Fransa'da İşletmeler İçin RGPD (GDPR) Uyum Rehberi

Genel Veri Koruma Tüzüğü (GDPR), Fransa'da RGPD olarak bilinen bu düzenleme 2018'den beri yürürlüktedir ancak birçok işletme hâlâ tam uyum sağlayamamıştır. 20 milyon euroya veya küresel yıllık gelirin %4'üne kadar para cezaları ve Fransa'nın CNIL'inin uygulamayı sıkılaştırması ile uyum artık isteğe bağlı değildir.

Bu rehber, 2025 AI şeffaflık gereksinimleri dahil temel yükümlülükleri ve son değişiklikleri kapsar.

Neden Ciddiye Almalısınız

İhlal Türü	Azami Para Cezası
Teknik ihlaller	10 milyon EUR veya gelirin %2'si
Hak ihlalleri	20 milyon EUR veya gelirin %4'ü

CNIL, RGPD'nin yürürlüğe girmesinden bu yana 400 milyon eurodan fazla para cezası vermiştir. KOBİ'ler muaf değildir — 50.000 ila 500.000 EUR arası yaptırımlar her büyüklükteki kuruluşu düzenli olarak etkilemektedir.

7 Temel Yükümlülük

1. Bilgilendirilmiş Onay

Onay şu niteliklerde olmalıdır:

• Özgürce verilen — önceden işaretli kutular yok
• Belirli — her amaç için ayrı onay
• Bilgilendirilmiş — veri kullanımının açık açıklaması
• Açık — kullanıcının olumlu eylemi gerekli

2. İşleme Faaliyet Kaydı

250'den fazla çalışanı olan kuruluşlar için zorunlu, ancak tümü için önerilir. Amaçları, veri kategorilerini, alıcıları, saklama sürelerini ve güvenlik önlemlerini içermelidir.

3. Veri Koruma Görevlisi (DPO)

Kamu kurumları, büyük ölçekte veri işleyen kuruluşlar ve hassas veri işleyenler için zorunludur. Zorunluluk olmasa bile DPO atamak en iyi uygulamadır.

4. Veri Koruma Etki Değerlendirmesi (DPIA)

İşleme, bireylerin haklarına yüksek risk oluşturabilecekse gereklidir. Örnekler: video gözetim, profilleme, sağlık verisi işleme.

5. İhlal Bildirimi

Veri ihlali meydana geldiğinde:

• CNIL'e 72 saat içinde bildirim
• Yüksek risk durumunda etkilenen bireylere bildirim
• Küçük olanlar dahil her ihlalin belgelenmesi

6. Bilgi Hakkı

Her birey hangi verilerin toplandığını, neden, ne kadar süre saklanacağını, kimin erişimi olduğunu ve haklarını nasıl kullanacağını (erişim, düzeltme, silme, taşınabilirlik) bilme hakkına sahiptir.

7. AI Şeffaflığı (2025'te Yeni)

2025'ten itibaren otomatik kararlar için AI kullanan kuruluşlar, bireyleri bilgilendirmeli, kullanılan mantığı açıklamalı ve kararlara itiraz etmeye izin vermelidir.

Uyum Belgelerini Güvenle Paylaşma

RGPD uyum belgeleri hassas bilgiler içerir: işleme kayıtları, etki değerlendirmeleri, denetim raporları, düzenleyicilerle yazışmalar.

Normal e-posta ile göndermek ek riskler yaratır. LOCK.PUB parola korumalı ve otomatik süresi dolan bir bağlantı oluşturarak DPO, avukat veya CNIL ile belgeleri güvenle paylaşmanızı sağlar. Bağlantıyı WhatsApp'tan gönderin — pratik ve güvenli.

Ücretsiz CNIL Araçları

CNIL birçok ücretsiz araç sunar:

• PIA: açık kaynak etki değerlendirme yazılımı
• İşleme kaydı şablonu (cnil.fr'den indirilebilir)
• Alt yüklenici rehberi (işleyici yükümlülükleri)
• Sektörel çerçeveler (sağlık, İK, müşteriler)

RGPD Uyum Kontrol Listesi

• Güncel işleme kaydı
• Yayınlanmış gizlilik politikası
• Uyumlu çerez banner'ı
• Belgelenmiş onay süreçleri
• DPO atanmış (gerekliyse)
• İhlal bildirim prosedürü
• RGPD maddeleri içeren tedarikçi sözleşmeleri
• Personel eğitimi
• Yüksek riskli işlemler için DPIA
• Veri sahibi taleplerini yanıtlama süreci

Yaygın Hatalar

1. Onay ile meşru menfaati karıştırmak — bunlar iki farklı hukuki dayanaktır
2. Verileri aşırı saklamak — verileri "her ihtimale karşı" saklamak yasadışıdır
3. Tedarikçileri unutmak — işleyicilerinizden siz sorumlusunuz
4. Güvenliği ihmal etmek — RGPD uygun teknik önlemler gerektirir
5. Veri sahibi haklarını görmezden gelmek — yanıt için 1 ayınız var

Sonuç

RGPD uyumu tek seferlik bir proje değil, süregelen bir süreçtir. Kurallar gelişir, CNIL uygulamayı sıkılaştırır ve vatandaşların gizlilik beklentileri yükselmeye devam eder.

Temellerle başlayın — kayıtlar, şeffaflık, güvenlik — ve oradan ilerleyin. Hassas uyum belgelerini paylaşmanız gerektiğinde LOCK.PUB kullanın.

---

Veri koruma sadece yasal bir yükümlülük değildir. Müşterilerinize ve çalışanlarınıza bir taahhüttür.