GENEL VERİ KORUMA YÖNETMELİĞİ: UYUM ŞARTLARI
Bu yazımızda Fransa’da Genel Veri Koruma Yönetmeliği (GDPR) uyum şartlarını detaylı bir şekilde aktarmaya çalışacağız.
İster çalışanlarına, ister ortaklarına veya potansiyel müşterilerine ait olsun, tüm şirketler kişisel verileri kullanır. Bu verileri korumak ve şeffaf bir şekilde işlenmelerini sağlamak, böylece bireylerin haklarını garanti altına almak için, GDPR ve kişisel verilerin korunmasına ilişkin Avrupa düzenlemeleri, ister dijital ister kağıt biçiminde olsun, kullanılan tüm kişisel verilerin belirli bir şekilde işlenmesini gerektirir.
Bu işleme yükümlülüğü, 20 milyon Euro’ya veya şirketin dünya çapındaki yıllık cirosunun %4’üne (hangisi daha yüksekse) kadar para cezası ile cezalandırılır.
Anahtar Kavramlar:
KİŞİSEL VERİLER | VERI IŞLEME | VERİ KONTROLÖRÜ | İŞLEMCİ | DPO / DPD | IŞLEME AMAÇLARI |
Kimliği doğrudan tespit edilmiş veya edilebilecek gerçek bir kişiye ilişkin her türlü bilgi veya dolaylı olarak – soyadı, adı, yaşı, doğum tarihi, doğum yeri | Otomatikleştirilmiş olsun ya da olmasın, süreçten bağımsız olarak verilerle ilgili her türlü işlem veya işlemler dizisi | Tek başına ya da birlikte, herhangi bir kişi ya da kuruluş başkalarıyla birlikte, işleme amaçlarını ve prosedürlerini belirler | Kişisel verileri işleyen herhangi bir gerçek veya tüzel kişi ya da kuruluş adına, talimatları üzerine ve yetkisi altında bir veri kontrolörünün. | Veri Koruma Görevlisi: Bir kuruluş içinde kişisel verilerin korunmasından sorumlu kişi: DPO, GDPR ile uyumluluğun sağlanmasından sorumludur ve kuruluşa tavsiyelerde bulunur. DPO, denetim makamı için irtibat noktasıdır. | Kişisel verilerin kullanılmasının temel amacı, veri işlemenin belirli ve meşru bir amacı. |
Kimlik verileri: soyadı, ad, kişisel e-posta adresi vb. Tanımlayıcı veriler: dolaylı olarak kişinin kimliğinin belirlenmesini sağlar – telefon numarası, SS kayıt numarası, IP adresi, araç ruhsat numarası vb. Kişiyi tanımlamak için çapraz referans verilebilecek her türlü bilgi (parmak izi, DNA, ikamet edilen veya doğulan belediye ile ilişkili doğum tarihi, yaş, cinsiyet, coğrafi konum, vb.) | Örnekler: toplama, kaydetme, düzenleme, yapılandırma, depolama, uyarlama veya değiştirme, geri alma, danışma, kullanım, iletim yoluyla ifşa, yayma veya kullanıma sunma, hizalama veya birleştirme, kısıtlama, silme veya imha. | Veri sorumlusu ile veri işleyen arasındaki ilişkiler sözleşmeye bağlanmalıdır (değişiklik, sözleşme vb.) | Örnekler: işe alım yönetimi, müşteri yönetimi ve izleme, memnuniyet anket, pazarlama, mülk ve kişisel koruma, dava yönetimi vb. | ||
Hassas veriler*:
| |||||
Hassas olarak sınıflandırılan veriler*: otomatik işleme (profilleme), banka verileri, sosyal güvenlik numarası |
*: açık rıza dışında toplama yasaktır.
Uygulanacak ana tedbirler:
ÖLÇÜ | AMAÇ | ANLAMLAR |
Dağıtım ağlarının oluşturulması | tüm işleme faaliyetlerini ve amaçlarını listeleyin | |
Sözleşme incelemesinin oluşturulması | uygunluklarını kontrol edin ve gerekirse GDPR maddelerini ekleyin | |
Bir DPO (Veri Koruma Görevlisi) atayın | DPO dahili (şirket içindeki işlev) veya harici (harici hizmet sağlayıcı – avukat, yeminli muhasebeci vb.) olabilir. DPO, görevini yerine getirmek için gerekli teknik ve hukuki bilgiye sahip olmalıdır. | |
BT ve Siber Güvenlik Yönetimi | 1. İşleme ve verilerin veri denetleyicileri ve iş kolları ile eşleştirilmesi |
|
2. Kişisel verilere erişimi en aza indirmek için çözümleri incelemek ve uygulamak | ||
3. BT sistemi güvenlik açıklarını düzenli olarak test edin | ||
4. Gereksiz verileri temizleyin/silin | ||
Eğitimin kolaylaştırılması / farkındalık artırma prosedürleri | Çalışanlar ve ortaklar için eğitim/ farkındalık oturumları düzenlenmesi | |
Uyarı prosedürlerinin oluşturulması | Bir kişisel veri durumunda ihlal, 72 saat içinde irtibata geçilen kişiyi bilgilendirme ve uyarma yükümlülüğü | İzinsiz giriş (siber saldırı gibi kişisel verilere yasa dışı ve yetkisiz erişim), kişisel verilerin yanlışlıkla ve yetkisiz olarak ifşa edilmesi, gizli belgelerin yanlış alıcılara gönderilmesi, kişisel verilerin yasa dışı olarak değiştirilmesi, kişisel verilerin yanlışlıkla silinmesi durumunda, Veri Sorumlusu 72 saat içinde ilgili kişiyi bilgilendirmek ve uyarmakla yükümlüdür |
Güvenli | Çalışanlarla ilişkiler | sözleşmeye dayalı bir güvenlik politikası oluşturun; İş sözleşmesine, iç yönetmeliklere vb. bir GDPR maddesi ekleyin. |
ortaklar ve hizmet sağlayıcılarla ilişkiler | ortaklarla ilişkiler için sözleşmeye dayalı bir çerçeve sağlamak (…) işleyicilerin/ortak yüklenicilerin sorumluluğu için sözleşmeye dayalı bir çerçeve sağlamak | |
AB dışına yaptığı veri transferleri |
| |
Veri sahiplerinden gelen talepleri ele almak için prosedürler uygulamak | Verilere eriş im, düzeltme ve silme taleplerine yanıt vermek |
Veri sahibinin hakları, uygulanacak temel tedbirler:
Bilgi | Gerçek kişinin toplanan veriler ve gerçekleştirilen işlemenin amacı hakkında bilgilendirilme hakkı |
Erişim | Gerçek kişinin veri sorumlusu tarafından toplanan kişisel verilerine erişme hakkı |
Taşınabilirlik | Kişinin kişisel verilerini sadece çoğaltma değil, bir kurumdan diğerine taşıma hakkı – taşınabilirlik ilkesi |
Silme | Artık kullanmayan veya ihtiyaç duymayan bir kuruluş tarafından tutulan herhangi bir verinin silinmesini sağlama hakkı |
Fransa’da Genel Veri Koruma Yönetmeliği uyum şartları nelerdir? Sorusu hakkında daha detaylı bilgi almak için whatsapptan veya iletişim sayfamızdan bize ulaşabilirsiniz. Hemen bu linkten ön başvuru formunu doldurun ve özel danışmanlık hizmetimizden faydalanın. Fransa’da Genel Veri Koruma Yönetmeliği uyum şartları nelerdir? Sorusu ve bunun gibi birçok soruda sizlere yardımcı olmaktan mutluluk duyarız.
