Kobitek.com web sitesi, analitik ve kişiselleştirme dahil olmak üzere site işlevselliğini sağlamak ve reklam gösterimini optimize etmek için çerezler gibi verileri depolar.
ISO 27701, kişisel verilerin yönetimi ve gizliliği için geliştirilmiş bir yönetim sistemi standardıdır. Bu standart, 2019 yılında yayımlanmıştır ve ISO 27001 (Bilgi Güvenliği Yönetim Sistemi) ve ISO 27002 (Bilgi Güvenliği Kontrol Kataloğu) ile uyumlu olarak geliştirilmiştir.
ISO 27701, hem veri denetçileri (controller) hem de veri işleyicileri (processor) için kişisel verilerin korunmasına dair ek bir çerçeve sunar ve özellikle GDPR gibi veri koruma yasalarıyla uyum sağlamak için tasarlanmıştır.
ISO 27701, ilk olarak Temmuz 2019'da yayımlanmıştır. İlk yayımlanan versiyon, kişisel verilerin yönetimi ve gizliliği konusunda kapsamlı bir çerçeve sunmaktadır.
2021 yılında standartta yapılan güncellemeler, veri koruma uygulamalarındaki en son gelişmeleri ve pratik değişiklikleri yansıtmak amacıyla yapılmıştır. Güncellemeler, genellikle standartların uyumlu olmasını ve gelişen veri koruma ihtiyaçlarına yanıt vermesini sağlar.
ISO 27701, kişisel verilerin korunmasıyla ilgili kapsamlı bir yönetim sistemi çerçevesi sunar ve aşağıdaki ana başlıkları içerir:
ISO 27701, kişisel verilerin korunmasına yönelik sistematik bir yaklaşım sağlar.
Bu bölümde, standart kapsamı, veri sorumlularının ve veri işleyicilerinin yükümlülükleri belirlenir ve kişisel verilerin korunması için genel ilkeler açıklanır.
Standart, kişisel verilerin korunmasını sağlamak için Gizlilik Bilgi Yönetim Sistemi (PIMS) kurulumunu ve yönetimini detaylandırır.
Bu sistem, kişisel verilerin işlenmesine dair riskleri belirler ve yönetir.
ISO 27701, veri işleme süreçlerinin risklerini değerlendirip yönetmek için yöntemler sunar.
Bu bölüm, risk değerlendirmesi ve risk yönetimi süreçlerinin nasıl yürütülmesi gerektiğine dair rehberlik eder.
Standart, veri koruma politikalarının ve prosedürlerinin oluşturulması ve sürdürülmesi gerektiğini belirtir.
Bu bölüm, veri koruma politikalarının geliştirilmesine yönelik gerekli adımları ve en iyi uygulamaları açıklar.
ISO 27701, veri işleme faaliyetlerinin veri koruma üzerindeki etkilerini değerlendirmek için Veri Koruma Etkisi Değerlendirmesi (DPIA) yapılmasını önerir.
Bu değerlendirme, olası riskleri belirlemeye ve bunlara yönelik tedbirler almaya yardımcı olur.
Standart, kişisel veri koruma sistemlerinin etkinliğini izlemek ve denetlemek için iç denetimlerin yapılmasını öngörür.
İç denetimler, sistemin uygunluğunu ve etkinliğini değerlendirmek için kritik bir araçtır.
ISO 27701, organizasyon içindeki tüm çalışanların veri koruma konusunda eğitim almasını ve farkındalığının artırılmasını gerektirir.
Eğitim, çalışanların kişisel verileri nasıl koruyacaklarını anlamalarına yardımcı olur.
Standart, veri ihlali durumunda nasıl hareket edilmesi gerektiğine dair prosedürler ve tedbirler sunar.
Veri ihlali yönetimi, veri koruma sisteminin kritik bir parçasıdır ve ihlallerin etkin bir şekilde ele alınmasını sağlar.
ISO 27701, veri sahiplerinin haklarının korunmasını ve bu haklara ilişkin prosedürlerin oluşturulmasını içerir.
Veri sahipleri, kişisel verileri üzerinde çeşitli haklara sahiptir ve bu hakların nasıl korunacağı standartta detaylandırılmıştır.
Türkiye’de kişisel verilerin korunması, Kişisel Verilerin Korunması Kanunu (KVKK) ile düzenlenmiştir.
ISO 27701, KVKK ile uyumlu bir yönetim sistemi sağlamada önemli bir araçtır. Türk mevzuatına göre, ISO 27701 standardına uygunluk şu yükümlülükleri getirmektedir:
ISO 27701, veri sorumlularının ve veri işleyicilerinin veri koruma yükümlülüklerini yerine getirmelerine yardımcı olur.
Veri sorumluları, kişisel verilerin nasıl işlendiğini ve korunduğunu belirleyen kişilerdir. Veri işleyicileri ise bu verileri işleyen üçüncü taraflardır.
ISO 27701, kişisel veri işleme süreçlerinin risklerini değerlendirmek ve yönetmek için sistematik bir yaklaşım önerir. Bu, KVKK'nın risk temelli yaklaşımı ile uyumlu bir uygulamadır.
Standart, veri koruma politikaları ve prosedürlerinin oluşturulması ve sürdürülmesi gerektiğini belirtir.
Bu, KVKK kapsamındaki veri koruma yükümlülükleriyle örtüşür.
ISO 27701, veri ihlali durumlarında nasıl hareket edilmesi gerektiğine dair rehberlik sağlar.
KVKK, veri ihlallerinin bildirilmesini zorunlu kılar ve ISO 27701 bu süreci daha etkin bir şekilde yönetmeye yardımcı olabilir.
ISO 27701 standardına uyum süreci, genellikle aşağıdaki adımları içerir:
Standart gereksinimlerinin belirlenmesi, mevcut veri koruma süreçlerinin değerlendirilmesi ve bir uyum planının hazırlanması.
Bu aşama genellikle 1-2 ay sürebilir. Planlama aşamasında, mevcut sistemlerin analizi ve eksikliklerin belirlenmesi kritik öneme sahiptir.
Veri koruma politikalarının ve prosedürlerinin oluşturulması, çalışanların eğitilmesi ve veri koruma süreçlerinin uygulanması.
Bu aşama 3-6 ay sürebilir, kurumun büyüklüğüne ve mevcut süreçlerine bağlı olarak değişir. Uygulama sürecinde, veri koruma sistemlerinin entegre edilmesi ve personelin bilgilendirilmesi gerekmektedir.
Uygulanan süreçlerin ve politikaların iç denetimlerle ve dış denetimlerle gözden geçirilmesi.
Bu aşama genellikle 1-2 ay sürebilir. Denetim aşamasında, sistemlerin etkinliği ve uygunluğu detaylı bir şekilde incelenir.
Standart uyumunu belgeleyen resmi sertifikasyon süreci.
Bu aşama genellikle 1-2 ay sürer ve bağımsız bir denetim kurumu tarafından gerçekleştirilir.
Sertifikasyon sürecinde, dış bir denetim kuruluşu tarafından sistemlerin uygunluğu değerlendirilir ve sertifika verilir.
Genel olarak, ISO 27701’e uyum sağlama süreci toplamda 6-12 ay sürebilir, ancak bu süre, kurumun büyüklüğüne, mevcut süreçlerine ve uygulama kapsamına göre değişiklik gösterebilir.
ISO 27701, kişisel veri koruma yönetim sistemlerini uluslararası standartlara uygun şekilde yönetmek isteyen kurumlar için kapsamlı bir çerçeve sunar. Türk mevzuatına uyum sağlamak, bu standardın uygulanmasıyla daha da kolaylaşabilir.
ISO 27701’in sağladığı yapı, veri koruma süreçlerini sistematik ve etkili bir şekilde yönetmek isteyen kuruluşlar için önemli bir araçtır.
Tufan KARACA ile
Yönetim Vizyonu
BÜYÜTEÇ
Destekçilerimize Teşekkürler
Kozyatağı Mahallesi Sarı Kanarya Sokak
Byofis No: 14 K:7 Kadıköy 34742 İstanbul
Telefon: 0216 906 00 42 | E-Posta: info@ kobitek.com
KOBITEK.COM, bir
TEKNOART Bilişim Hizmetleri Limited Şirketi projesidir.
2001 yılından beri KOBİlere ücretsiz bilgi kaynağı olma hedefi ile, alanında uzman yazarlar tarafından sunulan özgün bir iceriğe sahiptir.
Tüm yazıların telif hakları KOBITEK.COM'a aittir. Alıntı yapılabilir, referans verilebilir, ancak yazarın kişisel bloğu dışında başka yerde yayınlanamaz
