ISO 27701 Nedir? Gizlilik Bilgi Yönetim Sistemi Rehberi
Kişisel verilerin korunması, dijital ekonominin temel güven unsurlarından biri haline gelmiştir. Bir müşteri kaydının izinsiz işlenmesi veya kişisel verilerin sızması, hem ağır idari para cezalarına hem de telafisi güç itibar kayıplarına yol açabilir. ISO/IEC 27701, tam da bu riskleri sistematik olarak yönetmek için tasarlanmış uluslararası bir standarttır.
ISO/IEC 27701, kişisel verilerin (PII) korunmasını ve gizliliğin yönetimini sağlamak amacıyla bir Gizlilik Bilgi Yönetim Sistemi (PIMS - Privacy Information Management System) kurmak, uygulamak, sürdürmek ve sürekli iyileştirmek için gereksinimleri ve rehberliği tanımlayan uluslararası standarttır. Standart, kuruluşların GDPR ve KVKK gibi gizlilik mevzuatlarına uyumlarını kanıtlamalarına yardımcı olur.
Özetle:
- Güncel sürüm: ISO/IEC 27701:2025
- Ne işe yarar: Kişisel verilerin (PII) korunmasını sağlayan bir Gizlilik Bilgi Yönetim Sistemi (PIMS) kurar
- Bağımsız standart: 2025 revizyonu ile artık bağımsızdır; ISO/IEC 27001 kurmadan da 27701 sertifikası alınabilir
- Yapı: ISO yüksek seviye yapısını (HLS / Annex SL) benimser, diğer ISO yönetim sistemleriyle uyumludur
- Mevzuat uyumu: GDPR ve KVKK gibi gizlilik düzenlemelerine uyumu kanıtlamaya yardımcı olur
- Roller: PII Controller (veri sorumlusu) ve PII Processor (veri işleyen) için ayrı rehberlik içerir
ISO 27701 Ne Anlama Gelir?
ISO/IEC 27701, kuruluşların topladığı, işlediği ve sakladığı kişisel verileri (PII - Personally Identifiable Information) yönetmek için yapılandırılmış bir çerçeve sunar. Standardın merkezinde, gizliliğin teknik ve yönetsel boyutlarını bir arada ele alan Gizlilik Bilgi Yönetim Sistemi (PIMS) yer alır.
PIMS; kişisel verilerin hangi amaçla işlendiğini, kimlerle paylaşıldığını, ne kadar süre saklandığını ve ilgili kişilerin haklarının nasıl korunduğunu sistematik biçimde tanımlar. Böylece gizlilik, tek seferlik bir uyum projesi olmaktan çıkar; sürekli izlenen, ölçülen ve iyileştirilen bir yönetim süreci haline gelir.
Standart, gizliliği iki temel rol üzerinden ele alır:
- PII Controller (Veri Sorumlusu): Kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen taraf.
- PII Processor (Veri İşleyen): Veri sorumlusu adına kişisel verileri işleyen taraf.
ISO/IEC 27701, bu iki rol için ayrı ek rehberlik sunar; böylece bir kuruluş, hangi konumda olduğuna göre kendisine düşen sorumlulukları net biçimde belirleyebilir.
ISO 27701:2025 ile Gelen Değişim
ISO/IEC 27701'in en önemli dönüm noktalarından biri 2025 revizyonudur. Önceki sürüm olan ISO/IEC 27701:2019, ISO/IEC 27001 ve ISO/IEC 27002 standartlarına bir uzantı (extension) olarak tasarlanmıştı. Bu nedenle 27701 sertifikası alabilmek için kuruluşun önce bir Bilgi Güvenliği Yönetim Sistemi (ISMS / ISO 27001) kurmuş olması gerekiyordu.
ISO/IEC 27701:2025 ile birlikte standart, ISO yüksek seviye yapısını (HLS / Annex SL) benimseyerek bağımsız bir standart haline gelmiştir. Artık ISO/IEC 27001 kurmadan da doğrudan ISO/IEC 27701 sertifikası almak mümkündür. Annex SL yapısı sayesinde 27701, ISO 9001, ISO 27001 ve ISO 42001 gibi diğer yönetim sistemi standartlarıyla aynı ortak çerçeveyi paylaşır ve entegre yönetim sistemlerine kolayca dahil edilebilir.
2019 ve 2025 Sürümleri Arasındaki Farklar
| Özellik | ISO/IEC 27701:2019 | ISO/IEC 27701:2025 |
|---|---|---|
| Standart yapısı | ISO 27001/27002'ye uzantı | Bağımsız (HLS / Annex SL) |
| ISO 27001 ön koşulu | Gerekli | Gerekli değil |
| Diğer standartlarla uyum | Sınırlı | Yüksek (ortak Annex SL yapısı) |
| Tek başına sertifikasyon | Mümkün değil | Mümkün |
| Yaklaşım | BGYS'ye eklemlenen gizlilik | Bağımsız gizlilik yönetim sistemi |
Bu değişim, gizliliği önceleyen ancak kapsamlı bir bilgi güvenliği sistemi kurmak istemeyen kuruluşlar için 27701'i çok daha erişilebilir hale getirmiştir.
PIMS'in Temel Bileşenleri
Bir Gizlilik Bilgi Yönetim Sistemi, birkaç temel yapı taşı üzerine kurulur. Aşağıdaki tablo, PIMS'in odaklandığı başlıca alanları özetler.
| Bileşen | Açıklama |
|---|---|
| Liderlik ve bağlam | Üst yönetimin gizlilik politikalarına sahip çıkması ve kuruluşun gizlilik kapsamının belirlenmesi |
| Risk değerlendirmesi | Kişisel veri işleme faaliyetlerine yönelik gizlilik risklerinin belirlenmesi ve değerlendirilmesi |
| Roller ve sorumluluklar | PII Controller ve PII Processor rollerinin tanımlanması |
| İlgili kişi hakları | Erişim, düzeltme, silme gibi taleplerin yönetilmesine ilişkin süreçler |
| Veri işleme kayıtları | Kişisel verilerin amacı, dayanağı ve saklama sürelerinin belgelenmesi |
| İzleme ve iyileştirme | İç denetimler, gözden geçirmeler ve sürekli iyileştirme döngüsü (PUKÖ) |
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
ISO 27701 ile ISO 27001 İlişkisi
ISO/IEC 27701, 2025 sürümüyle bağımsız hale gelmiş olsa da ISO/IEC 27001 ile arasındaki güçlü bağ devam etmektedir. ISO 27001 bilgi güvenliğinin (gizlilik, bütünlük, erişilebilirlik) genel çerçevesini sunarken, ISO 27701 bu çerçeveye gizlilik ve kişisel veri koruması boyutunu ekler.
Pek çok kuruluş için bu iki standardı birlikte uygulamak hâlâ en güçlü yaklaşımdır: ISO 27001 bilgi varlıklarını sistematik olarak korurken, ISO 27701 kişisel verilere özgü gizlilik gereksinimlerini karşılar. Annex SL ortak yapısı, bu iki sistemin tek bir entegre yönetim sistemi altında sorunsuz biçimde yönetilmesini sağlar.
ISO 27701'in Faydaları
| Fayda | Açıklama |
|---|---|
| Mevzuat uyumu | GDPR, KVKK ve benzeri gizlilik düzenlemelerine uyumu kanıtlamayı kolaylaştırır |
| Güven artışı | Müşteri ve iş ortaklarına kişisel verilerin korunduğuna dair somut güvence verir |
| Risk azaltımı | Veri ihlali ve idari ceza risklerini sistematik biçimde düşürür |
| Rekabet avantajı | Sertifika, ihale ve tedarik süreçlerinde fark yaratır |
| Entegrasyon | ISO 27001 ve diğer ISO standartlarıyla kolayca entegre edilir |
| Şeffaflık | Veri işleme faaliyetlerinin belgelenmesini ve hesap verebilirliği güçlendirir |
GDPR ve KVKK ile İlişkisi
ISO/IEC 27701, doğrudan bir yasal yükümlülük olmasa da gizlilik mevzuatına uyumu kanıtlamada güçlü bir araçtır. Avrupa Birliği'nin Genel Veri Koruma Tüzüğü (GDPR) ve Türkiye'nin Kişisel Verilerin Korunması Kanunu (KVKK), kuruluşlardan kişisel verileri belirli ilkeler doğrultusunda işlemelerini, ilgili kişilerin haklarını korumalarını ve uygun teknik-idari tedbirleri almalarını bekler.
ISO 27701 ile kurulan PIMS, bu beklentilerle büyük ölçüde örtüşen yapılandırılmış bir çerçeve sağlar. Standardın sertifikasyonu, yasalara birebir denkliği garanti etmese de kuruluşun gizliliğe yönelik hesap verebilirlik ilkesini ve sistematik bir yönetim yaklaşımını benimsediğini bağımsız bir taraf üzerinden gösterir. Bu da denetimlerde ve müşteri ilişkilerinde önemli bir güven kanıtı oluşturur.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
ISO/IEC 27701, kişisel verilerin (PII) korunması ve gizliliğin yönetilmesi için bir Gizlilik Bilgi Yönetim Sistemi (PIMS) kuran uluslararası standarttır. Kuruluşların kişisel veri işleme faaliyetlerini sistematik biçimde yönetmelerini ve gizlilik mevzuatına uyumlarını kanıtlamalarını sağlar.
En önemli değişiklik, standardın bağımsız hale gelmesidir. 2019 sürümü ISO/IEC 27001 ve 27002'ye bir uzantıyken, 2025 sürümü ISO yüksek seviye yapısını (HLS / Annex SL) benimseyerek bağımsız bir standart olmuştur. Böylece artık ISO 27001 kurmadan da doğrudan 27701 sertifikası alınabilmektedir.
Evet. ISO/IEC 27701:2025 ile birlikte standart bağımsız hâle geldiğinden, önceden ISO/IEC 27001 (ISMS) kurmuş olmak artık zorunlu değildir. Bu, gizliliğe odaklanan kuruluşlar için sertifikasyonu daha erişilebilir kılar. Yine de birçok kuruluş, daha güçlü bir koruma için 27001 ve 27701'i birlikte uygulamayı tercih eder.
ISO 27701 ile kurulan PIMS, GDPR ve KVKK'nın beklediği gizlilik ilkeleriyle büyük ölçüde örtüşür. Standart bu mevzuatlara birebir denklik garantisi vermese de, kuruluşun hesap verebilirlik ilkesini ve sistematik bir gizlilik yönetimi benimsediğini kanıtlayarak uyumu göstermede güçlü bir destek sağlar.
PII Controller (veri sorumlusu), kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen taraftır. PII Processor (veri işleyen) ise bu verileri veri sorumlusu adına işleyen taraftır. ISO 27701, her iki rol için ayrı ek rehberlik sunarak kuruluşların kendi konumlarına özgü sorumluluklarını netleştirmelerini sağlar.
