Appearance
DPIA — Data Protection Impact Assessment
- Sahip: Simetri
- Son Güncelleme: 2026-04-16
- Güncelleme Tetikleyicisi: Yeni veri işleme faaliyeti (tablo, endpoint, entegrasyon), kapsam değişikliği, saklama süresi değişikliği, yeni 3. taraf işlemci.
- Sahada Test Tarihi: İlk prod deployment öncesi DPO / dış danışman review'u zorunlu.
1. Ne Zaman DPIA Şart?
GDPR Art. 35(3)'e göre aşağıdaki durumlarda zorunlu:
- Profilleme üzerinden bireyi önemli ölçüde etkileyen otomatik karar → Humindx kapsamında (B2B aday önerileri).
- Büyük ölçekli hassas veri işleme (Art. 9 özel kategori) → Humindx psikometrik skorları sınırda; KVKK/BVDK yorumu ile ihtiyati olarak DPIA.
- Kamu alanında sistematik izleme.
Pratik kural: Yeni bir veri akışı T3 (Restricted, bkz. data-classification.md) alana dokunuyorsa DPIA güncellenir.
2. DPIA Şablonu (her bir işleme için kopyalanır)
Her büyük veri işleme faaliyeti bir DPIA entry'sidir. İlk giriş "B2B aday değerlendirme" için aşağıdadır. Yeni faaliyet eklendiğinde bu bölüm kopyalanır.
2.1. İşlemenin Tanımı
- Faaliyet adı:
- Sorumlu (Controller): Simetri Teknoloji
- İşleyen (Processor'lar): (güncel liste için
vendor-inventory.md§3; bu DPIA entry'sinde fiilen kullanılan processor'lar ayrıca isim olarak yazılır) - Veri kategorileri: (data-classification.md tier referansı)
- Veri özneleri: (aday, çalışan, kullanıcı)
- Alıcılar: (B2B müşteri firma, iç ekip)
- Saklama süresi: (data-classification.md §4 referansı)
- Uluslararası aktarım: (hangi ülke / yeterlilik kararı var mı)
2.2. Gereklilik ve Orantılılık
- Bu veriyi toplamak faaliyet amacı için zorunlu mu, alternatif var mı?
- Toplanan veri amaçla orantılı mı? (veri minimizasyonu)
- Bilgilendirme şeffaf ve erişilebilir mi? (privacy notice linki)
- Rıza gerekiyor mu, yoksa başka hukuki dayanak mı? (meşru menfaat / sözleşme / yasal yükümlülük)
2.3. Hak ve Özgürlüklere Risk
| Risk | Olasılık | Etki | Ham risk |
|---|---|---|---|
| İzinsiz erişim (sızıntı) | |||
| Profilleme sonucu ayrımcılık | |||
| Kullanıcının haklarını (silme/erişim) kullanamaması | |||
| Bias ile yanlış öneri | |||
| LLM çıkarımı ile yeniden kimliklendirme |
Ölçek: Düşük / Orta / Yüksek.
2.4. Azaltıcı Önlemler
Her riski threat-model.md §3-4 ve eu-ai-act-compliance.md §3'teki mevcut kontrollerle eşleştir:
| Risk | Önlem | Kanıt dosyası |
|---|---|---|
2.5. Artık Risk Değerlendirmesi
Önlem sonrası risk seviyeleri. Yüksek kalan varsa DPO / regulator danışması gerekebilir (GDPR Art. 36).
2.6. Onay ve İmzalar
- Teknik owner: Simetri — tarih: _____
- DPO / hukuk review: _____ — tarih: _____
- Yeniden değerlendirme tarihi: _____ (azami 12 ay)
3. Mevcut DPIA Girişleri
| # | İşleme Faaliyeti | Durum | Son Güncelleme |
|---|---|---|---|
| 1 | B2C Sisli Sohbet (psikometrik profilleme) | İskelet | 2026-04-16 |
| 2 | B2B Aday Değerlendirme (profilleme → karar desteği) | İskelet | 2026-04-16 |
| 3 | Embedding / RAG (uzun vadeli bellek) | İskelet | 2026-04-16 |
Her giriş kendi dosyası haline gelebilir (dpia/001-b2c-misty-chat.md) ya da bu dosyada bölüm olarak kalabilir — entry sayısı 3'ü geçerse bölme gerekebilir.
4. DPIA vs. Threat Model — Ne Fark?
- Threat model: teknik saldırı yüzeyi ve savunma. İç odaklı. Saldırgan perspektifi.
- DPIA: hukuki/etik yükümlülükler, veri öznesi hakları, orantılılık. Dış odaklı (regulator perspektifi).
İkisi örtüşür ama değiştirmez. DPIA yazarken threat-model.md §3 (LINDDUN) doğrudan §2.3 riskleri için kullanılır.
5. Ne Zaman Bu Dokümanı Aç?
- Yeni veri işleme faaliyeti → yeni DPIA entry
- Mevcut faaliyette kapsam değişikliği → ilgili entry revize
- Yeni 3. taraf işlemci (LLM sağlayıcı değişimi, yeni cloud) → §2.1 güncelleme
- Yıllık review (azami 12 ay)
- Regulator soru gönderirse → delil olarak kullanılır