1978’de Veri Koruma Yasası tarafından oluşturulan bağımsız bir Fransız otoritesi olan CNIL, doğru uygulamayı ve GDPR ile uyumluluğu sağlamak için her yıl birkaç yüz şirket kontrolü gerçekleştirir. Bu kontroller, ilgili kişilerden gelen şikayet ve iddialar, medyada yayınlanan makaleler, veri ihlali bildirimleri, video koruma cihazları veya ayrıca bir taşeronun kontrolüne veya kendi inisiyatifiyle seçtiği öncelikli temalara göre gerçekleşir. .
Bu yıl seçilen üç tema şunlardır: ticari araştırma, tele-çalışma ve bulut hizmetleri bağlamında izleme araçları. Hemen hemen tüm şirketlerin bu nedenle taranmasının muhtemel olduğunu söylemek yeterlidir.
Peki bir kontrol nasıl tahmin edilir?
Birbirini takip edebilen ve tamamlayabilen dört farklı kontrol türü vardır:
- çevrimiçi kontrol, bir organizasyonun tüm görünür unsurları hakkında (çerezler, gizlilik politikası, veri toplama formlarında bulunan bilgi bildirimleri, şifre güvenliği vb.). CNIL daha sonra varsayılan bir kimlik alabilir.
- yerinde kontrol CNIL’in, bir taşeronun binaları da dahil olmak üzere, kişisel verilerin işlenmesinin gerçekleştirildiği kuruluşun herhangi bir yerinde kendini gösterdiği.
- celp üzerine işitmebelirli bir tarihte bir kuruluşun temsilcilerini, kontrol edilmekte olan işleme hakkında onları dinlemek için bir araya getiren bir mektup aracılığıyla.
- Parçalar üzerinde kontrol, işlenmesinin uygunluğunu denetlemek amacıyla bir kuruluşa gönderilen bir ankete eklenen bir mektup aracılığıyla.
Kontrolün şekli ne olursa olsun, denetlenen şirket, CNIL’in talep etmesi muhtemel tüm belgelere sahip olmalıdır. Bu nedenle, uygunluğunu belgelemek ve bu belgeleri güncel tutmak önemlidir. Bu, özellikle, işleme gerektirdiğinde etki analizlerinin yapılmasını, işleme kaydının, ihlallerin kaydının, sözleşmelerin, gizlilik politikalarının, bir süre politikasının korunmasının ve kişisel verilerin yönetimine ilişkin bir iç doktrinin taslağının hazırlanmasını ve güncellenmesini içerir.
Bu aynı zamanda prosedürlerin taslağının hazırlanmasını ve uygulanmasını (örneğin tasarım gereği gizlilik), geçmiş yılın eylemlerini ve riskleri kapsamak için planlanan önlemleri izleyen bir yıllık raporu ve CNIL’in yıllık denetim programını dikkate alan yıllık eylem planını içerir. Önümüzdeki yıl için öncelikli sektörler ve denetim konuları. 2022 eylem planına, Komisyon tarafından benimsenen yeni modeller temelinde Standart Sözleşme Maddelerinin güncellenmesini eklemek özellikle önemlidir.
Bir CNIL denetimini önceden tahmin etmek ve gerçekleştiğinde en iyi şekilde yönetilmesini sağlamak için, “bir CNIL denetiminin yönetimi” için bir prosedür taslağı hazırlayarak ve ileterek buna önceden hazırlanmak önemlidir. Organizasyonun yanıt vermeye hazır olduğundan emin olmak için bir kriz birimi kurmak ve sahte kontroller yapmak da mümkündür.
Bir teftişe dahil olabilecek kişilerin belirlenmesi, bir teftiş durumunda dahil olabilecek ve denetlenebilecek çalışanların bilinçlendirilmesi önemlidir. Ayrıca kontrol sırasında gerekli olacak ekipmanın, örneğin tahsis edilmiş bir toplantı odasının tanımlanması da gereklidir. Gerçekleştirilen tüm farkındalık oturumları kayıt altına alınmalı ve kuruluş bunların kanıtını saklamalıdır. Aynı zamanda, vücudun uyumluluğunu haklı çıkaran organizasyonel önlemlerin bir parçasıdır. Yukarıda bahsedilen önlemlerin açıklaması, bir organizasyonun “CNIL kontrolünün yönetimi” prosedüründe bulunmalıdır.
Kontrol gerçekleştiğinde nasıl yönetilir? Yerinde incelemeye odaklanın
Yerinde teftişin bir parçası olarak, CNIL temsilcileri, denetlenen kuruluştan önceden haber vermeksizin 06:00 – 21:00 saatleri arasında kuruluşun tesislerine gelebilir. Geldiklerinde, güvenlik nedenleriyle ajanların kimliğini, sunulan görev mektubunu ve kontrolü gerçekleştirme yetkilerini kontrol etmek önemlidir. Denetleyici makamlarla temas noktası olan ve GDPR’ye uyumu garanti eden DPO, CNIL temsilcilerinin gelişinden haberdar edilmelidir. Rolü, etkili uyumu sağlayan eylemlerin uygulanmasını gösteren belgeleri desteklemek, denetlemek ve sunmaktır. DPO’nun yokluğunda, kontrolü denetleyecek yetkili kişi yukarı yönde tanımlanmış olmalıdır.
Kontrol sırasında, CNIL’in yetkili temsilcileri, kendilerine kontrol edilen işleme hakkında ilgili bilgileri sağlayabilecek kişileri çağırmaları için çağrılabilir. Veri sorumluları ve işleyiciler ile bunların temsilcileri, denetim makamının talebi üzerine, denetim makamı ile işbirliği yapmakla yükümlüdür. İşbirliği eksikliği yaptırım riskini artırabilir. Bu yıl, özellikle CNIL ile işbirliği yapılmadığı için 3.000 Euro’luk bir cezaya çarptırılan Fransız rehberinin Yeni Derneği için durum buydu. Bir CNIL incelemesini engelleme suçunun 15.000 € para cezası ve bir yıl hapis cezası ile cezalandırılabileceğini unutmayın.
CNIL temsilcileri, kuruluşun uygunluğunun değerlendirilmesi için gerekli herhangi bir belgeye erişim talep edebilir ve bunların bir kopyasını alabilir: kayıtlar, prosedürler, politikalar, sözleşmeler, yazılımlar, veri tabanları, vb. Onlara bu amaç için herhangi bir yararlı belge sağlamaya ve uygun teknik ve organizasyonel önlemlerin uygulanmasını haklı kılan bilgileri sağlamaya özen gösterilmelidir. Ancak, kontrolün kapsamına saygı göstermek için yalnızca istenen veya gerekli görülen bilgileri sağlamaya dikkat edin.
Bir kuruluş, bilgilerin bir avukat ve müvekkili arasındaki ilişkilerle ilgili olması veya gazetecilik işleminin gizliliği kapsamında olması dışında, mesleki sır kapsamında belgeleri iletmeyi reddedemez. Tıbbi gizliliğe tabi kişisel veriler ile ilgili olarak, bunlar ancak bir doktorun huzurunda ve yetkisi altında iletilebilir.
Her denetim gününün sonunda, CNIL tarafından toplanan tüm unsurları, çıkarılan bulguları ve sunulan belgelerin kopyalarını içeren bir rapor düzenlenir. Rapor, yetkili acenteler ve denetlenen kuruluşun temsilcisi tarafından imzalanmalıdır. Kontrolle ilgili her türlü gözlem ve yorumun formüle edilmesi için tutanakların imzalanmadan önce düzeltilmesi gereklidir. Bir kontrolün ardından, CNIL ek bilgilerin iletilmesini talep edebilir veya ek ziyaretler gerçekleştirebilir.
CNIL, 2021’de 384 denetim gerçekleştirdi. Bunlar, 214 milyon avroyu aşan bir tutarda 135 resmi bildirime ve 12’si kamu olmak üzere 18 yaptırıma yol açtı. Ve otorite gardını indirmeye niyetli değil. Bu nedenle, şirketlerin GDPR’ye uyum sağlamak için gerekli olanı yapması, aynı zamanda hazırlıksız yakalanmamak ve bu alıştırmayı sakin bir şekilde yapabilmesi için olası bir kontrole hazırlanmaları gereğinden fazla hale geliyor.