Bir Uyum Aracı Olarak Veri Koruma Etki Analizinin Türk Hukuku Bakımından Değerlendirilmesi

Year 2022, Volume: 4 Issue: 1, 38 - 53, 30.06.2022

Öykü Beste Bayram

Abstract

Özellikle yapay zeka teknolojileri gibi gelişen teknolojiler karşısında gerçek kişiler açısından oluşabilecek risklerin yönetilmesi ve temel hak ve özgürlüklerinin korunabilmesi veri koruma düzenlemeleri ile yakından ilgilidir. Avrupa Birliği veri koruma hukukunda kişisel veri işlemenin doğurduğu risklerin tasarımdan itibaren ele alınarak önlenmesi amacıyla hesap verebilirlik ilkesi ve çeşitli uyum araçları benimsenmiştir. Bunların arasında, risklerin tespit edilmesi ve önlenmesi kapsamında işlevsel olarak değerlendirilen veri koruma etki analizi dikkat çekmektedir. Türk veri koruma hukukunun da gelişen teknolojilere bağlı olarak ortaya çıkabilecek yeni risk ve tehditler dikkate alınarak geliştirilmesi gerekmektedir. 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun Genel Veri Koruma Tüzüğü ile uygun hale getirilmesi hedefi kapsamında hesap verebilirlik ilkesinin ve uyum araçlarının Türk hukukunda da düzenlenmesi beklenmektedir. Bu çalışmada Avrupa Birliği veri koruma hukukunda benimsenen veri koruma etki analizi düzenlemesinin amacı, hesap verebilirlik ilkesiyle ilişkisi, kapsamı ve uygulaması incelenmiştir. Sonrasında bu uygulama Türk hukuku bakımından ele alınarak mevzuatımızda düzenlenmesinin hangi açılardan faydalı olabileceği değerlendirilmiştir.

Keywords

Hesap verebilirlik, mahremiyet, risk, uyum

Analyzing Of Data Protection Impact Assessment As A Compliance Instrument In Terms Of Turkish Law

Abstract

Data protection regulations are closely related to the management of risks that may arise in terms of natural persons, especially in the face of developing technologies such as artificial intelligence technologies, and the protection of their fundamental rights and freedoms. Under the European Union data protection law, the principle of accountability and numerous compliance instruments are adopted in order to prevent the risks posed by personal data processing from the design stage. Among these instruments, data protection impact assessment, which is considered specific and functional for determining and preventing risks, draws attention. Turkish data protection law also needs to be developed by considering the new risks and threats that may arise in the future depending on the advancing technologies. It is expected that the principle of accountability and compliance instruments will also be regulated in Turkish law with the updates to be made in the Personal Data Protection Law No. 6698 in line with the General Data Protection Regulation. In this article, the purpose, scope, application of data protection impact assessment and its relationship with the principle of accountability are examined. Following, this practice is analyzed in terms of Turkish law and it was considered in which aspects it would be beneficial to be regulated in our legislation.

Keywords

Accountability, Privacy, Risk, Compliance

References

• Aşıkoğlu, Ş. İ. (2018). Avrupa Birliği ve Türk Hukukunda Kişisel Verilerin Korunması ve Büyük Veri. İstanbul: On İki Levha Yayıncılık.
• Bieker F., Martin, N., Friedewald, M. ve Hansen, M. (2018). Data Protection Impact Assessment: A Hands-On Tour of the GDPR's Most Practical Tool. Privacy and Identity Management. The Smart Revolution. 12th IFIP WG 9.2.,9.5,9.6/11.7, 11.6/SIG 9.2.2 International Summer School, Ispra,Italy, September 4-8, 2017, Revissed Selected Papers. ed. Marit Hansen-Eleni Kosta-Igor Nai Fovino-Simone Fischer Hübner. Springer, Cham. 2017-220. DOI: https://doi.org/10.1007/978-3-319-92925-5_13.
• Çekin, M. (2016). 6698 Sayılı Kişisel Verilerin Korunması Hakkında Kanun’un Big Data (Büyük Veri) ve İrade Serbestisi Açısından Değerlendirilmesi. İstanbul Üniversitesi Hukuk Fakültesi Mecmuası 74 (2), 629-644.
• Çekin, M. S. (2020). Avrupa Birliği Hukukuyla Mukayeseli Olarak 6698 Sayılı Kanun Çerçevesinde Kişisel Verilerin Korunması Hukuku. İstanbul: On İki Levha Yayıncılık.
• Çimen Bulut, İ. (2020). Avrupa Birliği Genel Veri Koruma Tüzüğü Kapsamında Getirilen Yeni Teknik ve Yaptırım Mekanizmaları. Anadolu Üniversitesi Sosyal Bilimler Dergisi 20 (2), 127-142. DOI: https://doi.org/10.18037/ausbd.758041.
• Demetzou, K. (2019). Data Protection Impact Assessment: A tool for accountability and the unclarified concept of “high risk” in the General Data Protection Regulation. Computer Law & Security Review 35 (6). DOI: https://doi.org/10.1016/j.clsr.2019.105342.
• Dülger, M. V. (2020). Kişisel Verilerin Korunması Hukuku. İstanbul: Hukuk Akademisi.
• Kartöz, M. O. (2020). Şeffaflık ve Hesap Verilebilirlik Açısından Kişisel Verilerin Korunması ve Yapay Zeka. (Yüksek Lisans Tezi). İstanbul Üniversitesi, İstanbul.
• Kaya, M. B. (2020). Kişisel Verilerin Korunmasında Yeni Paradigma: Hesap Verebilirlik İlkesi. İstanbul Hukuk Mecmuası 78(4), 1859-1897. DOI: https://doi.org/10.26650/mecmua.2020.78.4.0005.
• Lopez, C. T., Domingo, I. A. ve Torrijos, J. V. (2021). Approaching the Data Protection Impact Assessment as a legal methodology to evaluate the degree of privacy by design achieved in technological proposals. A special reference to Identity Management systems. ARES 2021: The 16th International Conference on Availability, Reliability and Security. Association for Computing Machinery. DOI: https://doi.org/10.1145/3465481.3469207.
• Metin, B., Erkan, S., Atasu, İ. ve Yılmaz, E. (2019). Privacy Impact Assessment as a Tool for GDPR Compliance Preparation. Kişisel Verileri Koruma Dergisi, 1(2): 75-86. https://dergipark.org.tr/tr/pub/kvkd/issue/50609/646782 adresinden alınmıştır.
• Ni Loideain, N. ve Adams, R. (2020). From Alexa to Siri and the GDPR: The gendering of Virtual Personal Assistants and the role of Data Protection Impact Assessments. Computer Law & Security Review 36. DOI: https://doi.org/10.1016/j.clsr.2019.105366.
• Sarrat, J. ve Brun, R. (2018). DPIA: How to Carry Out One of the Key Principles of Accountability. Privacy Technologies and Policy: 6th Annual Privacy Forum, APF 2018, Barcelona, Spain, June 13-14, 2018, Revised Selected Papers. ed. Manel Medina-Andreas Mitrakas-Kai Rannenberg-Erich Schweighofer-Nikolaos Tsouroulas. Springer, Cham. 172-182. DOI: https://doi.org/10.1007/978-3-030-02547-2_10.
• Yordanov, A. (2017). Nature and Ideal Steps of the Data Protection Impact Assessment Under the General Data Protection Regulation. European Data Protection Law Review 3 (4), 486-495. DOI: https://doi.org/10.21552/edpl/2017/4/10.
• Article 29 Data Protection Working Party. (2017). Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing is “Likely to result in a high risk” for the Purposes of Regulation 2016/679. https://ec.europa.eu/newsroom/article29/items/611236/en adresinden alındı.
• European Data Protection Supervisor. (2012). Opinion of the European Data Protection Supervisor on the Data Protection Reform Package. https://edps.europa.eu/sites/edp/files/publication/12-03-07_edps_reform_package_en.pdf adresinden alındı.
• European Data Protection Supervisor. (2018). Accountability on the ground Part I: Records, Registers and when to do Data Protection Impact Assessments. https://edps.europa.eu/sites/edp/files/publication/18-02-06_accountability_on_the_ground_part_1_en_0.pdf adresinden alındı.