Bu, GDPR’nin ilerlemelerinden biridir. Kişisel verilerin korunmasına ilişkin Avrupa düzenlemesinin 15. maddesi, her vatandaşa, veri denetleyicisinden kendisiyle ilgili kişisel verilere erişim talebinde bulunma hakkını vermektedir. verilerinin hangi amaçlarla kullanıldığını ve hangi üçüncü taraf kuruluşlara aktarılmış olabileceğini bilmeyi de talep edebilir. GDPR son olarak düzeltme hakkının ve unutulma hakkının (verilerin silinmesi) kullanılması olanağını vermektedir.
Dosyadan sorumlu kişinin, talebin alındığı tarihten itibaren maksimum bir aylık yanıt süresi vardır. Erişim hakkına doğru şekilde saygı duyuluyor mu? Bunu sağlamak için, 20 yıl önce oluşturulan ve veri koruma delegeleri (Veri koruma görevlisi için DPD veya DPO) dahil olmak üzere 6.000’den fazla GDPR uyumluluk profesyonelini bir araya getiren bir dernek olan AFCD, soruşturmaya liderlik ediyor.
Sizinkini inşa etmek için Yıllık Erişim Hakkı Endeksi “, Isep’ten (Paris Yüksek Elektronik Enstitüsü) “Kişisel verilerin yönetimi ve korunması” konusunda uzmanlaşmış yüksek lisans derecesindeki öğrencilere çağrıda bulunuyor. 28 Ocak’ta düzenlenecek Avrupa Veri Koruma Günü’nden birkaç gün önce AFCDP, 2024 yılı için çalışmalarının sonuçlarını yayınlıyor.
Talep edilen 115 veri sorumlusundan (yüzde 20’si kamu sektörü, yüzde 80’i özel sektör) 75’i, yani panelin yüzde 65,2’si hukuki taleplere yanıt verdi. 2023’teki %50,7 ve 2022’deki %45,9 ile karşılaştırırsak cesaret verici bir sonuç.
CNIL yaptırımları durumu değiştirecek mi?
Ancak AFCD, bu tür talepleri işleme koyabilecek şekilde kendilerini açıkça organize edemeyen veri kontrolörlerinin yaklaşık %35’inden oluşan bir çekirdek çekirdeğin varlığından üzüntü duymaktadır. “ CNIL’in bu tür uyumsuzluk nedeniyle şirketlere uyguladığı son mali yaptırımlar durumu değiştirecek mi? »derneğe sorar.
Aslında 2023 yılı boyunca CNIL bir dizi para cezası erişim hakkına uyulmaması nedeniyle. En ağır yaptırım – 40 milyon euro – Criteo’yu ilgilendiriyor. Ancak çevrimiçi reklamcılık uzmanı, yalnızca erişim hakkına saygı göstermemenin ötesinde bir dizi suç işlemiştir.
Cevap veren 75 kuruluştan 68’i bir aydan kısa bir süre içinde yanıt verdi – son yanıt tarihlerine uymanın ötesinde, Isep öğrencileri yanıtların GDPR’ye uygunluğuyla da ilgilendiler. Verilerin eksiksiz olması, güvenli bir şekilde iletilmesi ve kolay anlaşılır olması gerekmektedir.
Burada da yanıtların kalitesi artıyor. Son teslim tarihine kadar yanıt veren 68 kuruluştan 39’u mükemmel veya tatmin edici bir derecelendirme aldı. Veya panelin %40’ı; 2023’teki %32,3 ve 2022’deki %22,2. Geriye kalan kuruluşların %16,5’i tüm düzenleyici bilgileri sağlamadı ve %8,7’si eksik veya okunamayan veriler sağladı.
Hala sorunlu vakalar
Önceki yıllarda olduğu gibi AFCD “ Erişim hakkı taleplerinin işlenmesinde, silme talebiyle (müşteri hesabının silinmesiyle) karıştırılması veya üçüncü bir tarafa ilişkin verilerin iletilmesi (bu bir veri ihlali teşkil eder) gibi büyük hataları tanımlar. »
Bazı vakalar daha gerçeküstüdür. Bir kuruluş, verileri iletmeden önce şifrelemeye özen gösterir ancak ilgili kişi verilerin şifresini çözemez. Bir diğeri ise verilere erişimin ancak hakim kararıyla mümkün olabileceğini belirtiyor! Bu veri denetleyicisinin bir DPO belirlemediğini unutmayın. Daha genel olarak çalışma, kamu veya özel kuruluşların web sitelerindeki GDPR haklarına kolay erişim vaatleri ile gerçeklerin gerçekliği arasında bir boşluk olduğunu gösteriyor.