ISO 27701 Kişisel Veri Yönetim Sistemi Nedir?
ISO 27701:2019 Kişisel Veri Yönetim Sistemi (KVYS) Nedir?
Son yıllarda Ülkemiz ve Dünyada Bilgi Güvenliği ve kişisel verilerin korunmasına yönelik çalışmalar daha da hız kazanmaktadır. Uygulanmakta olan standartlara ek olarak kanun ve yasalar ile Kişisel veriler ve bilginin güvenliğini korumaya yönelik çalışmalar ülkemizde de büyük bir önem ve zorunluluk haline gelmiştir.
ISO 27701:2019 Kişisel Veri Yönetim Sistemi (KVYS) Nedir?
Son yıllarda Ülkemiz ve Dünyada Bilgi Güvenliği ve kişisel verilerin korunmasına yönelik çalışmalar daha da hız kazanmaktadır. Uygulanmakta olan standartlara ek olarak kanun ve yasalar ile Kişisel veriler ve bilginin güvenliğini korumaya yönelik çalışmalar ülkemizde de büyük bir önem ve zorunluluk haline gelmiştir. ISO 27001:2013 Bilgi Güvenliği Yönetim Sistemi ve 27002:2013 Bilgi teknolojisi Güvenlik teknikleri Bilgi güvenliği için uygulama kodu Standartlarını destekler ISO 27701:2019 KVYS Standardı daha çok önem kazanmıştır ve yasal olarak zorunluluk haline gelmiştir. Firmaların Kişisel verileri işleme sürecini nasıl yürüttükleri her geçen gün daha da önem oluşturmaktadır. ISO 27701 Kişisel Veri Yönetim Sistemi Standardı, Kişisel verilerin işlenmesi sürecinde gizliliğin korunmasını ele alan ve sistematik olarak nasıl sürdürülebilir hale getirileceğini işleyen Bilgi Güvenliği Yönetim Sistemidir.
ISO 27701:2019 Kişisel Veri Yönetim Sistemi (KVYS) Standardı Neler İstemektedir?
Bu Standart ISO 27001:2013 Standardına ek olarak Süreçlerde işlenen kişisel verinin Firmalar tarafından işlenmesinden potansiyel olarak etkilenebilecek kişisel veri sahiplerinin gizliliğinin korunmasını hedefler ve ISO 27001 Bilgi Güvenliği Yönetim Sisteminin gerekliliklerini arttırır. ISO 27701 KVYS, ISO 27001 Standardının yanı sıra Kuruluşun Bağlamı ve Planlama Başlıklarında bizden ek gereklilikler ister. Diğer Tüm ISO 27001 Standardı Gerekliliklerinde bir artı yoktur. Yani ISO 27001 Standardının genişletilmesini sağlayan ek bir standarttır. Her şeyden önce bizden bir ISO 27701 metodolojisi oluşturmamızı ve sürekli iyileştirerek etkin bir şekilde uygulamamızı istemektedir. ISO 27701 Kişisel Veri Yönetim Sistemini kurarken, Firmalar bu aşamada veri sorumlusu mu, veri işleyen mi olduğunu öncelikle tanımlamalıdır. Kuruluşun ve bağlamının anlaşılması aşamasında iç ve dış hususlar değerlendirilirken Kişisel veriler boyutu da değerlendirilir ve ele alınmalıdır.
Kişisel Veriler ile ilgili olan yasal zorunluluklar (mevzuat, yasa,..vb), yargı kararları, politika ve prosedürler, idari kararlar, sözleşmeler…vb değerlendirilmelidir. İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması aşamasında, Bilgi Güvenliği Yönetim sistemi içerisinde değerlendirdiğimiz ilgili tarafların beklentilerine Kişisel Veriler olarak değerlendirmemiz gereken durumlar ve Kişisel veri sahipleri de değerlendirilmelidir. Kapsam ve sınırlar kısmında, yönetim sisteminin uygulanabilir olduğu fiziksel sınırlar ve gerçekleştirilen faaliyetler ve süreçlerin durumu Kişisel veriler açısından da uygulanabilirliği değerlendirilir.
Firma Yönetimi, ISO 27001 Bilgi Güvenliği Yönetim Sistemi zorunluluklarını yerine getirirken, Bilgi Güvenliği politikasının oluşturulması, görev ve sorumlulukları, Risk ve fırsatları, Risk değerlendirmelerini hem firma hem kişisel veri sahiplerinin durumunu dikkate alarak değerlendirmelidir, Kişisel Veri Yönetim sistemi boyutunu da uygulamalıdır.
Oluşturulan Hedef ve amaçlar, Kaynak gereklilikleri, Eğitim ve yetkinlik ihtiyaçları KVYS boyutu için de ile uygulanmalı ve değerlendirilmelidir. Bilgi Güvenliği politikalarının KVYS boyutunda revize edilmesi ya da yeni Kişisel Veri Politikalarının oluşturulması ile KVYS ‘nin uygulanabilirliğinin arttırılması ve güçlendirilmesi gerekmektedir. Görev ve sorumluluklar tayin edilirken, Verilerin işlenmesi konusunda ilgili tarafların iletişime geçebileceği bir kişi belirlemesi gerekmektedir. Kişisel veri yönetim sistemi uygulanabilirliği konusunda bir ekip oluşturulmalı ve işleyişi etkin olarak takip etmelidir.
İletişim Yöntemlerini sistematik olarak sürdürebilir yöntemler belirlemelidir. Personelin Kişisel Veri Yönetim Sistemi Standardında Farkındalığını sağlamış olması gerekmektedir. ISO 27001:2013 Standardı gereği gruplamış olduğu Varlık ve Bilgi varlıklarını kişisel veriyi özel olarak değerlendirerek bilgi sınıflama, etiketleme ve değerlendirmesi yapmalıdır. Taşınabilir ortamlar ile ilgili uygulanan ISO 27001:2013 Standardı uygulamalarına ek olarak, ek güvenlik önlemler ve Kişisel veri içeren taşınabilir ortamların ek güvenlik önlemleri uygulamalıdır.
Kişisel veri içeren fiziksel ortam aktarımlarında da aynı kurallar geçerlidir. Kişisel veri erişimleri ile ilgili personel ve firma personeli içerisinde bir erişim yetki kontrolü oluşturulmalı ve bu doğrultuda çalışmalar sürdürülmelidir. Kişisel verilerin tutulduğu bazı dosya veya verilere kriptografik şifrelemeler yapılabilir ve yapılmalıdır. Önemli Kişisel verilerin yanlışlıkla silinmesi riskine karşı firma içi uygulanabilir bir yedekten geri getirme faaliyetlerini etkin yürütmelidir. Olay ihlal yaşanması durumunda bu süreci nasıl etkin olarak yürütmesi gerektiğini belirlemelidir.
Kişisel verilere erişimi olan tüm ilgili taraflar (personel, tedarikçi…vb) ile gizlilik anlaşmaları yapılmalı ve takibi sağlanmalıdır. İşlenen kişisel verilerin belirli bir süreden sonra yok edilmesini de belirli bir program doğrultusunda gerçekleştirmelidir. Firmalar kişisel veri sorumlusu ise ISO 27701:2019 Standardı bu durumda ek bazı çalışmalar beklemektedir.
Kişisel Veri Sorumlusu olmamız durumunda ek olarak neler yapmalıyız?
En başta neden kişisel veri sorumlusu olduğumuzu hangi yasal bir dayanağa göre gerçekleştirdiğimizi ispatlamamız ve meşru bir yanının olmadığını ortaya çıkarmamız gerekmektedir. Kişisel verilerinin işlendiği hususunda bazı kişisel verisi depolanan kişilerden ek rıza alması gereken durumları belirlemeli, bu doğrultuda çalışmalarını koordine etmelidir. İşlenen kişisel veriler ile ilgili Gizlilik Etki değerlendirmesi (GED) yapılmalıdır. Tüm Kişisel veri işleyenler ile gizlilik sözleşmeleri yapılmalıdır.
Verisi işlenen veri sahiplerine karşı olan yükümlülükler belirlenerek sistematik olarak takibi sağlanmalı, veri sahipleri bu doğrultuda bilgilendirilmelidir. İşlenen verilere itiraz sürecini de yönetecek bir mekanizme geliştirilmelidir. Ayrıca eğer Kişisel veriler 3. taraflar ile paylaşılan bilgiler ise bu verilerin yönetimi ile ilgili bir yöntem tayin etmelidir.
Kişisel verileri saklarken mümkün olduğunca az kişisel veri alarak süreçlerimizi ilerletmemiz gereklidir. Bu doğrultuda çalışmalarımızı yürütmeliyiz. Eğer kişisel veriler uluslararası aktarılacak ise bu aktarılacak uluslararası kuruluşlar, Ülkeler ve yöntemler belirlenmeli ve müşteri bu doğrultuda bilgi sahibi olmalıdır. İfşa etmesi gereken durumlarda Yasal Yükümlülüklerin bilincinde bu işlemleri gerçekleştirmelidir.
Sizde ISO 27001 Bilgi Güveliği ve ISO 27701 Kişisel Veri Yönetim Sistemi Belgeleri Hakkında hizmet ve Belge almak için bize ulaşın:
0 312 504 74 05 – 0 507 759 68 64