ISO 27701 Nedir? Gizlilik Bilgi Yönetim Sistemi (PIMS) Rehberi
Kişisel veri işleyen her kurum, bir yandan bilgi güvenliğini kurarken bir yandan da gizlilik yükümlülükleriyle boğuşuyor. ISO/IEC 27701, tam da bu iki dünyayı tek bir yönetim sistemi altında birleştiren standarttır. Kısaca Gizlilik Bilgi Yönetim Sistemi (PIMS) olarak anılır ve mevcut bir bilgi güvenliği altyapısının üzerine gizlilik katmanı ekler. KVKK ve GDPR gibi düzenlemelerin dağınık gerekliliklerini, denetlenebilir tek bir çerçeveye oturtur.

Rehber, standardı sıfırdan öğrenmek isteyenler için hazırlandı. Neyi kapsadığını, neden tek başına ayakta duramadığını, PII sorumlusu ile işleyeni arasındaki farkı ve getirdiği ek kontrolleri tek tek ele alıyoruz.
ISO 27701 Nedir?
ISO/IEC 27701:2019, kişisel verilerin işlenmesine dair gizlilik risklerini yöneten bir çerçeve tanımlar. Uluslararası Standardizasyon Örgütü (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) tarafından 2019 yılında yayımlandı. Adındaki "PIMS" ifadesi Privacy Information Management System, yani Gizlilik Bilgi Yönetim Sistemi anlamına gelir.
Standardın özü şudur: kurumunuz zaten bir bilgi güvenliği yönetim sistemi işletiyorsa, ISO 27701 o sistemi genişleterek kişisel veri koruma boyutunu ekler. Yeni bir sistem kurmazsınız; var olanı gizlilik gereksinimleriyle donatırsınız. Verinin nasıl toplandığı, saklandığı ve paylaşıldığı kadar veri sahiplerinin haklarının nasıl karşılandığı da yönetilebilir bir çerçeveye oturur.
Kişisel veri, artık kurumların en hassas varlıklarından biri. Bir müşteri kaydının, bir hasta dosyasının ya da bir çalışan bilgisinin sızması yalnızca teknik bir sorun değil; itibar, para cezası ve müşteri kaybı anlamına gelir. PIMS, gizliliği rastgele önlemler yığını olmaktan çıkarıp planlanan, ölçülen ve iyileştirilen bir sürece dönüştürür. Kimin hangi veriye eriştiği, verinin ne kadar süre saklandığı ve bir talep geldiğinde nasıl yanıtlandığı gibi soruların yanıtı belgeye bağlanır.
ISO 27701 bağımsız bir belge değildir. ISO/IEC 27001 belgesi ya da sistemi ön koşuldur; 27701 denetimi 27001 ile birlikte yürütülür ve 27701 sertifikası ancak 27001 temeli üzerine verilir.
Neden ISO 27001 Uzantısı? (27001 Olmadan Olmaz)
ISO 27701'i doğru konumlandırmanın en kolay yolu, onu bir eklenti gibi düşünmektir. Standart, iki temel dokümanın gizlilik uzantısı olarak tasarlandı: ISO/IEC 27001 (bilgi güvenliği yönetim sistemi gereksinimleri) ve ISO/IEC 27002 (güvenlik kontrolleri kılavuzu). ISO 27701, iki metnin maddelerini gizlilik bağlamında yeniden yorumlar ve üzerine kişisel veriye özgü kontroller ekler.
Bilgi güvenliği, gizliliğin altyapısıdır. Kişisel veriyi korumak istiyorsanız önce o verinin bulunduğu sistemleri, erişim yetkilerini, şifreleme ve olay yönetimi süreçlerini güvence altına almanız gerekir. ISO 27001 tam olarak bunu sağlayan çatıdır. Çatı yoksa gizlilik kontrollerinin dayanacağı bir zemin de yoktur. Standardın ne olduğunu ve neleri kapsadığını ISO 27001 Nedir yazımızda ayrıntısıyla bulabilirsiniz; burada tekrar etmek yerine ilişkiyi netleştiriyoruz.
Pratikte bunun bir karşılığı var: bir belgelendirme kuruluşuna doğrudan "sadece ISO 27701 istiyorum" diyemezsiniz. Denetçi önce 27001 yönetim sisteminizin kurulu ve işler olduğunu görmek ister, ardından gizlilik uzantısını değerlendirir. İkisi çoğu zaman tek denetimde, birlikte belgelendirilir. Bilgi güvenliği yönetim sisteminin neden bir kurumun temel taşı olduğunu bilgi güvenliği sistemi nedir ve neden gereklidir yazısında ele aldık.
PII Sorumlusu ve PII İşleyeni Ayrımı
ISO 27701, kişisel veriyi (PII, Personally Identifiable Information) işleyen kurumları iki role ayırır. Hangi kontrollerin sizi bağladığı bu role göre değiştiğinden ayrımı doğru yapmak gerekir.
PII Sorumlusu (Controller): Kişisel verinin hangi amaçla ve nasıl işleneceğine karar veren taraftır. Örneğin müşterisinden veri toplayan bir e-ticaret markası, o verinin sahibi konumundaki sorumludur. KVKK terminolojisinde "veri sorumlusu", GDPR'da "controller" karşılığı gelir.
PII İşleyeni (Processor): Veriyi sorumlu adına, onun talimatıyla işleyen taraftır. Bulut altyapısı sağlayan bir SaaS firması ya da adına bordro işleyen bir hizmet sağlayıcı bu roldedir. KVKK'daki "veri işleyen", GDPR'daki "processor" ile örtüşür.
Kurumlar çoğu zaman aynı anda her iki rolü de taşır. Bir yazılım şirketi kendi çalışan verisi için sorumlu, müşterisinin verisini barındırdığında ise işleyen olabilir. ISO 27701, her rol için ayrı ek kontrol setleri sunar; hangilerinin uygulanacağı kurumun konumuna göre belirlenir.
Zincir çoğu zaman burada bitmez. Bir işleyen, aldığı işi bir alt işleyene (bulut sağlayıcı, altyapı firması) devrettiğinde sorumluluk yeniden dağılır. Standart tam da bu geçişleri disiplin altına alır: alt işleyenle yapılan sözleşme, veri aktarım kayıtları ve işleme sonrası verinin akıbeti kayıt altına alınır. Böylece kişisel veri, elden ele geçerken bile izlenebilir kalır.
Ek Kontroller: Annex A ve Annex B
ISO 27701'in kalbi, ISO 27001'in mevcut kontrollerine eklenen gizlilik kontrolleridir. Standart, bu ek kontrolleri role göre iki ekte toplar:
| Bileşen | Kime Uygulanır | Kapsam |
|---|---|---|
| Ana metin (Madde 5-8) | Tüm kurumlar | ISO 27001 ve 27002 maddelerinin gizlilik odaklı yeniden yorumu; PIMS yönetim gereksinimleri |
| Annex A | PII Sorumlusu | Rıza yönetimi, işleme amacının meşruluğu, veri sahibi haklarının karşılanması, gizlilik bilgilendirmesi gibi sorumluya özgü kontroller |
| Annex B | PII İşleyeni | Sorumlunun talimatına uyum, alt işleyen yönetimi, veri aktarımı kayıtları, işleme sonrası veri iadesi ve silme gibi işleyene özgü kontroller |
| Annex D / F | Referans | GDPR maddeleriyle eşleşme ve ISO 27001/27002'nin nasıl genişletildiğine dair yol gösterici ekler |
Bir kurum yalnızca sorumlu ise Annex A'daki kontrolleri, yalnızca işleyen ise Annex B'yi uygular. İkisini birden taşıyan kurumlar her iki eki de kapsama alır. Kontrollerin seçimi, tıpkı 27001'deki gibi bir uygulanabilirlik bildirgesiyle (SoA) gerekçelendirilir.
Belgeye mi ihtiyacınız var? Danışmanımızla ücretsiz görüşün
GDPR ve KVKK ile Eşleşme
ISO 27701'in en pratik yönü, hukuki gizlilik yükümlülüklerini teknik bir yönetim diline çevirmesidir. İçindeki bir referans eki, standardın kontrollerini doğrudan GDPR maddeleriyle eşleştirir. "GDPR'ın 30. maddesindeki işleme kaydı yükümlülüğünü hangi kontrolle karşılıyorum" gibi bir soru, artık havada kalmak yerine denetlenebilir bir belgeye bağlanır.
KVKK açısından da mantık aynıdır. Türkiye'deki veri sorumluları için KVKK'nın getirdiği aydınlatma, açık rıza, veri güvenliği ve VERBİS yükümlülükleri, PIMS kontrolleriyle sistematik biçimde takip edilebilir hale gelir. Standart tek başına bir uyum kanıtı değildir; ancak uyumu ispatlamayı ve sürdürmeyi çok daha düzenli kılar. KVKK ile bilgi güvenliği arasındaki bağın neden bu kadar belirleyici olduğunu KVKK uyumluluğu için ISO 27001 neden hayati yazımızda inceledik; hukuki ayrıntılar için o içeriğe göz atmanızı öneririz.
ISO 27701 Gereklilikleri
PIMS kurmak, dokümantasyonla başlayıp denetimle biten bir süreçtir. Ana gereklilikleri şöyle sıralayabiliriz:
- 27001 temeli: İşler bir bilgi güvenliği yönetim sistemi kurulu olmalı ya da 27701 ile eş zamanlı kurulmalıdır.
- Kapsam tanımı: Hangi kişisel verilerin, hangi süreçlerde ve hangi rolle (sorumlu/işleyen) işlendiği net biçimde belirlenir.
- Gizlilik risk değerlendirmesi: Kişisel veriye özgü riskler analiz edilir; veri sahibine yönelik etkiler dikkate alınır.
- Rol bazlı kontroller: Annex A ve/veya Annex B'den uygun kontroller seçilir ve uygulanır.
- Politika ve prosedürler: Rıza yönetimi, veri sahibi talepleri, ihlal bildirimi ve saklama süreleri yazılı hale getirilir.
- İç denetim ve gözden geçirme: Sistem düzenli aralıklarla iç denetimden geçer ve üst yönetim gözden geçirmesiyle değerlendirilir.
Belgelendirme kuruluşu, iki aşamalı bir denetimle uygunluğu onaylar. İlk aşamada dokümantasyon ve sistemin hazırlığı incelenir; ikinci aşamada kontrollerin sahada gerçekten uygulanıp uygulanmadığı yerinde denetlenir. Sertifika alındıktan sonra da iş bitmez: yıllık gözetim denetimleriyle sistemin canlı kaldığı doğrulanır ve genellikle üç yılda bir yeniden belgelendirme yapılır. Süreci bir danışmanla yürütmek isteyenler, kapsam ve maliyet kalemleri için ISO 27701 Belgesi ve danışmanlık sayfamızdaki ayrıntılara bakabilir.
Kimler İçin?
PIMS, kişisel veri işleyen her ölçekten kurum için anlamlıdır. Özellikle veri hacmi yüksek ya da hassas veri işleyen sektörlerde öne çıkar:
- Yazılım ve SaaS firmaları: Müşteri verisini barındıran ve işleyen bulut hizmet sağlayıcıları.
- Sağlık kuruluşları: Hasta kayıtları ve özel nitelikli sağlık verisi işleyen hastane ve klinikler.
- Finans ve sigorta: Finansal profil ve kimlik verisi yöneten bankalar, fintech ve sigorta şirketleri.
- Çağrı merkezleri: Yüksek hacimde müşteri iletişim verisi işleyen operasyonlar.
- E-ticaret: Adres, ödeme ve alışveriş geçmişi verisi toplayan çevrimiçi satıcılar.
Uluslararası müşteriyle çalışan ya da yurt dışına veri aktaran kurumlar için standart, GDPR uyumunu göstermenin somut bir aracı olur. Tedarik zincirinde işleyen konumundaki firmalar ise sorumlulara güven vermek adına belgeyi giderek daha sık talep eder.
ISO 27701'in Faydaları
Standardın sunduğu değeri birkaç başlıkta toplayabiliriz:
- Düzenlemelere hazırlık: KVKK ve GDPR yükümlülüklerini dağınık notlar yerine denetlenebilir tek çerçevede toplar.
- Güven ve itibar: Müşteri ve iş ortaklarına kişisel veriyi ciddiye aldığınızı bağımsız bir sertifikayla gösterir.
- Tedarik avantajı: İşleyen firmalar için ihale ve sözleşme süreçlerinde bir yeterlilik kanıtı işlevi görür.
- Riskin görünürlüğü: Gizlilik ihlallerini ortaya çıkmadan önce fark etmeyi ve önlemeyi kolaylaştırır.
- Bütünleşik yönetim: Bilgi güvenliği ile gizliliği ayrı ayrı değil, tek sistemde yönetmeyi mümkün kılar.
Danışman mı, Belgelendirici mi?
Süreçte iki farklı aktör bulunur ve rollerini karıştırmamak gerekir. DIM Danışmanlık bir danışmanlık firmasıdır: gizlilik bilgi yönetim sistemini kurar, dokümantasyonu hazırlar, risk değerlendirmesini yönetir, kurumu denetime hazırlar ve doğru belgelendirme kuruluşuna yönlendirir. Belgeyi ise DIM vermez.
Sertifikayı, bağımsız ve akredite bir belgelendirme kuruluşu düzenler. Tarafsızlık ilkesi gereği aynı kuruluş hem danışmanlığı hem denetimi üstlenemez. İş bölümü, belgenin geçerliliği ve güvenilirliği için gereklidir. DIM Danışmanlık, kurulum ve süreç yönetimi tarafında yer alır; onay ve sertifika bağımsız denetçinin işidir.
Maliyet Neye Göre Belirlenir?
ISO 27701 için tek bir fiyat vermek doğru olmaz; maliyet birkaç kaleme bağlı olarak değişir:
- Kurumun büyüklüğü, çalışan sayısı ve lokasyon sayısı
- İşlenen kişisel verinin hacmi ve hassasiyeti
- Kurumun sorumlu, işleyen ya da her iki rolde olması
- Mevcut ISO 27001 altyapısının bulunup bulunmaması
- Danışmanlık kapsamı ve belgelendirme kuruluşunun denetim ücreti
Mevcutta 27001 belgesi olan bir kurum için ek gizlilik uzantısının maliyeti, sıfırdan başlayan bir kuruma göre belirgin biçimde düşük olur. Kuruma özel kalem dökümü için danışmanla görüşmek en sağlıklı yoldur.