Kişisel Veri Gizlilik Bilgi Yönetim Sistemi

ISO 27701 Belgesi ve Kişisel Veri Gizlilik Bilgi Yönetim Sistemi

ISO/IEC 27701, kuruluşların kişisel verileri güvenli, şeffaf ve yasal gerekliliklere uygun şekilde yönetmesini sağlayan uluslararası bir Kişisel Veri Gizlilik Bilgi Yönetim Sistemi (PIMS) standardıdır. Standart; KVKK, GDPR ve diğer veri koruma düzenlemelerine uyum çalışmalarını destekleyerek kişisel veri yönetiminin sistematik, ölçülebilir ve sürekli geliştirilebilir hale getirilmesine yardımcı olur.

TOEM Kalite olarak ISO 27701 danışmanlık hizmetlerimizi yalnızca belge almaya yönelik yürütmüyor; mevcut durum analizi, gizlilik risklerinin değerlendirilmesi, dokümantasyon, eğitim, uygulama, iç tetkik ve belgelendirme hazırlığı süreçlerini kuruluşunuzun gerçek veri işleme faaliyetlerine göre planlıyoruz.

ISO 27701 Belgesi ve Kişisel Veri Gizlilik Bilgi Yönetim Sistemi
Kısa Özet

10 Saniyede ISO 27701

Standardın Adı ISO/IEC 27701
Yönetim Sistemi PIMS
Ana Odak Kişisel veri gizliliği
Uygulama Alanı Tüm sektörler
Uyum Desteği KVKK ve GDPR
Belgelendirme Bağımsız kuruluşlar
TOEM Uzmanından Not

ISO 27701 yalnızca KVKK kapsamında hazırlanan politika ve prosedürlerden ibaret değildir. Etkin bir Kişisel Veri Gizlilik Bilgi Yönetim Sistemi; kişisel veri envanterinden gizlilik risklerine, veri işleme süreçlerinden üçüncü taraf yönetimine kadar tüm organizasyonu kapsayan, uygulanabilir ve sürdürülebilir bir yapıya sahip olmalıdır. TOEM Kalite olarak hedefimiz yalnızca belgelendirme denetimine hazırlanmak değil, kuruluşunuza uzun vadeli değer sağlayacak yaşayan bir sistem oluşturmaktır.

ISO 27701 Nedir?

ISO/IEC 27701, kuruluşların kişisel verileri güvenli, kontrollü ve yasal gerekliliklere uygun şekilde yönetebilmesi için oluşturulmuş uluslararası bir Kişisel Veri Gizlilik Bilgi Yönetim Sistemi (Privacy Information Management System - PIMS) standardıdır. Kişisel verilerin toplanması, kullanılması, saklanması, paylaşılması, aktarılması ve imha edilmesine ilişkin süreçlerin sistematik olarak yönetilmesini sağlar.

ISO 27701 yalnızca teknik güvenlik önlemlerine odaklanmaz. Veri gizliliği yönetişimi, veri sorumlusu ve veri işleyen rolleri, ilgili kişi hakları, üçüncü taraf ilişkileri, gizlilik riskleri, yasal yükümlülükler ve sürekli iyileştirme faaliyetlerini bütüncül bir yönetim sistemi içerisinde ele alır.

KVKK, GDPR ve benzeri veri koruma düzenlemelerine uyum çalışmalarını destekleyen standart; kuruluşların kişisel veri kaynaklı risklerini yönetmesine, hesap verebilirliğini güçlendirmesine ve müşterileri ile iş ortakları nezdinde güven oluşturmasına katkı sağlar.

Kişisel Veri Gizlilik Bilgi Yönetim Sistemi (PIMS) Nedir?

PIMS (Privacy Information Management System), kuruluşların kişisel verilerin toplanması, işlenmesi, saklanması, paylaşılması ve imha edilmesine ilişkin süreçlerini planlı ve kontrol edilebilir şekilde yönetmesini sağlayan yönetim sistemi yaklaşımıdır.

ISO/IEC 27701 ile oluşturulan PIMS; kişisel veri işleme faaliyetlerini, yasal yükümlülükleri, ilgili kişi haklarını, üçüncü taraf ilişkilerini ve gizlilik risklerini tek bir sistem içerisinde yönetilebilir hale getirir. Sistem; kişisel veri envanteri, risk değerlendirmesi, rol ve sorumluluklar, politikalar, prosedürler, farkındalık eğitimleri, iç tetkik ve sürekli iyileştirme faaliyetlerinden oluşur.

Etkili bir PIMS, kuruluşun yalnızca denetime hazırlanmasını değil, kişisel veri gizliliğinin günlük iş süreçlerinin doğal bir parçası haline gelmesini sağlar.

ISO 27701 Belgesi Nedir?

ISO/IEC 27701 standardı ile ISO 27701 Belgesi aynı kavram değildir. Standart, kuruluşun uygulaması gereken yönetim sistemi şartlarını tanımlarken; ISO 27701 Belgesi, bu şartların bağımsız bir belgelendirme denetimi sonucunda karşılandığını gösteren resmi belgedir.

ISO/IEC 27701 Yönetim Sistemi

Kişisel veri işleme faaliyetlerini, gizlilik risklerini, sorumlulukları, kontrolleri ve sürekli iyileştirme çalışmalarını yöneten kurumsal sistemdir.

ISO 27701 Belgesi

Yönetim sisteminin ISO/IEC 27701 şartlarına uygun şekilde uygulandığının bağımsız bir belgelendirme kuruluşu tarafından doğrulandığını gösteren belgedir.

Kısacası; ISO 27701 yönetim sistemi kişisel veri gizliliğinin nasıl yönetileceğini belirler, ISO 27701 Belgesi ise bu sistemin bağımsız bir denetimle doğrulandığını gösterir.

ISO 27701 Kimler İçin Uygundur?

ISO/IEC 27701, kişisel veri işleyen veya yöneten tüm kamu ve özel sektör kuruluşlarında uygulanabilir. Özellikle müşteri, çalışan, tedarikçi, kullanıcı, hasta, öğrenci veya ziyaretçi verilerinin yoğun şekilde işlendiği yapılarda gizlilik risklerinin sistematik olarak yönetilmesini destekler.

Yazılım ve Teknoloji Şirketleri

SaaS platformları, yazılım geliştiricileri, bulut hizmet sağlayıcıları, veri merkezleri ve teknoloji kuruluşlarında kullanıcı ve müşteri verilerinin kontrollü şekilde yönetilmesini destekler.

Sağlık Kuruluşları

Hastaneler, tıp merkezleri, laboratuvarlar ve sağlık hizmeti sağlayıcılarında hasta verileri ile özel nitelikli kişisel verilerin korunmasına katkı sağlar.

Finans ve Sigorta

Bankalar, ödeme kuruluşları, fintech şirketleri ve sigorta kuruluşlarında müşteri ve finansal verilerin güvenli şekilde yönetilmesini destekler.

E-Ticaret ve Hizmet Sektörü

E-ticaret, çağrı merkezi, turizm, insan kaynakları, bordrolama ve profesyonel hizmet kuruluşlarında müşteri ve çalışan verilerinin korunmasına yardımcı olur.

Kamu ve Eğitim Kuruluşları

Kamu kurumları, belediyeler, üniversiteler ve eğitim kuruluşlarında geniş kapsamlı kişisel veri işleme faaliyetlerinin yönetilmesini sağlar.

Kişisel Veri İşleyen Tüm Kuruluşlar

Sektörü veya büyüklüğü ne olursa olsun kişisel veri işleyen, saklayan, aktaran ya da başkaları adına işleyen tüm kuruluşlar standardı uygulayabilir.

ISO 27701 Belgesinin Faydaları

ISO/IEC 27701, kuruluşların kişisel veri yönetimini daha güvenli, şeffaf ve sürdürülebilir hale getirerek yasal uyum çalışmalarını destekler, gizlilik risklerini azaltır ve kurumsal güveni güçlendirir.

KVKK ve GDPR Uyumunu Destekler

Kişisel veri işleme süreçlerinin ulusal ve uluslararası veri koruma gereklilikleriyle uyumlu şekilde yapılandırılmasına yardımcı olur.

Müşteri Güvenini Artırır

Kişisel verilerin sistematik ve denetlenebilir şekilde yönetildiğini göstererek müşteriler ve iş ortakları nezdinde güven oluşturur.

Gizlilik Risklerini Azaltır

Risklerin belirlenmesini, değerlendirilmesini ve uygun kontrollerle yönetilmesini sağlayarak veri ihlallerinin olasılığını ve etkisini azaltır.

Kurumsal İtibarı Güçlendirir

Kişisel verilerin korunmasına verilen önemi ortaya koyarak marka değerini ve kurumsal güvenilirliği destekler.

Rekabet Avantajı Sağlar

İhalelerde, tedarikçi değerlendirmelerinde ve uluslararası iş birliklerinde kuruluşun gizlilik yönetimi olgunluğunu gösteren önemli bir referans oluşturur.

Sürekli İyileştirmeyi Destekler

Gizlilik performansının düzenli olarak izlenmesini, denetlenmesini ve değişen riskler doğrultusunda geliştirilmesini sağlar.

ISO 27701 Prensipleri ve Amaçları Nelerdir?

ISO/IEC 27701’in temel amacı, kişisel verilerin yaşam döngüsü boyunca güvenli, şeffaf ve hesap verebilir şekilde yönetilmesini sağlamaktır. Standart; veri işleme faaliyetlerinin planlanmasını, gizlilik risklerinin yönetilmesini, sorumlulukların belirlenmesini ve gizlilik kültürünün kurumsal yapıya yerleştirilmesini hedefler.

Hukuka Uygunluk ve Şeffaflık

Kişisel verilerin geçerli gerekliliklere uygun işlenmesini ve ilgili kişilerin veri işleme faaliyetleri hakkında açık şekilde bilgilendirilmesini destekler.

Hesap Verebilirlik

Veri işleme faaliyetlerinin kayıt altına alınmasını, sorumlulukların tanımlanmasını ve uygulamaların gerektiğinde kanıtlanabilmesini amaçlar.

Risk Temelli Yaklaşım

Kişisel veri gizliliğini etkileyebilecek risklerin belirlenmesini, değerlendirilmesini ve uygun kontrollerle yönetilmesini esas alır.

Gizlilik ve Bilgi Güvenliği

Kişisel verilerin gizliliğini, bütünlüğünü ve gerektiğinde erişilebilirliğini koruyan teknik ve idari tedbirlerin uygulanmasını destekler.

İlgili Kişi Hakları

Kişisel verisi işlenen bireylerin haklarının tanımlanmasını, taleplerinin yönetilmesini ve süreçlerin izlenebilir olmasını sağlar.

Sürekli İyileştirme

Yönetim sisteminin düzenli olarak gözden geçirilmesini, iç tetkiklerle değerlendirilmesini ve değişen ihtiyaçlara göre geliştirilmesini hedefler.

ISO 27701 Belgesi Nasıl Alınır?

ISO 27701 Belgesi almak için öncelikle kuruluşun kişisel veri işleme faaliyetlerine uygun bir PIMS kurulmalı, uygulanmalı ve yeterli kayıtlarla işletildiği gösterilmelidir. Hazırlık çalışmaları tamamlandıktan sonra bağımsız belgelendirme kuruluşu tarafından denetim gerçekleştirilir.

1

Mevcut Durum Analizi

Kuruluşun kişisel veri işleme faaliyetleri, mevcut dokümantasyonu, yasal yükümlülükleri, teknik ve idari kontrolleri ile geliştirilmesi gereken alanlar değerlendirilir.

2

Kapsam ve Roller

PIMS kapsamı, ilgili taraflar, kişisel veri işleme süreçleri, veri sorumlusu ve veri işleyen rolleri ile görev ve sorumluluklar belirlenir.

3

Veri Envanteri ve Risk Değerlendirmesi

Kişisel veri işleme faaliyetleri analiz edilir, veri akışları değerlendirilir ve gizlilik riskleri uygun bir metodolojiyle belirlenir.

4

Dokümantasyon

Politikalar, prosedürler, kayıtlar, veri işleme kuralları, ilgili kişi talepleri, ihlal yönetimi, üçüncü taraf yönetimi ve gerekli diğer dokümanlar hazırlanır.

5

Sistemin Uygulanması

Belirlenen teknik ve idari kontroller devreye alınır, süreçler işletilir ve yönetim sisteminin uygulandığını gösteren kayıtlar oluşturulur.

6

Eğitim ve Farkındalık

Çalışanların kişisel veri gizliliği sorumluluklarını, ihlal bildirim süreçlerini ve güvenli veri işleme kurallarını doğru şekilde uygulayabilmesi için eğitimler gerçekleştirilir.

7

İç Tetkik ve YGG

Sistemin uygunluğu ve etkinliği iç tetkik ve Yönetimin Gözden Geçirmesi çalışmalarıyla değerlendirilir, iyileştirme ihtiyaçları belirlenir.

8

Belgelendirme Denetimi

Bağımsız belgelendirme kuruluşu tarafından gerçekleştirilen denetimde yönetim sisteminin ISO/IEC 27701 şartlarına uygunluğu değerlendirilir.

9

Belgelendirme Sonrası

Gözetim denetimleri, performans takibi, risk değerlendirmelerinin güncellenmesi ve sürekli iyileştirme faaliyetleriyle sistemin sürdürülebilirliği sağlanır.

ISO/IEC 27701:2019 ile Güncel ISO/IEC 27701 Arasındaki Temel Farklar

ISO/IEC 27701’in 2019 sürümü, ISO/IEC 27001 ve ISO/IEC 27002 üzerine kurulan bir genişletme standardı olarak yayımlanmıştı. Güncel sürüm olan ISO/IEC 27701:2025 ise bağımsız olarak kurulabilen ve belgelendirilebilen bir Kişisel Veri Gizlilik Bilgi Yönetim Sistemi standardı haline getirilmiştir.

ISO/IEC 27701:2019

  • ISO/IEC 27001 ve ISO/IEC 27002’ye genişletme olarak yapılandırılmıştır.
  • Bağımsız bir yönetim sistemi standardı değildir.
  • Gizlilik şartları, mevcut BGYS yapısı üzerinden uygulanır.
  • 2019 döneminin standart yapısı ve referansları esas alınır.

Güncel ISO/IEC 27701

  • Bağımsız bir PIMS olarak kurulabilir ve belgelendirilebilir.
  • Yönetim sistemi maddeleri kuruluş bağlamından sürekli iyileştirmeye kadar bütüncül yapıdadır.
  • ISO/IEC 27001 ile entegre veya bağımsız uygulanabilir.
  • Güncel gizlilik ihtiyaçlarına ve yönetim sistemi yaklaşımına uyarlanmıştır.
Önemli Not

Kuruluşta 27001 standardı varsa ve uygulanıyorsa, bu durum Kişisel Veri Yönetim Sistemi entegrasyonunu kolaylaştırabilir; ancak güncel yapıda ISO/IEC 27701 bağımsız olarak da uygulanabilir.

ISO 27701 Belgesi Fiyatı

ISO 27701 danışmanlık ve belgelendirme maliyetleri için tüm kuruluşlara uygulanabilecek sabit bir fiyat bulunmamaktadır. Maliyet; kuruluşun büyüklüğüne, faaliyet alanına, kişisel veri işleme yoğunluğuna, lokasyon sayısına, mevcut yönetim sistemi altyapısına ve ihtiyaç duyulan danışmanlık kapsamına göre değişir.

Çalışan ve Lokasyon Sayısı

Organizasyonun büyüklüğü, çalışan sayısı, şubeler ve PIMS kapsamına alınacak lokasyonlar proje süresini ve denetim kapsamını etkiler.

Veri İşleme Kapsamı

İşlenen kişisel veri türleri, veri sahibi grupları, süreç sayısı ve özel nitelikli kişisel verilerin yoğunluğu maliyet üzerinde belirleyicidir.

Mevcut Sistem Altyapısı

ISO 27001 veya benzeri bir yönetim sisteminin bulunması, mevcut dokümantasyon ve uygulama olgunluğu hazırlık ihtiyacını etkiler.

Veri Sorumlusu ve Veri İşleyen Rolleri

Kuruluşun kendi amaçları için veya müşterileri adına veri işlemesi, uygulanacak şartların ve kontrollerin kapsamını değiştirir.

Üçüncü Taraflar ve Aktarımlar

Tedarikçiler, bulut hizmetleri, dış kaynaklı süreçler ve yurt dışı veri aktarımları değerlendirme kapsamını genişletebilir.

Danışmanlık Kapsamı

Gap analizi, dokümantasyon, eğitim, uygulama desteği, iç tetkik ve belgelendirme hazırlığının kapsamı toplam maliyeti belirler.

TOEM Kalite olarak standart paketler yerine kuruluşun gerçek ihtiyaçlarını değerlendiriyor ve buna uygun danışmanlık planı hazırlıyoruz. Kuruluşunuza özel ISO 27701 fiyatı ve proje kapsamı için ücretsiz ön değerlendirme talep edebilirsiniz.

ISO 27701 Belgesi Nereden Alınır?

ISO 27701 Belgesi, standarda uygun şekilde kurulmuş ve uygulanmakta olan yönetim sisteminin bağımsız bir belgelendirme kuruluşu tarafından denetlenmesi sonucunda düzenlenir. Belgelendirme öncesinde ise kuruluşun standarda hazırlanması, dokümantasyonunun oluşturulması ve uygulama kanıtlarının tamamlanması gerekir.

Danışmanlık Firması

  • Mevcut durum analizi yapar.
  • Yönetim sisteminin kurulmasına destek olur.
  • Dokümantasyon ve uygulama çalışmalarını yürütür.
  • Eğitim, iç tetkik ve denetim hazırlığı sağlar.

Belgelendirme Kuruluşu

  • Kuruluşu bağımsız olarak denetler.
  • Standarda uygunluğu değerlendirir.
  • Uygunluk sağlanırsa belgeyi düzenler.
  • Gözetim ve yeniden belgelendirme denetimlerini gerçekleştirir.

TOEM Kalite, ISO 27701 Belgesi düzenleyen bir belgelendirme kuruluşu değildir. Kuruluşunuza uygun yönetim sisteminin kurulması, uygulanması ve bağımsız belgelendirme denetimine hazır hale getirilmesi için danışmanlık ve hazırlık hizmeti sunar.

Neden TOEM Kalite?

ISO 27701 danışmanlığı yalnızca standart maddelerinin aktarılmasından veya hazır dokümanların teslim edilmesinden ibaret değildir. Başarılı bir proje; kuruluşun gerçek veri işleme faaliyetlerini, gizlilik risklerini, taraf rollerini ve yasal yükümlülüklerini doğru analiz eden bir yaklaşımla yürütülmelidir.

Klasik Yaklaşım

  • Hazır ve kuruluşa uyarlanmamış dokümanlar
  • Yalnızca belge almaya odaklanan çalışma
  • Gerçek veri akışlarını yansıtmayan envanterler
  • Denetim sonrasında işletilmeyen sistem

TOEM Kalite Yaklaşımı

  • Kuruluşa özel mevcut durum ve veri işleme analizi
  • Gerçek gizlilik risklerine göre sistem tasarımı
  • KVKK, GDPR ve ilgili yükümlülükleri destekleyen yapı
  • Uygulanabilir, denetlenebilir ve sürdürülebilir PIMS

ISO 27701 Projelerinde Sık Karşılaşılan Hatalar

ISO 27701'i yalnızca KVKK dokümantasyonu olarak görmek

Birkaç politika ve prosedür hazırlamak, yönetim sisteminin kurulduğu anlamına gelmez. Veri işleme faaliyetleri, riskler, roller ve uygulama kayıtları birlikte ele alınmalıdır.

Veri sorumlusu ve veri işleyen rollerini netleştirmemek

Kuruluşun farklı süreçlerde üstlendiği roller doğru belirlenmediğinde uygulanacak şartlar, sorumluluklar ve kontroller eksik kalabilir.

Kişisel veri envanterini güncel tutmamak

Gerçek süreçleri ve veri akışlarını yansıtmayan envanterler, gizlilik risklerinin ve kontrol ihtiyaçlarının doğru belirlenmesini engeller.

Gizlilik riskleriyle kontroller arasında bağlantı kurmamak

Belirlenen risklerin uygulanacak tedbirlerle ilişkilendirilmemesi, sistemin denetlenebilirliğini ve etkinliğini zayıflatır.
Projenizi planlayın

ISO 27701 sürecinize doğru kapsamla başlayın

Kuruluşunuza özel kapsam, yaklaşık proje süresi ve danışmanlık planını belirlemek için mevcut veri işleme yapınızı birlikte değerlendirelim.

Sık Sorulan Sorular

ISO 27701 Belgesi nedir?

ISO 27701 Belgesi, kuruluşun Kişisel Veri Gizlilik Bilgi Yönetim Sisteminin ISO/IEC 27701 şartlarına uygun olarak uygulandığının bağımsız bir belgelendirme kuruluşu tarafından doğrulandığını gösteren belgedir.

ISO 27701 ile KVKK aynı şey midir?

Hayır. KVKK bir kanundur; ISO/IEC 27701 ise kişisel veri gizliliğinin sistematik şekilde yönetilmesini sağlayan uluslararası bir yönetim sistemi standardıdır. ISO 27701, KVKK uyum çalışmalarını destekler ancak tek başına yasal uygunluk garantisi vermez.

ISO 27701 kimler için uygundur?

Müşteri, çalışan, tedarikçi, kullanıcı, hasta veya ziyaretçi bilgileri gibi kişisel verileri işleyen tüm kamu ve özel sektör kuruluşları ISO/IEC 27701 yönetim sistemini uygulayabilir.

ISO 27701 için ISO 27001 gerekli midir?

Güncel ISO/IEC 27701 bağımsız bir yönetim sistemi olarak kurulabilir ve belgelendirilebilir. Bununla birlikte mevcut bir ISO/IEC 27001 sistemiyle entegre edilmesi ortak süreçler, risk yönetimi ve kontroller açısından önemli kolaylık sağlayabilir.

ISO 27701 Belgesi ne kadar sürede alınır?

Süre; kuruluşun büyüklüğüne, veri işleme kapsamına, mevcut dokümantasyonuna ve uygulama olgunluğuna göre değişir. Ön değerlendirme sonrasında kuruluşa özel proje planı oluşturulur.

ISO 27701 Belgesi fiyatı nasıl belirlenir?

Fiyat; çalışan ve lokasyon sayısı, kişisel veri işleme yoğunluğu, mevcut yönetim sistemi altyapısı, kuruluşun veri sorumlusu veya veri işleyen rolleri ve danışmanlık kapsamına göre belirlenir.

ISO 27701 Belgesini kim verir?

Belge, bağımsız belgelendirme kuruluşları tarafından gerçekleştirilen denetim sonucunda düzenlenir. TOEM Kalite danışmanlık ve belgelendirme hazırlık hizmeti sunar.

ISO 27701 GDPR uyumu sağlar mı?

ISO/IEC 27701, GDPR ve benzeri veri koruma düzenlemelerine uyum çalışmalarını destekleyen sistematik bir yapı sunar. Ancak kuruluşun uygulanabilir yasal yükümlülüklerini ayrıca belirlemesi ve yerine getirmesi gerekir.

ISO 27701 Belgesi kaç yıl geçerlidir?

Yönetim sistemi belgeleri genellikle üç yıllık belgelendirme döngüsüyle düzenlenir ve bu süre içinde periyodik gözetim denetimleri yapılır. Kesin program, seçilen belgelendirme kuruluşunun kurallarına göre belirlenir.

TOEM Kalite hangi ISO 27701 hizmetlerini sunar?

TOEM Kalite; mevcut durum analizi, kapsam belirleme, kişisel veri envanteri ve gizlilik riskleri, dokümantasyon, eğitim, uygulama desteği, iç tetkik, Yönetimin Gözden Geçirmesi ve belgelendirme hazırlığı süreçlerinde danışmanlık sunar.

Başlamak için

ISO 27701 yol haritanızı birlikte planlayalım

Her kuruluşun kişisel veri işleme faaliyetleri, gizlilik riskleri ve yasal yükümlülükleri farklıdır. TOEM Kalite olarak yalnızca ISO 27701 Belgesi almanıza değil; gerçek süreçlerinize uygun, denetlenebilir ve uzun yıllar sürdürülebilir bir Kişisel Veri Gizlilik Bilgi Yönetim Sistemi oluşturmanıza destek oluyoruz.

ISO belgesi fiyatı ve teklif

Ön teklif almak için butona tıklayarak teklif sayfamıza geçebilir, talebinizi orada iletebilirsiniz; ekibimiz değerlendirdikten sonra size dönüş yapar.