ISO & Uyumluluk19 Mayıs 20266 dakika okuma

ISO 27701: Gizlilik Bilgi Yönetimi ve GDPR/KVKK Uyumu

ISO 27701, ISO 27001'i gizlilik yönetimi boyutuyla genişleten standarttır. GDPR ve KVKK gereksinimlerini karşılamak için nasıl kullanılacağını ve veri koruma rolleri olan veri sorumlusu ile işleyeni nasıl desteklediğini anlatıyoruz.

ISO 27701GDPRKVKKGizlilikPIIVeri Koruma

ISO 27701 Nedir?

ISO/IEC 27701:2019, ISO 27001 ve ISO 27002 standartlarını Kişisel Olarak Tanımlanabilir Bilgi (PII — Personally Identifiable Information) yönetimi perspektifinden genişleten bir uzantı standarttır. Doğrudan ISO 27001 sertifikasının üzerine inşa edilir; bağımsız bir sertifika değil, ek bir katman olarak konumlanır.

GDPR, KVKK ve benzeri gizlilik düzenlemelerine uyumun kanıtlanması için güçlü bir çerçeve sunar.

ISO 27001 ile Farkı

  • ISO 27001 bilgi güvenliğini (gizlilik, bütünlük, erişilebilirlik) kapsar.
  • ISO 27701, bu üç boyuta ek olarak mahremiyet (privacy) boyutunu ekler ve PII'nin korunmasına odaklanır.
  • Kuruluş, önce ISO 27001 sertifikasına sahip olmalı ya da aynı anda iki standardı birlikte uygulayabilir.

Veri Sorumlusu ve Veri İşleyen Kontrolleri

Standart, iki farklı rol için ayrı kontrol setleri içerir:

Veri Sorumlusu (Controller) Kontrolleri:

  • PII toplamanın sınırlandırılması ve amaçla orantılılık
  • Açık rıza mekanizmasının kurulması
  • Veri sahibinin haklarını kullanmasını sağlayan prosedürler
  • PII aktarımında uygun güvenceler

Veri İşleyen (Processor) Kontrolleri:

  • Veri sorumlusunun talimatları dışında işlem yapmama
  • Alt yüklenicilerin denetlenmesi
  • Veri sorumlusuna işleme faaliyetleri hakkında raporlama

GDPR ile Eşleştirme

ISO 27701'in Ek D'si, kontrolleri GDPR maddeleriyle eşleştirir. Bu eşleştirme sayesinde:

  • ISO 27701 denetimi, GDPR uyumunun kanıtı olarak kullanılabilir.
  • DPA (Data Protection Authority) denetimleri için güçlü bir belgelendirme altyapısı oluşturulur.
  • Veri Koruma Etki Değerlendirmesi (DPIA) gereksinimleri sistematik biçimde karşılanır.

KVKK ile Uyum

ISO 27701, KVKK'nın gerektirdiği teknik ve idari tedbirleri sistematik biçimde belgelemek için kullanılabilir:

  • Kişisel veri envanteri ve veri akışı haritalama
  • Veri sahibi talep yönetimi prosedürleri
  • Üçüncü taraf (veri işleyen) sözleşmelerinin yönetimi
  • VERBİS kaydı için gerekli bilgilerin sistematik toplanması

Sertifikasyon Süreci

  • ISO 27001 denetimcisi, ek olarak ISO 27701 gereksinimlerini de denetler.
  • Tek bir denetimle hem ISO 27001 hem ISO 27701 sertifikası alınabilir.
  • Her iki sertifikanın gözetim ve yenileme döngüleri senkronize çalışır.

Sonuç

ISO 27701, gizlilik yönetimini bilgi güvenliği yönetim sisteminizin ayrılmaz bir parçası haline getirir ve KVKK/GDPR uyumunu bağımsız denetimle kanıtlar. Lider Network, ISO 27701 hazırlık analizi ve uyum danışmanlığında hizmet sunmaktadır.

İlgili Makaleler

ISO & Uyumluluk

ISO 27001 Nedir? Bilgi Güvenliği Yönetim Sistemi Rehberi

Oku ISO & Uyumluluk

KVKK Nedir? Kişisel Verilerin Korunması Kanunu Kapsamlı Rehberi

Oku ISO & Uyumluluk

ISO 22301 İş Sürekliliği Yönetim Sistemi: Felaket Senaryolarına Hazırlık

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi