, iç denetim),
• Özel nitelikli veri için 2018/10 sayılı Kurul kararında sayılan yeterli önlemler,
• Her tedbir için uygulanma derecesi.

5. Kalan risk değerlendirmesi ve karar

• Tedbirler uygulandıktan sonra kalan risk,
• Kalan riskin kabul edilebilir olup olmadığı,
• Kabul edilemez ise işleme faaliyetinin yeniden tasarlanması veya askıya alınması kararı,
• Yüksek kalan risk durumunda denetim otoritesine önceden danışma (GDPR m. 36).

6. Yönetişim

• DPIA'yı hazırlayan ekip,
• DPO (veya Türkiye'de veri koruma sorumlusu) görüşü,
• Paydaş görüşleri (gerekirse veri sahibi temsilcileri, çalışan temsilciliği, iç hukuk),
• Onay zinciri ve onay tarihi,
• Güncelleme takvimi (işleme değişirse yeniden yapılması).

Örnek: AI Tabanlı İşe Alım Sistemi için DPIA

Bir AI tabanlı özgeçmiş tarama ve aday puanlama sistemi için DPIA; otomatik karar verme, savunmasız birey (iş arayan), büyük ölçekli işleme, yenilikçi teknoloji kullanımı kriterlerini bir arada barındırır. Bu tür bir DPIA'da en az şu soruların kaydedilmiş cevapları olmalıdır:

• Sistem hangi özellikleri (deneyim, eğitim, ifade özellikleri) temel alıyor?
• Eğitim verisi nasıl oluşturuldu, cinsiyet/etnik/yaş önyargısı analizleri yapıldı mı?
• Adaya sistem hakkında hangi şeffaflık sağlanıyor?
• Sistemin kararına itiraz mekanizması ne?
• İnsan gözetimi ne seviyede?
• Kararın adayın hukuki durumunu veya benzer önemli etkisini nasıl ölçüyorsunuz?

Ne Zaman Güncellenir?

DPIA, bir kere yapılıp dosyaya kaldırılacak bir belge değildir. Aşağıdaki değişiklikler DPIA'nın güncellenmesini gerektirir:

• İşlemenin amacı veya kapsamı değişiyorsa,
• Yeni veri kategorisi eklenmişse,
• Aktarım alıcıları, alt işleyenler veya bulunulan ülkeler değişmişse,
• Teknik altyapı önemli ölçüde değiştirilmişse (özellikle AI / ML güncellemeleri),
• Yeni bir Kurul kararı, yönetmelik veya yargı içtihadı değerlendirmeyi etkiliyorsa,
• Veri ihlali sonrası risk profili değişmişse.

İyi bir pratik, yüksek risk kategorisindeki işleme faaliyetleri için DPIA'yı en az yılda bir kez gözden geçirmek; DPIA kayıt tablosuna gözden geçirme tarihini düşmektir.

Sonuç

DPIA, veri korumanın "yapılan değil, yapılmakta olan" bir disiplin olmasını sağlayan araçtır. GDPR kapsamında Türk şirketleri için doğrudan zorunluluktur; KVKK çerçevesinde ise Kurum denetimlerinde kendini gösteren fiili bir beklenti hâline gelmiştir. Yüksek risk kategorisindeki projeler için DPIA kurulmadıkça, ne Kurum denetimine cevap verilebilir ne de tedarikçi risk sorgularına güven verilebilir.

Pratikte DPIA, iyi yazılan bir aydınlatma metni kadar görünür olmayabilir; ancak bir sorunun ortaya çıktığı anda şirketin alınan tedbirleri ve değerlendirmesini somut biçimde ortaya koyabileceği tek yapılandırılmış belgedir.