DPIA (Veri Koruma Etki Değerlendirmesi) nedir?
Bir Veri Koruma Etki Değerlendirmesi (DPIA), bir proje, sistem veya işleme faaliyetinin veri koruma risklerini tanımlamak ve en aza indirmek için yapılandırılmış süreçtir — GDPR Madde 35 tarafından işleme “gerçek kişilerin hakları ve özgürlüklerine yüksek risk oluşturma olasılığı yüksek” olduğunda zorunlu kılınır. KVKK Madde 12, Türk veri sorumlularına paralel yükümlülükler getirir; VERBİS Tebliği ve Kurul kararlarından ek uygulama rehberi vardır.
DPIA ne zaman gerekir?
- Profilleme dahil otomatik işleme üzerine dayalı sistematik ve kapsamlı değerlendirme.
- Özel nitelikli kişisel verilerin geniş ölçekte işlenmesi (sağlık, biyometri, ırk, din, siyasi görüş).
- Kamuya açık alanların geniş ölçekte sistematik izlenmesi.
- Yeni teknolojiler önemli risk etkileriyle (AI sistemleri, biyometrik kimlik, IoT).
- EDPB listesi: EDPB ve üye-devlet DPA’ları DPIA gerektiren işleme listeleri yayınlar.
Gerekli DPIA içeriği (GDPR Madde 35(7))
- İşleme operasyonlarının ve amaçların sistematik tanımı.
- İşleme operasyonlarının amaçlarına göre gereklilik ve orantılılık değerlendirmesi.
- Veri sahiplerinin haklarına ve özgürlüklerine risklerin değerlendirmesi.
- Riskleri ele almak için önlemler — güvenceler, güvenlik tedbirleri, uyum mekanizmaları.
DPIA ve ilgili değerlendirmeler
- DPIA vs. FRIA (AI Act): DPIA veri koruma odaklıdır; FRIA daha geniş temel haklar odaklıdır; yüksek-riskli AI sistemleri için ikisi de uygulanabilir.
- DPIA vs. TIA: Transfer Etki Değerlendirmesi, Schrems II sonrası uluslararası veri transferleri için spesifik bir alt analiz.
- DPIA vs. gizlilik risk değerlendirmesi: DPIA GDPR-tanımlı resmi versiyondur; jenerik privacy risk assessment’lar Madde 35 standardına ulaşmayabilir.
Türk pratiğinde DPIA
KVKK kapsamında “Veri Koruma Etki Değerlendirmesi” terimi giderek yaygın; özellikle Aydınlatma Metni güncellemeleri, VERBİS kaydı, ve özel nitelikli veri içeren projelerin uyum dosyalarında talep edilir. KVKK Kurulu kararlarında biyometrik kimlik, AI-tabanlı işe alım filtreleme, yüz tanıma sistemleri ve sağlık platformları DPIA gerektiren işlemeler olarak işaret edilir. AB pazarına ihracat yapan Türk şirketler için DPIA dosyası, AB tarafındaki veri sorumlusu/işleyenle paylaşılan standart uyum belgesidir.
Yapın: yeni yüksek-riskli işleme başlatmadan önce DPIA yürütün; risk azaltmaları belgeleyin; yıllık veya sistem değişikliklerinde yeniden gözden geçirin.
Yapmayın: DPIA’yı tek seferlik onay kutusu olarak görmeyin — düzenleyiciler sistem değişiklikleriyle güncellenen yaşayan belgeler bekler.
DPIA ne zaman gerekir ve nasıl kullanılır
Veri Koruma Etki Değerlendirmesi, bireyler açısından yüksek risk doğurması muhtemel işlemelerden önce beklenir — örneğin geniş ölçekli profilleme, kamuya açık alanların sistematik izlenmesi, özel nitelikli verilerin büyük ölçekte işlenmesi veya etkileri henüz tam anlaşılmamış yeni bir teknolojinin devreye alınması. Değerlendirme; işleme faaliyetini belgeler, amaç karşısında gerekliliğini ve ölçülülüğünü sınar, ilgili kişiler bakımından riskleri belirler ve bu riskleri azaltmak için seçilen tedbirleri kaydeder. Alınan tedbirlere rağmen yüksek bir artık risk kalıyorsa, işlemeye başlamadan önce denetim makamına danışılması gerekebilir. DPIA tek seferlik bir form değildir: işlemenin amacı, kapsamı, teknolojisi veya risk profili değiştiğinde yeniden gözden geçirilmesi gereken yaşayan bir belgedir.