CNIL Nedir ve Nasıl Uyum Sağlanır?
Yayınlanan: 2021-03-261 Ekim 2020'de Fransız Veri Koruma Kurumu (CNIL), çerezler ve benzer teknolojilerle ilgili 2019 yönergelerinin gözden geçirilmiş bir sürümünü yayınladı. Gözden geçirilmiş versiyon, çerezlerle ilgili GDPR düzenlemesini de dikkate alacak şekilde yayınlandı.
CNIL nedir?
CNIL veya Commission Nationale de l'informatique et des libertes (Ulusal Bilişim ve Özgürlük Komisyonu), Fransa'daki veri koruma yasalarını uygulama yetkisine sahip bir Fransız idari düzenleyici organıdır. CNIL, ülkede aşağıdaki üç yasanın tümünün uygulanmasından sorumludur.
- Fransız Veri Koruma Yasası
- GDPR
- eGizlilik Yönergesi
Ayrıca, yasaların ihlali nedeniyle şikayet alma ve para cezası verme yetkisine de sahiptir.
Kimler CNIL'e Tabi Olacak?
İşletmeniz aşağıdaki kategorilerden herhangi birine giriyorsa, buna uymanız gerekir.
- Fransa'da ve denizaşırı Fransız topraklarında yerleşik
- Fransa ve denizaşırı ülkelerdeki Fransız topraklarının vatandaşlarının ve mukimlerinin kişisel verilerini toplar ve/veya işler
Bunlar, GDPR'deki ile aynı uygulanabilirlik ilkeleridir.
CNIL kapsamında Çerez Uyumluluğu için Gereksinimler nelerdir?
Açık Kullanıcı İzni
Kullanıcı, açık bir olumlu olumlu eylemle (bir çerez başlığında "Kabul ediyorum" seçeneğine tıklamak gibi) onay vermelidir. Kullanıcının hareketsizliği, gezinmesi veya gezinmeye devam etmesi vb. rıza olarak alınamaz ve açık rıza alınana kadar kullanıcıların cihazına gerekli çerezler dışında herhangi bir çerez yerleştirilmemelidir.
Çerezleri Reddetme Seçeneği
Kullanıcılar, çerezleri ilk etapta kabul ettikleri kolaylıkla reddedebilmelidir.
Rızayı Geri Çekme Seçeneği
Kullanıcılar, çerezlere yönelik onaylarını istedikleri zaman ve kolayca geri çekebilmelidir.
Çerezlerin Amacı
Kullanıcılar, onay vermeden önce çerezlerin amaçları ve çerezleri kabul etme veya reddetmenin sonuçları hakkında açıkça bilgilendirilmelidir.
Onay Kanıtı
Tanımlama bilgileri için onay isteyen işletmeler, herhangi bir zamanda, kullanıcının ücretsiz, bilgilendirilmiş, spesifik ve açık rızasının geçerli bir şekilde toplandığının kanıtını sağlamalıdır.
Aşağıda, CNIL kapsamındaki uyumluluk gereksinimleri hakkında size hızlı bir fikir verecek bir bilgi grafiği yer almaktadır.
CNIL Kapsamında Çerezler İçin Nasıl Onay İsteyebilirsiniz?
Kullanıcılardan çerezlerin oluşturulması için izin alınması söz konusu olduğunda, hem CNIL hem de GDPR benzer gereksinimlere sahiptir. Aşağıda gösterildiği gibidirler.
- Rıza serbestçe verilmelidir. Kullanıcı, çerezler için onay verip vermeme konusunda özgür olmalıdır.
- Muvafakat belirli olmalıdır. Veri toplamanın her amacı için onay almanız gerekir. Bu, analitik amaçlarla izin aldıysanız, pazarlama amaçlarıyla veri toplama için yeni onay almanız gerektiği anlamına gelir.
- Rıza talebi iyi bilgilendirilmelidir. Bu, talep anında kullanıcıyı gizlilik uygulamalarınız hakkında bilgilendirmeniz gerektiği anlamına gelir. Çerezleri kullandığınızı bildirmek ve onlara gizlilik politikanızın bir bağlantısını sunmak iyi bir uygulamadır.
- Muvafakat açık olmalıdır. Bir KABUL ve REDDET düğmesi göstermelisiniz. Sadece KABUL butonunun gösterilmesi yeterli değildir. Kullanıcı, web sitenizde olumlu eylemlerde bulunabilmelidir.
CNIL Tarafından Onay Alınmasından Muaf Çerezler
CNIL kapsamında açık izin istemek gerekli olsa da, kullanıcıların izni olmadan belirli çerezlere izin verilmesini muaf tutar. İzin alınmasından muaf tutulan çerezlerin listesi aşağıdadır.
- Bir hizmetle kimlik doğrulaması için tasarlanan çerezler
- Bir e-ticaret sitesinde alışveriş sepeti ürünlerini hatırlamak için kullanılan çerezler
- Trafik istatistikleri oluşturmayı amaçlayan belirli çerezler
- Ücretli sitelerin, kullanıcılar tarafından talep edilen bir içerik örneğine ücretsiz erişimi sınırlamasına izin veren çerezler
- Kullanıcıların onay seçimini saklayan çerezler
- Kullanıcı arayüzü özelleştirme çerezleri
- Dil tercihi çerezleri
Kullanıcıların Sessizliği CNIL Kapsamında Nasıl Yorumlanmalı?
CNIL, rızanın yalnızca olumlu bir eylemden gelmesi gerektiğini düşünmektedir. Bu nedenle, herhangi bir eylemsizlik, çerezlerin kullanımını reddetmek olarak anlaşılmalıdır.
Aşağıda, kullanıcılarınızın cihazlarında tanımlama bilgileri ayarlayabileceğiniz iki durum bulunmaktadır.
- Kullanıcı, çerezler için onayını ifade etti
- Çerezler muaf tutulan kategoriye aittir (yukarıdaki bölümde listelendiği gibi)
CNIL Kapsamında Rızanın Yenilenmesi Ne Zaman Talep Edilir?
Prensip olarak, ister rızası olsun isterse reddi olsun, kullanıcının ifade ettiği tercihleri saklamak gerekir. Böylece, web sitesinde gezinirken seçimlerini sayfadan sayfaya yeniden düzenlemek zorunda kalmayacaklar.
Genel olarak, bu nedenle, belirli bir süre için tekrar talep edilmemesi için İnternet kullanıcısı tarafından ifade edilen seçimi kaydetmeniz önerilir.
Seçimlerin saklama süresinin duruma göre değerlendirilmesi gerekecektir (ilgili web sitesinin veya uygulamanın doğası ve hedef kitlesinin özellikleri ile ilgili olarak). Genel olarak, seçenekleri 6 aylık bir süre boyunca saklamak iyi bir uygulamadır.
CNIL'in Çerez Duvarları Hakkında Ne Diyor?
Çerez duvarları, kullanıcının web sitesinin içeriğine erişmeden önce çerezleri kabul etmesini gerektiren web sitesi tasarımlarıdır. 2019 yönergeleri, çerez duvarlarının kullanımını tamamen yasaklarken. Fransa mahkemesinin yasaya karşı verdiği kararın bir sonucu olarak, CNIL, Çerez duvarlarının yasallığının duruma göre değerlendirilmesi gerektiğini belirtmek için Yönergelerini düzenledi.
Çerez duvarı kullanılıyorsa, kullanıcı, içeriğe izinsiz erişmenin imkansız olduğu konusunda açıkça bilgilendirilmelidir. Aksi takdirde, çerez duvarı veya başlığı kısa süre içinde ortadan kalkmalıdır, böylece kullanıcının içeriğe erişimini engellemez veya başka bir şekilde kullanıcıyı onay vermeye yönlendirmez.
CNIL Yönergeleri ve Önerileri Arasındaki Fark Nedir?
CNIL hem yönergeler hem de öneriler ortaya koymuştur. Çerezler ve diğer izleyicilere ilişkin CNIL yönergeleri, bir kullanıcı bir akıllı telefon, bilgisayar, tablet vb. arabirimi aracılığıyla internetle etkileşime girdiğinde geçerli olan yasalar hakkında sizi bilgilendirir.
Tavsiye, ilgili profesyonellere uyum süreçlerinde rehberlik etmek içindir. Geçerli kurallara göre onay almak için pratik yöntemlere ilişkin örnekler sunar ve aynı zamanda Veri Koruma Yasası'nın 82. maddesinde belirtilen gereklilikleri yerine getirir.
Uyumsuzluğun Sonuçları Nelerdir ve Nasıl Uygulanır?
CNIL, GDPR veya Fransız Veri Koruma Yasası'nın iki şekilde ihlali durumunda bir kuruluşa karşı para cezası verir.
- CNIL'e yapılan bir şikayet veya ihlal bildiriminin ardından
- CNIL tarafından yürütülen bir soruşturmanın ardından
Her iki durumda da, CNIL başkanı, sınırlı komite üyeleri hariç, CNIL'in komisyon üyeleri arasından bir raportör atayabilir ve sınırlı komiteye başvurabilir. Sınırlı komite, beş CNIL komisyon üyesinden ve bunlar arasından seçilen bir başkandan oluşur.
Raportör ile örgüt arasında yazılı prosedür çerçevesinde suç duyurusunda bulunulan kuruluş bilgilendirilir ve belgeler değiştirilir. Kısıtlı komite daha sonra tüm belgeleri alır.
İşlem sırasında, raportör yararlı olduğunu düşünürse, suçlanan örgüt dinlenebilir. Bu durumda, yazılı bir rapor duruşmayı onaylayacaktır.
Ceza, gözetimli veya gözetimsiz olabilir. İzleme açısından, suçlanan işletme veya kuruluş, hangisi daha büyükse, dünya çapındaki toplam cironun %4'üne kadar veya 20 milyon sterline kadar bir meblağ ödemek zorunda kalacak. Denetim dışı koşullarda ihtar, dönemsel ceza ödemeli ihtiyati tedbir vb.
CNIL Ne Zaman Uygulanacak?
Açıkladığı gibi, (1 Ekim'de yayınlanan) yeni kurallara uyum için son tarihin altı ayı geçmemesi gerektiğini, yani en geç Mart 2021'in sonuna kadar tahmin ediyor.
CNIL daha sonra denetimler yapacak ve yaptırım eylemlerini gerçekleştirecektir. Her zaman olduğu gibi, operatörler hem eGizlilik Yönergesi'ne hem de Genel Veri Koruma Yönetmeliği'ne uyduklarından emin olmalıdır.
CNIL'e Nasıl Kolay Uyum Sağlanır?
CookieYes GDPR Cookie Consent and Compliance Notice eklentisinin yardımıyla WordPress web siteniz için CNIL uyumluluk yolculuğunu kolaylaştırabilirsiniz. Eklenti, güçlü özellikleriyle çerez yönetimini kolaylaştırır.
Eklenti size aşağıdaki özellikleri sağlar.
- Otomatik tanımlama bilgisi taraması – Eklenti, web sitenizi tanımlama bilgileri için otomatik olarak tarar.
- Çerez Onay başlığı – Yasaların yönergelerinde belirtilen gereksinimleri karşılamak için onay başlığını oluşturabilir ve özelleştirebilirsiniz.
- Ayrıntılı izin seçeneği – Kullanıcıları web sitenizdeki her bir tanımlama bilgisi türünün kullanımı hakkında bilgilendirerek tanımlama bilgileri için açık onay alın.
- Çerez onay günlüğü – Kullanıcılarınızın onayını, izin verilen çerezler, tarih, saat vb. gibi ilgili verilerle kaydedin.
- Otomatik komut dosyası engelleme - Üçüncü taraf eklentilerden ve hizmetlerden gelen tanımlama bilgilerinin komut dosyası engellemesini etkinleştirebilirsiniz
- Gizlilik politikası oluşturucu - Sıfırdan kolayca bir gizlilik/çerez politikası oluşturun.
Çözüm
CNIL tarafından ortaya konan yeni yönerge setinin ardından, buna uymak için çok fazla zamanınız kalmadı. Bu nedenle, CookieYes GDPR Cookie Consent and Compliance Notice eklentisiyle uyumluluk yolculuğunuza bugün başlayın.