CNIL, GDPR Veri İşleme Envanterini yayınladı

Kişisel veri işlemekten sorumlu her sorumlu kişi gibi, CNIL de işleme faaliyelerini detaylandıran bir kayıt tutmaktadır. Şeffaflık ve pedagoji yararına, bu kayıt  açıklamalar eşliğinde halka açıklanmaktadır.

İşlem faaliyeti kaydının amacı nedir?

İşleme faaliyetlerinin kaydedilmesi GDPR m 30 gereğidir. Bu kayıt, yol gösterici olmak ve GDPR’a uyumu göstermek adına gerekli belgelendirmenin temel unsurunu teşkil eder.

Bu sicilin oluşturulması, kamu kurumu veya özel kurumdaki veri koruma memuru ya da muhatabın şu soruları cevaplanmasını sağlar:

• -Bu kurumun sorumluluğu altında gerçekleşen veri işleme süreçlerini belirlemek,
• – Açılan dosyaların amaçları, toplanan verinin minimizasyonu, hassasiyeti, saklama koşulları, alıcı grupları ve risklerin değerlendirilmesinde kurumun çeşitli konulardaki uzmanlığıyla doğru soruları sormak,
• -Kurumun veri işleme sürecinde tanımlanan kişilerin bilgisi için gerekli bilgileri toplamak
• -Bir GDPR uyum aksiyon planı belirlemek,

CNIL, kaydı neyi içeriyor?

Söz konusu kayıt, CNIL tarafından uygulanan tüm işleme operasyonlarını listelemektedir. Şunları ihtiva etmektedir:

• – CNIL başkanının ve veri işleme memurunun kim olduğu (Sayfa 1); Tavsiye taleplerinin yönetilmesi, şikayetlerin yönetilmesi ve CNIL bülteninin yönetilmesi gibi işleme faaliyetlerinin (listelenerek) belirtilmesi (Sayfa 2 ve 3),
• – Her faaliyet için bir kayıt sayfası, örn 56 sayfa (Sayfa 4 ve devamı),

Her dosya GDPR m 30’da belirtilen zorunlu bilgileri içermektedir:

• – İşleme faaliyetinin tanımı,
• – Veri sorumlusu (CNIL) ile veri koruma memurunun (DPD/DPO) kimliği (CNIL), iletişim bilgileri,
• – Amaçlar (Veri işleme hedefleri),
• -İlgili kişi kategorileri (dahili ya da harici aktörler, profesyoneller ya da bireyler),
• – İşlenen veri kategorileri (Kimlik, iletişim detayları, bağlantı bilgisi ya da hassas veri gibi),
• – Verinin alıcı kategorileri (CNIL hizmetleri, üçüncü kişiler),
• – Avrupa Birliği dışına veri aktarımı olup olmadığı;
• – Mümkün olduğu kadar, veriyi saklama süresi,
• – Alınan güvenlik önlemlerinin genel bir tarifi.

Ek olarak, GDPR’ın 30. maddesinde zorunlu olarak öngörülmemesine karşın, kayıtta, sorumluluğu altındaki veri işlemenin izlenmesi ve ilgili kişilerin bilgilendirilmesi için faydalı olan bilgilerin yer almasını da arzu etmektedir.

GDPR’ın 13, 14 ve 15. maddelerinde belirtilen bu ek bilgiler:

• -İşlemenin hukuki temeli (ya da temelleri),
• -Verinin kaynağı,
• – Veri toplamanın zorunlu ya da ihtiyari niteliği ve verilerin sağlanamamasının sonuçları,
• – Otomatik karar almanın söz konusu olup olmadığı,
• – İlgili işleme konusunda bireylerin GDPR’da belirtilen hakları ve veri koruma memuru aracılığıyla bu hakların nasıl kullanılabileceği (online ya da posta) yoluyla,
• – CNIL’e itiraz hakkı.

Böylece, tek bir belge içinde , uyguladığı işlemlerden etkilenen insanların bilgilenmesi için yararlı olan tüm unsurlar bir araya getirildi. Bu unsurlar aslında, telehizmet düzeyinde veya dahili olarak (insan kaynakları yönetimi, tedarik yönetimi, BT destek yönetimi, vb.) yürütülen GDPR sözlerine dahil edilmiştir.

Özet olarak, CNIL kaydı, GDPR 30. maddede belirtilen zorunlu içeriklerin ötesinde, işleme faaliyetlerinin izlenmesi için bir araca sahip olmasına izin vermektedir. Aynı zamanda bu, somut örnekler vererek (örneğin yasal temeller hakkında) GDPR’ın belirli kavramlarının yorumlanmasını kolaylaştırmak için veri denetleyicilerinin dikkatine yönelik bir eğitim yaklaşımının bir parçasıdır.

CNIL kaydına danışın.

Yazı için bkz.