DS-156 TS - Iso - Iec - 27701

TÜRK
STANDARDLARI
ENSTİTÜSÜ Türk Standardı
TS ISO/IEC 27701
Aralık 2019
ICS 35.030
Güvenlik teknikleri — Kişisel verilerin

yönetimi için ISO/IEC 27001 ve ISO/IEC 27002
standartlarına yapılan eklemeler —
Gereklilikler ve kılavuz
(ISO/IEC 27701:2019)
Security techniques — Extension to ISO/IEC 27001 and ISO/IEC

27002 for privacy information management — Requirements and
guidelines
Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC
27002 au management de la protection de la vie privée —
Exigences et lignes directrices
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iSTANBUL ATLAS ÜNiVERSiTESi'A VERiLMiSTiR. BASILMA TARiHi: 19.02.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
TELİF HAKKI KORUMALI DOKÜMAN
© TSE 2020
Tüm hakları saklıdır. Aksi belirtilmedikçe bu yayının herhangi bir bölümü veya tamamı, TSE'nin yazılı izni olmaksızın
fotokopi ve mikrofilm dâhil, elektronik ya da mekanik herhangi bir yolla çoğaltılamaz ya da kopyalanamaz.
TSE Standard Hazırlama Merkezi Başkanlığı

Necatibey Caddesi No: 112
06100 Bakanlıklar * ANKARA
Tel: + 90 312 416 68 30

Faks: + 90 312 416 64 39
E-posta: dokumansatis@tse.org.tr
Web: www.tse.org.tr
ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Millî önsöz
Bu standart kaynağı ISO/IEC 27701:2019 standardı olan TS ISO/IEC 27701:2019 Türk standardının
Bilişim İhtisas Kuruluna bağlı TK01 Bilişim Teknik Komitesi tarafından hazırlanan Türkçe tercümesidir.
ISO/ IEC resmî dillerinde yayımlanan diğer standart metinleri ile aynı geçerliliğe sahiptir.
Bu standartta kullanılan bazı kelime veya ifadeler patent haklarına konu olabilir. Böyle bir patent
hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.
Bu standartta atıf yapılan standartların milli karşılıkları aşağıda belirtilmiştir.
EN, ISO, IEC Adı

TS No
vb. No (Türkçe)
ISO/IEC 27000 TS EN ISO/IEC Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim
27000 sistemleri - Genel bakış ve kelime bilgisi
ISO/IEC TS ISO/IEC Bilgi teknolojisi - Güvenlik teknikleri - Bilgi güvenliği yönetim
27001:2013 27001:2013 sistemleri - Gereksinimler
ISO/IEC TS ISO/IEC Bilgi teknolojisi-Güvenlik teknikleri-Bilgi güvenliği için
27002:2013 27002:2013 uygulama kodu
© TSE - Tüm hakları saklıdır.

ULUSLARARASI ISO/IEC
STANDART 27701
Birinci baskı
2019-08
Güvenlik teknikleri — Kişisel verilerin

yönetimi için ISO/IEC 27001 ve ISO/IEC
27002 standartlarına yapılan eklemeler
— Gereklilikler ve kılavuz
Security techniques — Extension to ISO/IEC 27001 and ISO/IEC

27002 for privacy information management — Requirements and
guidelines
Techniques de sécurité — Extension d'ISO/IEC 27001 et ISO/IEC
27002 au management de la protection de la vie privée —
Exigences et lignes directrices
Referans numarası
ISO/IEC 27701:2019(E)
TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
TELİF HAKLARI KORUMALI DOKÜMAN

© ISO/IEC 2019
Tüm hakları saklıdır. Aksi belirtilmedikçe, bu yayının hiçbir bölümü, yazılı ön izin olmaksızın, fotokopi de dâhil olmak üzere
elektronik veya mekanik, hiçbir şekilde çoğaltılamaz veya hiçbir bölümünden faydalanılamaz. İzin, ISO’nun aşağıda verilen
adresinden veya isteklinin ülkesindeki ISO’nun üye kuruluşundan talep edilebilir.
ISO telif hakları bürosu
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tel.: +41 22 749 01 11
Faks: +41 22 749 09 47
Eposta: copyright@iso.org
Web sayfası: www.iso.org
İsviçre'de yayımlanmıştır
ii © TSE - Tüm hakları saklıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
İçindekiler
Sayfa
Önsöz ............................................................................................................................................................................ viii
Giriş .............................................................................................................................................................................. ix
1 Kapsam ................................................................................................................................................................1
2 Bağlayıcı atıflar ................................................................................................................................................1
3 Terimler, tanımlar ve kısaltmalar .............................................................................................................1
4 Genel.....................................................................................................................................................................2
Bu dokümanın yapısı......................................................................................................................................2
ISO/IEC 27001:2013 gerekliliklerinin uygulanması ..........................................................................2
ISO/IEC 27002:2013 gerekliliklerinin uygulanması ..........................................................................3
Müşteri ................................................................................................................................................................4
5 ISO/IEC 27001 ile ilgili KVYS'ye özgü gereklilikler .............................................................................4
Genel ..................................................................................................................................................................4
Kuruluşun bağlamı..........................................................................................................................................4
5.2.1 Kuruluşu ve bağlamını anlama ...................................................................................................................4
5.2.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması .......................................................................5
5.2.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi ........................................................5
5.2.4 Bilgi güvenliği yönetim sistemi ..................................................................................................................5
Liderlik ................................................................................................................................................................5
5.3.1 Liderlik ve bağlılık ..........................................................................................................................................5
5.3.2 Politika ....................................................................................................................................................5
5.3.3 Kurumsal roller, sorumluluklar ve yetkiler ..........................................................................................5
Planlama .............................................................................................................................................................5
5.4.1 Risk ve fırsatları ele alma faaliyetleri ......................................................................................................5
5.4.2 Bilgi güvenliği hedefleri ve bu hedefleri başarmak için planlama ................................................6
Destek ..................................................................................................................................................................6
5.5.1 Kaynaklar ....................................................................................................................................................6
5.5.2 Yetkinlik ....................................................................................................................................................6
5.5.3 Farkındalık ....................................................................................................................................................6
5.5.4 İletişim ....................................................................................................................................................6
5.5.5 Dokümante Edilmiş Bilgiler.........................................................................................................................7
İşletim ..................................................................................................................................................................7
5.6.1 İşletimsel planlama ve kontrol ...................................................................................................................7
© TSE - Tüm hakları saklıdır. iii

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
5.6.2 Bilgi güvenliği risk değerlendirme ........................................................................................................... 7

5.6.3 Bilgi güvenliği risk işleme ............................................................................................................................ 7
Performans değerlendirme ......................................................................................................................... 7
5.7.1 İzleme, ölçme, analiz ve değerlendirme ................................................................................................. 7
5.7.2 İç denetim ................................................................................................................................................... 7
5.7.3 Yönetimin gözden geçirmesi ....................................................................................................................... 7
İyileştirme.......................................................................................................................................................... 7
5.8.1 Uygunsuzluk ve düzeltici faaliyet .............................................................................................................. 7
5.8.2 Sürekli iyileştirme .......................................................................................................................................... 7
6 ISO 27002 ile ilgili KVYS'ye özel kılavuz bilgiler ................................................................................. 7
Genel ................................................................................................................................................................. 7
Bilgi güvenliği politikaları ........................................................................................................................... 8
6.2.1 Bilgi güvenliği için yönetimin yönlendirmesi ....................................................................................... 8
Bilgi güvenliği organizasyonu .................................................................................................................... 8
6.3.1 İç organizasyon ................................................................................................................................................ 8
6.3.2 Mobil cihazlar ve uzaktan çalışma ............................................................................................................ 9
İnsan kaynakları güvenliği .......................................................................................................................... 9
6.4.1 İstihdam öncesi ................................................................................................................................................ 9
6.4.2 Çalışma esnasında........................................................................................................................................... 9
6.4.3 İstihdamın sonlandırılması ve değiştirilmesi.................................................................................... 10
Varlık yönetimi ............................................................................................................................................. 10
6.5.1 Varlıkların sorumluluğu ............................................................................................................................ 10
6.5.2 Bilgi sınıflandırma ....................................................................................................................................... 10
6.5.3 Ortam İşleme ................................................................................................................................................ 10
Erişim kontrolü ............................................................................................................................................. 11
6.6.1 Erişim kontrolünün iş gereklilikleri ..................................................................................................... 11
6.6.2 Kullanıcı erişim yönetimi .......................................................................................................................... 11
6.6.3 Kullanıcı sorumlulukları ........................................................................................................................... 12
6.6.4 Sistem ve uygulama erişim kontrolü .................................................................................................... 12
Kriptografi ...................................................................................................................................................... 13
6.7.1 Kriptografik kontroller .............................................................................................................................. 13
Fiziksel ve Çevresel Güvenlik .................................................................................................................. 13
6.8.1 Güvenli alanlar .............................................................................................................................................. 13
6.8.2 Teçhizat ................................................................................................................................................ 14
İşletim güvenliği ........................................................................................................................................... 14
iv © TSE - Tüm hakları saklıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
6.9.1 İşletim prosedürleri ve sorumlulukları ............................................................................................... 14

6.9.2 Kötücül yazılımlardan korunma ............................................................................................................. 15
6.9.3 Yedekleme ................................................................................................................................................. 15
6.9.4 Kaydetme ve izleme ..................................................................................................................................... 16
6.9.5 İşletimsel yazılımın kontrolü ................................................................................................................... 16
6.9.6 Teknik açıklık yönetimi ............................................................................................................................. 17
6.9.7 Bilgi sistemleri denetim hususları ......................................................................................................... 17
Haberleşme güvenliği ................................................................................................................................. 17
6.10.1 Ağ güvenliği yönetimi.................................................................................................................................. 17
6.10.2 Bilgi transferi ............................................................................................................................................... 17
Sistem temini, geliştirme ve bakımı ...................................................................................................... 18
6.11.1 Bilgi sistemlerinin güvenlik gereklilikleri .......................................................................................... 18
6.11.2 Geliştirme ve destek süreçlerinde güvenlik ....................................................................................... 18
6.11.3 Test verisi ............................................................................................................................................... 19
Tedarikçi ilişkileri........................................................................................................................................ 20
6.12.1 Tedarikçi ilişkilerinde bilgi güvenliği................................................................................................... 20
6.12.2 Tedarikçi hizmet sağlama yönetimi ...................................................................................................... 20
Bilgi güvenliği ihlal olayı yönetimi ......................................................................................................... 20
6.13.1 Bilgi güvenliği ihlal olaylarının ve iyileştirilmelerin yönetimi ................................................... 20
İş sürekliliği yönetiminin bilgi güvenliği hususları ......................................................................... 22
6.14.1 Bilgi güvenliği sürekliliği ........................................................................................................................... 22
6.14.2 Yedek fazlalıklar ........................................................................................................................................... 23
Uygunluk .......................................................................................................................................................... 23
6.15.1 Yasal ve sözleşmesel gerekliliklere uygunluk ................................................................................... 23
6.15.2 Bilgi güvenliği gözden geçirmeleri ......................................................................................................... 23
7 Kişisel Veri Sorumluları için ek ISO 27002 kılavuz bilgileri......................................................... 24
Genel ............................................................................................................................................................... 24
Toplama ve işleme koşulları .................................................................................................................... 24
7.2.1 Amacın tanımlanması ve dokümante edilmesi ................................................................................. 24
7.2.2 Yasal dayanağın tanımlanması ................................................................................................................ 25
7.2.3 Rızanın ne zaman ve nasıl alınacağının belirlenmesi ..................................................................... 25
7.2.4 Rızanın alması ve kaydedilmesi .............................................................................................................. 26
7.2.5 Gizlilik etki değerlendirmesi.................................................................................................................... 26
7.2.6 Kişisel veri işleyenlerle yapılan sözleşmeler ..................................................................................... 27
7.2.7 Ortak kişisel veri sorumlusu .................................................................................................................... 27
© TSE - Tüm hakları saklıdır. v

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
7.2.8 Kişisel veri işlenmesine ilişkin kayıtlar............................................................................................... 28

Veri sahiplerine karşı yükümlülükler .................................................................................................. 28
7.3.1 Veri sahiplerine karşı yükümlülüklerin belirlenmesi ve yerine getirilmesi ......................... 28
7.3.2 Veri sahiplerine verilecek bilgilerin belirlenmesi........................................................................... 28
7.3.3 Veri sahiplerine bilgi verilmesi .............................................................................................................. 29
7.3.4 Rızanın değiştirilmesi veya geri çekilmesine ilişkin mekanizmanın sağlanması ................ 30
7.3.5 Veri işlemesine itiraz mekanizmasının sağlanması ........................................................................ 30
7.3.6 Erişim, düzeltme ve/veya silme .............................................................................................................. 30
7.3.7 Veri sorumlularının üçüncü tarafları uyarma yükümlülüğü ....................................................... 31
7.3.8 İşlenen kişisel verilerin kopyasının sağlanması .............................................................................. 31
7.3.9 Taleplerin ele alınması .............................................................................................................................. 32
7.3.10 Otomatikleştirilmiş karar verme ........................................................................................................... 32
Tasarım gereği gizlilik ve varsayılan olarak gizlilik ....................................................................... 32
7.4.1 Toplamanın sınırlandırılması ................................................................................................................. 33
7.4.2 İşlemenin sınırlandırılması...................................................................................................................... 33
7.4.3 Doğruluk ve nitelik ...................................................................................................................................... 33
7.4.4 Kişisel verileri en aza indirme hedefleri ............................................................................................. 33
7.4.5 Kişisel verilerin işleme sonunda anonim hâle getirilmesi ve silinmesi................................... 34
7.4.6 Geçici dosyalar .............................................................................................................................................. 34
7.4.7 Tutma ................................................................................................................................................ 35
7.4.8 Yok etme ................................................................................................................................................ 35
7.4.9 Kişisel veri aktarım kontrolleri .............................................................................................................. 35
Kişisel verileri paylaşma, aktarma ve ifşa etme ............................................................................... 35
7.5.1 Yetki alanları arası kişisel veri aktarımı için dayanağın tanımlanması .................................. 36
7.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar ....................................... 36
7.5.3 Kişisel veri aktarımının kayıtları ........................................................................................................... 36
7.5.4 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları ............................................................ 36
8 Veri işleyenler için ek ISO 27002 kılavuz bilgileri ........................................................................... 37
Genel .............................................................................................................................................................. 37
Toplama ve işleme koşulları .................................................................................................................... 37
8.2.1 Müşteri anlaşması ........................................................................................................................................ 37
8.2.2 Kuruluşun amaçları..................................................................................................................................... 37
8.2.3 Pazarlama ve reklam kullanımı .............................................................................................................. 38
8.2.4 İhlale sebep olan talimatlar ..................................................................................................................... 38
8.2.5 Müşteri yükümlülükleri............................................................................................................................. 38
vi © TSE - Tüm hakları saklıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
8.2.6 Kişisel verilerin işlenmesine ilişkin kayıtlar ..................................................................................... 38

Veri sahiplerine karşı yükümlülükler .................................................................................................. 39
8.3.1 Veri sahiplerine karşı yükümlülükler .................................................................................................. 39
Tasarım gereği gizlilik ve varsayılan olarak gizlilik ........................................................................ 39
8.4.1 Geçici dosyalar ............................................................................................................................................... 39
8.4.2 Kişisel verilerin iadesi, aktarımı ve yok edilmesi ............................................................................ 39
8.4.3 Kişisel veri aktarım kontrolleri .............................................................................................................. 40
Kişisel verileri paylaşma, aktarma ve ifşa etme ................................................................................ 40
8.5.1 Yetki alanları arası kişisel veri aktarımına ilişkin dayanak ......................................................... 40
8.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar ........................................ 41
8.5.3 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları ............................................................. 41
8.5.4 Kişisel veri ifşa taleplerinin bildirimi ................................................................................................... 41
8.5.5 Yasal olarak bağlayıcı kişisel veri ifşaları ........................................................................................... 42
8.5.6 Kişisel veri işleme için kullanılan alt yüklenicilerin ifşa edilmesi ............................................. 42
8.5.7 Kişisel verilerin işlenmesi için alt yüklenici kullanımı .................................................................. 42
8.5.8 Kişisel veri işleme için kullanılan alt yüklenicinin değiştirilmesi ............................................. 43
Ek A (bağlayıcı) KVYS’ye özel referans kontrol hedefleri ve kontrolleri (kişisel veri
sorumluları için) ......................................................................................................................................................... 44
Ek B (bağlayıcı) KVYS’ye özgü referans kontrol hedefleri ve kontrolleri (kişisel veri işleyenler
için) .................................................................................................................................................................................. 48
Ek C (bilgi için) ISO/IEC 29100 ile eşleştirme ................................................................................................... 51
Ek D (bilgi için) Genel Veri Koruma Tüzüğü ile Eşleştirme .......................................................................... 54
Ek E (bilgi için) ISO/IEC 27018 ve ISO/IEC 29151 ile Eşleştirme ............................................................... 57
Ek F (bilgi için) ISO/IEC 27701’in ISO/IEC 27001 ve ISO/IEC 27002’ye uygulanma şekli ................. 60
Kaynaklar....................................................................................................................................................................... 62
© TSE - Tüm hakları saklıdır. vii

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Önsöz
ISO (Uluslararası Standartlar Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) dünya çapında
standardizasyon alanında uzmanlaşmış bir sistem oluşturur. ISO veya IEC’ye üye olan ulusal kuruluşlar
Uluslararası Standartların geliştirilmesine, ilgili kuruluşlar tarafından teknik etkinliklerin belirli
alanlarında faaliyet göstermek üzere kurulan teknik komiteler yoluyla katılır. ISO ve IEC teknik
komiteleri ortak çıkar alanlarında işbirliğine gider. ISO ile işbirliği içindeki diğer resmî ya da sivil
uluslararası kuruluşlar da çalışmalarda yer alabilir.
Bu dokümanın geliştirilmesi için kullanılan prosedürler ile dokümanın ileride sürdürülebilmesi için
tasarlanmış prosedürler ISO/IEC Direktifleri Bölüm 1’de açıklanmıştır. Özellikle dokümanların farklı
türleri için gerekli olan onay kriterlerine dikkat edilmelidir. Bu doküman ISO/IEC Direktifleri Bölüm 2
yazım kurallarına uygun olarak hazırlanmıştır (bk. www.iso.org/directives).
Bu dokümanın bazı unsurlarının patent haklarının konusu olabileceği olasılığına dikkat edilmelidir.
Böyle bir patent hakkının belirlenmesi durumunda ISO ve IEC sorumlu tutulamaz. Dokümanın
geliştirilmesi sırasında belirlenen patent haklarıyla ilgili detaylara giriş kısmından ve/veya ISO’nun
patent duyuruları listesinden (bk. www.iso.org/patents) veya IEC’nin patent duyuruları listesinden (bk.
http://patents.iec.ch) ulaşılabilir.
Bu dokümanda kullanılan tüm ticari isimler kullanıcıların kolaylığı açısından bilgi amaçlı verilmiştir ve
bir onay anlamına gelmemektedir.
Standartların gönüllülüğü esas alan doğasına, uygunluk değerlendirmesiyle ilgili ISO’ya özgü terimlerin
ve ifadelerin anlamlarına dair açıklama için ve ayrıca ISO’nun, Dünya Ticaret Örgütü (WTO) Ticarette
Teknik Engeller Anlaşması’na (TBT) olan bağlılığı hakkında bilgi için İnternet sitesine bakınız:
www.iso.org/iso/foreword.html.
Bu doküman; ISO/IEC JTC 1, Bilgi teknolojileri Ortak Teknik Komitesi , SC 27 , Güvenlik teknikleri alt
komitesi tarafından hazırlanmıştır.
Bu dokümanla ilgili her türlü geri bildirim veya sorunun, kullanıcının bulunduğu ülkedeki ulusal standart
kuruluşuna yönlendirilmesi tavsiye edilir. Bu kuruluşların tam listesine www.iso.org/members.html
bağlantısından ulaşılabilir.
viii © TSE - Tüm hakları saklıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Giriş
0.1 Genel
Bugün neredeyse her kuruluş, kişisel veri (kişiyi tanımlamaya yarayan bilgi) işlemektedir. Üstelik,
işlenen kişisel verinin miktarı ve tipi, bir kuruluşun kişisel veri işlenmesine ilişkin başka kuruluşlarla
işbirliğine gitme ihtiyacı duyduğu durumların sayısıyla birlikte artmaya devam etmektedir. Kişisel
verinin işlenmesi bağlamında gizliliğin korunması toplumsal bir ihtiyaç olduğu kadar, tüm dünyada
konuya özel yasalar ve/veya düzenlemelere de konu olmaktadır.
ISO/IEC 27001’de tanımlanan Bilgi Güvenliği Yönetim Sistemi (BGYS), yeni bir Yönetim Sistemi
geliştirme ihtiyacı olmaksızın, sektöre özel gereklilikler eklenmesine olanak sağlayacak şekilde
tasarlanmıştır. Sektöre özel olanlar dâhil ISO Yönetim Sistemi standartları, ayrı ayrı veya birleşik bir
Yönetim Sistemi olarak uygulanabilecek şekilde tasarlanmıştır.
Kişisel verinin korunmasına ilişkin gereklilikler ve kılavuz bilgiler, özellikle ulusal yasalar ve/veya
düzenlemelerin mevcut olduğu yerlerde, kuruluş bağlamına göre değişkenlik gösterir. ISO/IEC 27001
bu bağlamın anlaşılmasını ve dikkate alınmasını gerekli kılar. Bu doküman aşağıdakiler arasında yapılan
eşleştirmeleri içerir:
 ISO/IEC 29100’de tanımlanmış gizlilik çerçevesi ve ilkeler;
 ISO/IEC 27018;
 ISO/IEC 29151 ve
 AB Genel Veri Koruma Düzenlemesi.
Ancak bu dokümanların yerel yasalar ve/veya düzenlemeler dikkate alınacak şekilde yorumlanması
gerekebilir.
Bu doküman kişisel veri sorumluları (ortak kişisel veri sorumlusu olanlar dâhil) veya kişisel veri
işleyenler (kişisel veri işleyenleri alt yüklenici olarak çalıştıranlar ve kişisel veri işleyenler için alt
yüklenici olarak kişisel veri işleyenler dâhil) tarafından kullanılabilir.
Bu dokümanda verilen gereklilikleri sağlayan bir kuruluş, kişisel veri işleme sürecini nasıl yürüttüğüne
dair dokümanlı bir kanıt elde etmiş olur. Bu tip bir kanıt, iş ortaklarıyla yapılan, iki tarafın da kişisel veri
işlemeyle ilgili olduğu anlaşmaları kolaylaştırmak için kullanılabilir. Bu tip bir kanıt, diğer
paydaşlarla olan ilişkilere de yardımcı olabilir. Bu dokümanın ISO/IEC 27001 ile birlikte kullanılması,
arzu edilmesi durumunda, bu kanıt için bağımsız bir doğrulama sağlayabilir.
Bu doküman başlangıçta ISO/IEC 27552 adıyla hazırlanmıştır.
0.2 Diğer yönetim sistemi standartları ile uyumluluk
Bu doküman ISO’nun Yönetim Sistemi Standartları arasındaki uyumu iyileştirmek amacıyla ISO
tarafından geliştirilmiş olan çerçeveyi uygular.
Bu doküman bir kuruluşun kendi Kişisel Veri Yönetim Sistemi’ni (KVYS), diğer Yönetim Sistemi
standartlarının gereklilikleriyle uyumlulaştırmasına veya entegre etmesine yardımcı olur.
© TSE - Tüm hakları saklıdır. ix

ULUSLARARASI STANDART ISO/IEC 27701:2019(E)
Güvenlik teknikleri — Kişisel verilerin yönetimi için

ISO/IEC 27001 ve ISO/IEC 27002 standartlarına yapılan
eklemeler — Gereklilikler ve kılavuz
1 Kapsam
Bu doküman; kuruluş bağlamındaki gizlilik yönetimi için ISO/IEC 27001 ve ISO/IEC 27002’nin bir
eklentisi olacak şekilde Kişisel Veri Yönetim Sistemi (KVYS) oluşturulması, uygulanması, sürdürülmesi ve
sürekli olarak iyileştirilmesine ilişkin gereklilikleri kapsar ve kılavuz bilgiler sunar.
Bu doküman; KVYS ile ilgili gereklilikleri belirtirken, kişisel veri işlenmesine ilişkin sorumluluğu ve
hesap verebilirliği olan kişisel veri sorumluları ve kişisel veri işleyenlere de kılavuz bilgiler verir.
Bu doküman; bir BGYS bünyesinde kişisel veri sorumlusu ol an ve/veya kişisel verileri, kişisel veri
işleyen sıfatıyla işleyen kamu şirketleri ve özel şirketler, devlet oluşumları, kâr amacı gütmeyen
kuruluşlar dâhil, her tipteki ve büyüklükteki kuruluş için geçerlidir.
2 Bağlayıcı atıflar
Bu dokümanda aşağıda belirtilen dokümanlara, içeriklerinin tamamı veya bir kısmı bu dokümanın
gerekliliklerini oluşturacak şekilde atıfta bulunulmuştur. Tarihli atıflar için, yalnızca alıntı yapılmış
baskı geçerlidir. Tarihli olmayan atıflar için, atıf yapılan dokümanın son baskısı (tüm tadiller dâhil)
geçerlidir.
ISO/IEC 27000, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
ISO/IEC 27001:2013, Information technology — Security techniques — Information security management
systems — Requirements
ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information
security controls
ISO/IEC 29100, Information technology — Security techniques — Privacy framework
3 Terimler, tanımlar ve kısaltmalar

Bu dokümanın amaçları doğrultusunda ISO/IEC 27000 ve ISO/IEC 29100’de verilenlerle birlikte
aşağıda verilen terimler ve tanımlar geçerlidir.
ISO ve IEC, standardizasyonda kullanılabilecek terminoloji veri tabanlarını aşağıdaki adreslerde
muhafaza etmektedir:
 ISO çevrim içi gezinti platformuna http://www.iso.org/obp üzerinden erişilebilir.
 IEC Electropedia’ya: http://www.electropedia.org/ üzerinden erişilebilir.
3.1
ortak kişisel veri sorumlusu
bir veya daha fazla kişisel veri sorumlusuyla birlikte kişisel veri işleme amaçlarını ve araçlarını
belirleyen kişisel veri sorumlusu
© TSE - Tüm hakları saklıdır. 1

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
3.2
kişisel veri yönetim sistemi
KVYS
kişisel veri işlenmesinden etkilenmesi muhtemel olan gizliliğin korunması hususunu ele alan bilgi
güvenliği yönetim sistemi
4 Genel
4.1 Bu dokümanın yapısı
Bu doküman, ISO/IEC 27001:2013 ve ISO/IEC 27002:2013 ile ilgili sektöre özgü bir dokümandır.
Bu doküman, KVYS'ye özgü gerekliliklere odaklanmaktadır. Bu dokümana uygunluk, bu gereklilikleri ve
ISO/IEC 27001:2013'teki gereklilikleri esas alır. Bu doküman, bilgi güvenliğine ek olarak, kişisel verinin
işlenmesinden potansiyel olarak etkilenebilecek kişisel veri sahiplerinin gizliliğinin korunmasını dikkate
almak amacıyla ISO/IEC 27001:2013 gerekliliklerini genişletir. Daha iyi anlaşılabilmesi için uygulama
kılavuzu ve gerekliliklerle ilgili ek bilgiler eklenmiştir.
Madde 5, KVYS'ye özgü gereklilikler ile birlikte, kişisel veri sorumlusu ve kişisel veri işleyen olarak görev
yapan bir kuruluşa uygun olan, ISO/IEC 27001'deki bilgi güvenliği gereklilikleriyle ilgili ek bilgiler sunar.
NOT 1 Madde 5, KVYS'ye özgü gereklilikler veya ek bilgilerin olmadığı durumlarda bile, bütünlüğün sağlanması
için ISO/IEC 27001:2013'te gereklilik içeren her bir madde için bir alt madde içerir.
Madde 6, kişisel veri sorumlusu veya kişisel veri işleyen olarak görev yapan bir kuruluş için ISO/IEC
27002 ve KVYS'ye özgü bilgi güvenliği denetimleriyle ilgili KVYS'ye özel kılavuzluk ve ek bilgiler
barındırır.
NOT 2 Madde 6, KVYS'ye özgü kılavuzluk veya ek bilgilerin olmadığı durumlarda bile, bütünlüğün sağlanması
için ISO/IEC 27002:2013'te hedefler veya kontroller içeren her bir madde için bir alt madde içerir.
Madde 7, kişisel veri sorumluları için, Madde 8 ise kişisel veri işleyenler için ek ISO/IEC 27002
kılavuzluğu sağlar.
Ek A, kişisel veri sorumlusu olarak (bir kişisel veri işleyen kullanıyor olsa da, olmasa da veya başka bir
kişisel veri sorumlusu ile birlikte hareket etse de, etmese de) görev yapan bir kuruluş için KVYS'ye özgü
kontrol hedeflerini ve kontrollerini listeler.
Ek B, kişisel veri işleyen olarak (alt yüklenici olarak veri işleyenler de dâhil olmak üzere, veri işleme işini
alt yükleniciye verse de vermese de) görev yapan bir kuruluş için KVYS'ye özgü kontrol hedeflerini ve
kontrollerini listeler.
Ek C, ISO/IEC 29100 ile bir eşleştirme içerir.
Ek D, bu dokümandaki kontrollerin Avrupa Birliği Genel Veri Koruma Tüzüğü ile eşleştirilmesini içerir.
Ek E, ISO/IEC 27018 ve ISO/IEC 29151 ile bir eşleştirme içerir.
Ek F, ISO IEC 27001 ve ISO/IEC 27002'nin kişisel veri işlenirken gizliliğin korunması açısından nasıl
genişletildiğini açıklar.
4.2 ISO/IEC 27001:2013 gerekliliklerinin uygulanması
Çizelge 1, ISO/IEC 27001 ile ilgili KVYS'ye özgü gerekliliklerin yerlerini göstermektedir.
2 © TSE - Tüm hakları saklıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Çizelge 1 — ISO/IEC 27001:2013’te verilen kontrollerin uygulanması için KVYS’ye özgü

gerekliliklerin ve ek bilgilerin yerleri
ISO/IEC Başlık Bu Açıklamalar
27001:2013’teki dokümanın
Madde alt maddesi
4 Kuruluşun bağlamı 5.2 Ek gereklilikler
5 Liderlik 5.3 KVYS’ye özgü gereklilik yok
6 Planlama 5.4 Ek gereklilikler
7 Destek 5.5 KVYS’ye özgü gereklilik yok
8 İşletim 5.6 KVYS’ye özgü gereklilik yok
9 Performans değerlendirme 5.7 KVYS’ye özgü gereklilik yok
10 İyileştirme 5.8 KVYS’ye özgü gereklilik yok
NOT 5.1'e göre “bilgi güvenliği”nin genişletilmiş yorumu, KVYS’ye özgü gereklilikler olmasa bile her
zaman geçerlidir.
4.3 ISO/IEC 27002:2013 gerekliliklerinin uygulanması
Çizelge 2, ISO/IEC 27002 ile ilgili KVYS'ye özgü gerekliliklerin yerlerini göstermektedir.
Çizelge 2 — ISO/IEC 27002:2013’te verilen kontrollerin uygulanması için KVYS’ye özgü
gerekliliklerin ve ek bilgilerin yerleri
ISO/IEC Başlık Bu Açıklamalar
27002:2013’teki dokümanın
madde alt maddesi
5 Bilgi güvenliği politikaları 6.2 Ek kılavuz bilgiler
6 Bilgi güvenliğinin 6.3 Ek kılavuz bilgiler
organizasyonu
7 İnsan kaynakları güvenliği 6.4 Ek kılavuz bilgiler
8 Varlık yönetimi 6.5 Ek kılavuz bilgiler
9 Erişim kontrolü 6.6 Ek kılavuz bilgiler
10 Kriptografi 6.7 Ek kılavuz bilgiler
11 Fiziksel ve çevresel 6.8 Ek kılavuz bilgiler

güvenlik
12 İşletim güvenliği 6.9 Ek kılavuz bilgiler
13 Haberleşme güvenliği 6.10 Ek kılavuz bilgiler
14 Sistem edinimi, geliştirme 6.11 Ek kılavuz bilgiler

ve bakımı
15 Tedarikçi ilişkileri 6.12 Ek kılavuz bilgiler
16 Bilgi güvenliği ihlal olayı 6.13 Ek kılavuz bilgiler

yönetimi
17 İş sürekliliği yönetiminin 6.14 KVYS’ye özgü gereklilik yok
bilgi güvenliği hususları
18 Uygunluk 6.15 Ek kılavuz bilgiler

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
NOT 6.1'e göre “bilgi güvenliği”nin genişletilmiş yorumu, KVYS’ye özgü gereklilikler olmasa bile her
zaman geçerlidir.
4.4 Müşteri
Kuruluşun rolüne bağlı olarak (bk. 5.2.1), "müşteri" şunlardan biri olarak anlaşılabilir:
a) bir kişisel veri sorumlusu ile sözleşmesi olan bir kuruluş (ör. Kişisel veri sorumlusunun müşterisi);
NOT 1 Bu, ortak kişisel veri sorumlusu olan bir kuruluş için geçerli olabilir.
NOT 2 Bir kuruluşla tüketici ilişkisi olan kişi, bu dokümanda "kişisel veri sahibi" olarak ifade edilir.
b) bir kişisel veri işleyen ile sözleşmesi olan bir kişisel veri sorumlusu (örneğin kişisel veri işleyenin
müşterisi) veya
c) kişisel veri işlemesi için bir alt yüklenici ile sözleşmesi olan bir kişisel veri işleyen (örneğin, alt
yüklenicilik yapan kişisel veri işleyenin müşterisi).
NOT 3 Madde 6'da "müşteri" ifadesinin geçtiği yerlerde, ilgili hükümler a), b) veya c) bağlamında
uygulanabilir.
NOT 4 Madde 7 ve Ek A'da “müşteri” ifadesinin geçtiği yerlerde, ilgili hükümler a) bağlamında geçerlidir.
NOT 5 Madde 8 ve Ek B'de "müşteri" ifadesinin geçtiği yerlerde, ilgili hükümler b) ve/veya c) bağlamında
uygulanabilir.
5 ISO/IEC 27001 ile ilgili KVYS'ye özgü gereklilikler

5.1 Genel
ISO 27001:2013 “bilgi güvenliği” ifadesinin geçtiği gereklilikler, kişisel verilerin işlenmesi sebebiyle
etkilenebilecek gizliliğin (kişisel verilerin) korunması da kapsanacak şekilde genişletilmelidir.
NOT Uygulamada ISO/IEC 27001:2013’te “bilgi güvenliği” ifadesine başvurulan her yerde “bilgi güvenliği ve
gizlilik” geçerlidir (bk. Ek F).
5.2 Kuruluşun bağlamı
5.2.1 Kuruluşu ve bağlamını anlama
ISO/IEC 27001:2013, 4.1 için ek bir gereklilik:
Kuruluş kendi rolünü, veri sorumlusu (ortak veri sorumluları dâhil) ve/veya veri işleyen olarak
tanımlamalıdır.
Kuruluş, aşağıda listesi verilmiş olan (ancak bunlarla sınırlı olmayan) KVYS'yi etkileyen iç ve dış hususları
bağlamına uygun ve hedeflenen amaçları gerçekleştirmeyi sağlayacak şekilde tanımlamalıdır:
 kişisel verilerle ilgili uygulanabilir mevzuat;
 uygulanabilir düzenlemeler;
 uygulanabilir yargı kararları;
 uygulanabilir kuruluş bağlamı, yönetişim, politika ve prosedürler;
 uygulanabilir idari kararlar;
 uygulanabilir sözleşmesel gereklilikler.
Kuruluşun her iki rolü de üstlendiği (ör. kişisel veri sorumlusu ve veri işleyen) durumlarda her biri farklı
kontrol gruplarına tabi olan farklı roller belirlenmelidir.
NOT Kuruluşun rolü, kişisel verinin işlenmesinin her bir örneği için farklı olabilir, çünkü bu rol işlemenin
amaçlarını ve araçlarını kimin belirlediğine göre değişmektedir.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
5.2.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

Kuruluş ilgili taraflar (bk. ISO/IEC 27001:2013, 4.2) bilgisine, kişisel veri işlenmesiyle ilişkili çıkarları
veya sorumlulukları olan tarafları (kişisel veri sahipleri dâhil) da eklemelidir.
NOT 1 Diğer taraflara örnek olarak müşteriler (bk. 4.4), denetleyici kurumlar, diğer veri sorumluları, veri
işleyenler ve bunların alt yüklenicileri gösterilebilir.
NOT 2 Kişisel veri işlenmesine ilişkin gereklilikler, yasal ve düzenleyici gereklilikler, sözleşmesel
yükümlülükler ve kurumların gönüllü olarak koydukları hedefleri göz önüne alınarak belirlenebilir. ISO/IEC
29100'de belirtilen gizlilik ilkeleri, kişisel verinin işlenmesi ile ilgili kılavuzluk sağlar.
NOT 3 Bazı ilgili taraflar kuruluşun yükümlülüklerine uygunluğu gösteren bir unsur olarak, kuruluşun bu
dokümanda belirtilen Yönetim Sistemi ve/veya ilgili şartname grupları gibi belirli standartlara uygun olmasını
bekleyebilir. Bu taraflar, bu standartlara uygunluğun bağımsız olarak denetlenmesi talebinde bulunabilir.
5.2.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi
Kuruluş, KVYS kapsamı belirlenirken "kişisel veri işleme"yi dâhil etmelidir.
5.2.4 Bilgi güvenliği yönetim sistemi
Kuruluş, Madde 5’te verilen gerekliliklerle genişletilmiş olan ISO/IEC 27001:2013 Madde 4 ila 10’un
gerekliliklerine uygun bir KVYS oluşturmalı, uygulamalı, sürdürmeli ve sürekli olarak iyileştirmelidir.
5.3 Liderlik
5.3.1 Liderlik ve bağlılık
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 5.1’de belirtilen gereklilikler geçerlidir.
5.3.2 Politika
5.3.3 Kurumsal roller, sorumluluklar ve yetkiler
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 5.3’te belirtilen gereklilikler geçerlidir.
5.4 Planlama
5.4.1 Risk ve fırsatları ele alma faaliyetleri
5.4.1.1 Genel
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 6.1.1’de belirtilen gereklilikler geçerlidir.
5.4.1.2 Bilgi güvenliği risk değerlendirmesi
ISO/IEC 27001:2013 6.1.2’de verilen gereklilikler, aşağıda verilmiş geliştirmelerle birlikte geçerlidir:
ISO/IEC 27001:2013, 6.1.2 c) 1) şu şekilde geliştirilmiştir:
Kuruluş, KVYS kapsamında gizliliğin, bütünlüğün ve erişilebilirliğin kaybıyla ilişkili riskleri tanımlamak
için bilgi güvenliği risk değerlendirmesini uygulamalıdır.
Kuruluş, KVYS kapsamında kişisel veri işleme ile ilişkili riskleri tanımlamak için gizlilik risk
değerlendirmesi yapmalıdır.
Kuruluş, risk değerlendirme süreci boyunca bilgi güvenliği ile kişisel veri koruması arasındaki ilişkinin
uygun şekilde yönetildiğinden emin olmalıdır.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Not: Kuruluş, bilgi güvenliği ve gizlilik risk değerlendirmesini entegre olarak yapabileceği gibi, bunları
bilgi güvenliği ve kişisel veri işlemesine ilişkin riskler için ayrı ayrı da uygulayabilir.
ISO/IEC 27001:2013, 6.1.2 d) 1) şu şekilde geliştirilmiştir:
Kuruluş, yukarıda geliştirilmiş hâli verilen ISO/IEC 27001:2013, 6.1.2 c)'de tanımlanan risklerin
gerçekleşmesi durumunda ortaya çıkacak olası sonuçları hem kuruluş, hem de kişisel veri sahipleri için
değerlendirmelidir.
5.4.1.3 Bilgi güvenliği risk işleme
ISO/IEC 27001:2013, 6.1.3’te verilen gereklilikler aşağıda belirtilen eklemelerle birlikte geçerlidir:
ISO/IEC 27001:2013, 6.1.3 c) şu şekilde geliştirilmiştir:
ISO/IEC 27001:2013 6.1.3 b)'de belirlenen kontroller, gerekli kontrollerin hiçbirinin atlanmadığının
doğrulanması için bu standardın Ek A ve/veya Ek B’sinde ve ISO/IEC 27001:2013, Ek A'da verilen
kontrollerle karşılaştırılmalıdır.
Risklerin giderilmesi için ISO/IEC 27001:2013 Ek A'daki kontrol hedefleri ve kontrollerinin
uygulanabilirliği değerlendirilirken kontrol hedefleri ve kontrollerinde, bilgi güvenliği riskleri ile birlikte
kişisel veri işlenmesi ile ilgili riskler (kişisel veri sahipleriyle ilişkili riskler dâhil) de dikkate alınmalıdır.
ISO/IEC 27001:2013, 6.1.3 d) şu şekilde geliştirilmiştir:
Aşağıdakileri içeren Uygulanabilirlik Beyanı oluşturulur:
 Gerekli kontroller [bk. ISO/IEC 27001:2013, 6.1.3 b) ve c)];
 Bu kontrollerin eklenme gerekçeleri;
 Gerekli kontrollerin uygulanıp uygulanmadığı ve
 Kuruluşun rolünün belirlenmesi (bk. 5.2.1) doğrultusunda bu standardın Ek A ve/veya Ek B’sinde ve
ISO/IEC 27001:2013, Ek A’da belirtilen kontrollerden herhangi birinin çıkarılması durumunda bu
işlemin gerekçesi.
Eklerde verilen tüm kontrol hedefleri ve kontrollerin KVYS uygulamasına dâhil edilmesine gerek yoktur.
Kontrollerin çıkarılma gerekçelerine örnek olarak ilgili kontrollerin risk değerlendirilmesi tarafından
gerekli görülmemesi, yasalar ve/veya yasal düzenlemeler tarafından (veri sahipleri için geçerli olanlar
dâhil) zorunlu tutulmaması gösterilebilir.
5.4.2 Bilgi güvenliği hedefleri ve bu hedefleri başarmak için planlama
5.5 Destek
5.5.1 Kaynaklar
5.5.2 Yetkinlik
5.5.3 Farkındalık
5.5.4 İletişim

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
5.5.5 Dokümante Edilmiş Bilgiler

5.5.5.1 Genel
5.5.5.2 Oluşturma ve güncelleme
5.5.5.3 Dokümante edilmiş bilgilerin kontrolü
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 7.5.3’te belirtilen gereklilikler geçerlidir.
5.6 İşletim
5.6.1 İşletimsel planlama ve kontrol
5.6.2 Bilgi güvenliği risk değerlendirme
5.6.3 Bilgi güvenliği risk işleme
5.7 Performans değerlendirme
5.7.1 İzleme, ölçme, analiz ve değerlendirme
5.7.2 İç denetim
5.7.3 Yönetimin gözden geçirmesi
5.8 İyileştirme
5.8.1 Uygunsuzluk ve düzeltici faaliyet
5.8.2 Sürekli iyileştirme
6 ISO 27002 ile ilgili KVYS'ye özel kılavuz bilgiler

6.1 Genel
ISO/IEC 27002:2013 içinde "bilgi güvenliği" geçen kılavuz bilgiler, kişisel veri işlenmesinden etkilenmesi
muhtemel olan gizliliğin korunması şeklinde genişletilmelidir.
NOT 1 Uygulamada ISO/IEC 27001:2013’te “bilgi güvenliği” ifadesine başvurulan her yerde “bilgi güvenliği ve
gizlilik” geçerlidir (bk. Ek F).
Tüm kontrol hedefleri ve kontrolleri hem bilgi güvenliğine yönelik riskler hem de kişisel verilerin
işlenmesiyle ilgili gizlilik riskleri bağlamında değerlendirilmelidir.
NOT 2 Madde 6'daki özel hükümler tarafından aksi belirtilmedikçe veya ilgili yetki alanı gereğince kuruluş
tarafından belirlenmedikçe, söz konusu kılavuz bilgiler kişisel veri sorumluları ve işleyenler için de geçerlidir.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
6.2 Bilgi güvenliği politikaları

6.2.1 Bilgi güvenliği için yönetimin yönlendirmesi
6.2.1.1 Bilgi güvenliği için politikalar
ISO/IEC 27002:2013 5.1.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgilerle birlikte aşağıdaki
ek kılavuz bilgi geçerlidir:
ISO/IEC 27001:2013, 5.1.1 Bilgi Güvenliği Politikaları maddesi için ek uygulama kılavuz bilgisi:
Ayrı gizlilik politikalarının geliştirilmesi ya da bilgi güvenliği politikalarının güçlendirilmesi yoluyla
kuruluş, yürürlükteki kişisel veri koruma mevzuatı ve/veya düzenlemelerine ve kuruluş ile ortakları, alt
yüklenicileri ve ilgili üçüncü taraflar (müşteri, tedarikçi vb.) arasında kararlaştırılan sözleşme
hükümlerine uyulması hususunda destek ve bağlılık açıklaması yapmalıdır.
ISO/IEC 27001:2013, 5.1.1 Bilgi Güvenliği Politikaları maddesi için ek bilgilendirme:
İster kişisel veri sorumlusu ister kişisel veri işleyen olsun, kişisel veri işleyen tüm kuruluşlar, bilgi
güvenliği politikalarının geliştirilmesi ve sürdürülmesi sırasında, yürürlükte olan kişisel veri koruma
mevzuatını ve/veya düzenlemelerini göz önünde bulundurmalıdır.
6.2.1.2 Bilgi güvenliği için politikaların gözden geçirilmesi
ISO/IEC 27002:2013, 5.1.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.3 Bilgi güvenliği organizasyonu
6.3.1 İç organizasyon
6.3.1.1 Bilgi güvenliği rolleri ve sorumlulukları
ISO/IEC 27002:2013 6.1.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgileri geçerlidir:
ISO/IEC 27001:2013, 6.1.1 Bilgi güvenliği rolleri ve sorumlulukları maddesi için ek uygulama
kılavuz bilgileri:
Kuruluş, müşterilerinin kişisel verilerinin işlenmesi ile ilgili bir iletişim kişisi belirlemelidir. Kuruluşun
veri sorumlusu olduğu durumlarda veri sahiplerinin kendi verilerinin işlenmesi hakkında iletişime
geçeceği bir iletişim kişisi belirlenmelidir.
Kuruluş, veri işleme ile ilişkili mevzuat ve düzenlemelere uygunluk sağlamak amacıyla kuruluş çapında
olan bir yönetişim ve gizlilik programının geliştirilmesi, uygulanması, sürdürülmesi ve izlenmesi için bir
veya birden fazla kişiyi sorumlu olarak belirlemelidir.
Söz konusu sorumlu kişi, gerekli durumlarda;
 gizlilik risklerinin uygun şekilde yönetilmesini sağlamak amacıyla bağımsız kılınmalı ve uygun
yönetim seviyesine direkt olarak raporlayabilmelidir;
 veri işleme ile ilgili bütün hususların yönetimine dâhil olmalıdır;
 veri koruma mevzuatı, düzenlemesi ve uygulamasında uzman olmalıdır;
 denetleyici kurumlarla iletişim noktası olmalı;
 kurumun üst yönetimine ve çalışanlara veri işleme ile ilgili yükümlülüklerini bildirmeli;
 kuruluşun yürüttüğü gizlilik etki değerlendirmelerinde tavsiye vermelidir.
NOT Söz konusu kişi, bu pozisyonun ne zaman gerekli olduğunu, konum ve rolleriyle birlikte tanımlayan bazı
yetki alanlarında veri koruma sorumlusu olarak isimlendirilmektedir. Bu pozisyon mevcut bir çalışan tarafından
doldurulabilir veya dışarıdan temin edilebilir.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
6.3.1.2 Görevler ayrılığı

ISO/IEC 27002:2013 6.1.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.3.1.3 Otoritelerle iletişim
ISO/IEC 27002:2013 6.1.3’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.3.1.4 Özel ilgi grupları ile iletişim
6.3.1.5 Proje yönetiminde bilgi güvenliği
6.3.2 Mobil cihazlar ve uzaktan çalışma
6.3.2.1 Mobil cihaz politikası
ISO/IEC 27002:2013 6.1.5’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte aşağıdaki
ek kılavuz bilgiler geçerlidir.
ISO/IEC 27001:2013, 6.2.1 Mobil cihaz politikası maddesi için ek kılavuz bilgiler:
Kuruluş, mobil cihaz kullanımının kişisel verinin ele geçirilmesine engel olmasını sağlamalıdır.
6.3.2.2 Uzaktan çalışma
6.4 İnsan kaynakları güvenliği
6.4.1 İstihdam öncesi
6.4.1.1 Tarama
6.4.1.2 İstihdam hüküm ve koşulları
6.4.2 Çalışma esnasında
6.4.2.1 Yönetimin sorumlulukları
ISO/IEC 27002:2013 7.2.1 maddesindeki uygulama bilgileri ve ek bilgiler gerçekleştirilmelidir.
6.4.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 7.2.2 Bilgi güvenliği farkındalığı, eğitim ve öğretimi maddesi için ek kılavuz
bilgiler:
İlgili personelin, özellikle kişisel verilerin kullanılmasıyla ilgili olan gizlilik ve güvenlik kurallarının ve
prosedürlerinin ihlal edilmesinin kuruluşa, çalışanlara ve kişisel veri sahibine doğuracağı olası sonuçlar
hakkında bilgi sahibi olmasının sağlanması için ihlal olayı raporlama farkındalığının artırılması dâhil,
önlemler alınmalıdır.
NOT Önlemlere örnek olarak kişisel verilere erişimi olan personele verilecek periyodik eğitimler verilebilir.
6.4.2.3 Disiplin prosedürleri

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
6.4.3 İstihdamın sonlandırılması ve değiştirilmesi

6.4.3.1 İstihdam sorumluluklarının sonlandırılması veya değiştirilmesi
6.5 Varlık yönetimi
6.5.1 Varlıkların sorumluluğu
6.5.1.1 Varlıkların envanteri
6.5.1.2 Varlıkların sahipliği
6.5.1.3 Varlıkların kabul edilebilir kullanımı
6.5.1.4 Varlıkların iadesi
6.5.2 Bilgi sınıflandırma
6.5.2.1 Bilgi sınıflandırması
aşağıdaki ek kılavuz bilgiler geçerlidir.
ISO/IEC 27001:2013, 8.2.1 Bilgi sınıflandırması maddesi için ek uygulama kılavuz bilgileri:
Kuruluşun bilgi sınıflandırması sistemi kişisel veriyi özel olarak, uyguladığı düzenin bir parçası şeklinde
değerlendirmelidir.
Kişisel verilerin genel sınıflandırma sistemi bünyesinde değerlendirilmesi, kuruluşun hangi kişisel
verileri işlediğinin (ör. tipi, özel kategorileri), kişisel verilerin nerede saklandığının ve hangi sistemlerden
geçebildiğinin anlaşılması açısından bütünleyicidir.
6.5.2.2 Bilgi etiketlemesi
aşağıdaki ek kılavuz bilgiler geçerlidir.
ISO/IEC 27001:2013, 8.2.2 Bilgi etiketleme maddesi için ek uygulama kılavuz bilgileri:
Kuruluş; kontrolü altındaki kişilerin, kişisel verilerin tanımı ve hangi verilerin kişisel veri olduğunun
tespiti konusunda bilgi sahibi olduklarından emin olmalıdır.
6.5.2.3 Varlıkların kullanımı
6.5.3 Ortam İşleme
6.5.3.1 Taşınabilir Ortam Yönetimi
ISO/IEC 27001:2013, 8.3.1 Taşınabilir ortam yönetimi maddesi için ek uygulama kılavuz bilgileri:
Kuruluş, kişisel veri saklama için yapılan taşınabilir medya ve/veya cihaz kullanımlarını kaydetmelidir.
Kuruluş, uygun durumlarda kişisel veriler depolanırken şifrelemeye izin veren taşınabilir medya ve/veya
cihazlar kullanmalıdır. Şifresiz ortam ancak kaçınılmaz olduğunda kullanılmalı, şifreleme kullanılmasının
imkânsız olduğu ortamlarda ve/veya cihazlarda kuruluş, kişisel verilere yönelik risklerin azaltılması için
prosedürler ve telafi edici kontroller (emniyet belirteçli ambalaj gibi) uygulamalıdır.
ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
ISO/IEC 27001:2013, 8.3.1 Taşınabilir ortam yönetimi maddesi için ek bilgilendirme:

Kuruluşun fiziksel sınırları dışına çıkarılan taşınabilir medya; kayba, hasara ve uygunsuz erişime
eğilimlidir. Taşınabilir ortamın şifrelenmesi, taşınabilir ortamın ele geçirilmesi durumunda kişisel
verinin güvenlik ve gizlilik risklerini azaltan bir koruma düzeyi ekler.
6.5.3.2 Ortamın yok edilmesi
ISO/IEC 27001:2013, 8.3.2 Ortamın yok edilmesi maddesi için ek uygulama kılavuz bilgiler;
Kişisel verilerin saklandığı taşınabilir ortamın yok edildiği durumlarda, öncesinde saklanmış olan kişisel
verilere bir daha erişilememesinin sağlanması için güvenli yok etme prosedürleri uygulanmalı ve
dokümante edilmiş bilgilere dâhil edilmelidir.
6.5.3.3 Fiziksel ortam aktarımı
ISO/IEC 27002:2013 8.3.3’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte aşağıdaki
ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 8.3.3 fiziksel ortam aktarımı maddesi için ek uygulama kılavuz bilgileri:
Bilgi transferi için fiziksel ortam kullanılması durumunda, kişisel verileri içeren gelen ve giden fiziksel
ortamların; fiziksel ortam tipi, yetkili gönderici/alıcı bilgisi, tarih ve saat, fiziksel ortam sayısı gibi verileri
kayıt altına alan bir sisteme başvurulmalıdır.
Söz konusu kişisel verinin, aktarım sırasında alıcı nokta dışında erişilmesini engelleyecek, şifreleme gibi
ek önlemler alınmalıdır.
Kuruluş, kişisel verileri içeren fiziksel ortamı tesislerinden ayrılmadan önce bir onay prosedürüne tabi
tutmalı ve kişisel verilerin, yetkili personel dışında başka hiç kimse tarafından erişilebilir olmadığından
emin olmalıdır.
NOT Kuruluşun tesislerinden ayrılan fiziksel ortamdaki kişisel verinin genel olarak erişilebilir olmadığından
emin olmak için alınabilecek bir önlem, ilgili kişisel veriyi şifrelemek ve şifre çözümünü yetkili personelle
sınırlamaktır.
6.6 Erişim kontrolü
6.6.1 Erişim kontrolünün iş gereklilikleri
6.6.1.1 Erişim kontrol politikası
6.6.1.2 Ağlara ve ağ hizmetlerine erişim
6.6.2 Kullanıcı erişim yönetimi
6.6.2.1 Kullanıcı kaydetme ve kayıt silme
ISO/IEC 27001:2013, 9.2.1 kullanıcı kaydetme ve kayıt silme maddesi için ek uygulama kılavuz
bilgileri:
Kişisel verileri işleyen sistem ve hizmetleri yöneten ve işleten kullanıcıların kaydedilmesi veya
kayıtlarının silinmesi için hazırlanan prosedürler, ilgili kullanıcıların kullanıcı erişim kontrolünün ele
geçirildiği (ör. bilgilerin yanlışlıkla ifşa olması) durumlarını da (ör. şifrelerin veya diğer kullanıcı kayıt
bilgilerinin bozulması veya ele geçirilmesi gibi) ele almalıdır.
TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Kuruluş, kişisel veri işleyen sistem ve hizmetlerde, pasife çekilmiş veya geçersiz olmuş kullanıcı
kimliklerini yeni kullanıcılara atamamalıdır.
Kuruluşun kişisel veri işlemeyi hizmet olarak sunduğu durumlarda kullanıcı kimlik yönetiminden
müşteri de sorumlu olabilecektir. Bu gibi durumlar, dokümante edilmiş bilgilere dâhil edilmelidir.
Bazı yetki alanlarında, kişisel verileri işleyen sistemlerle ilgili kullanılmamış kimlik doğrulama bilgileri
üzerinde yapılacak kontrollerin sıklığına ilişkin özel gereklilikler öngörülmektedir. Bu gibi yetki
alanlarında faaliyet gösteren kuruluşlar, bu gerekliliklere de uygunluğu sağlamalıdır.
6.6.2.2 Kullanıcı erişimine izin verme
ISO/IEC 27001:2013, 9.2.2 kullanıcı erişimine izin verme maddesi için ek uygulama kılavuz
bilgileri:
Kuruluş, bilgi sistemine ve burada yer alan kişisel verilere erişim yetkisi olan kullanıcılar için oluşturulan
kullanıcı profillerinin doğru ve güncel bir kaydını tutmalıdır. Bu profil, yetkili erişim sağlayan
tanımlanmış teknik kontrolleri uygulamak için gerekli olan, kullanıcı kimliği de dâhil, o kullanıcıyla ilgili
veri kümesini içerir.
Uygun konfigüre edilmiş sistemlerde bağımsız kullanıcı erişim kimliklerinin tanımlanması; kişisel
verilere kimin eriştiğini, hangi eklemeler, silmeler veya değişiklikler yapıldığının tanımlanmasını sağlar.
Bu sayede kuruluşun korunmasının yanı sıra, kullanıcılar da işlediklerinin ve işlemediklerinin
tanımlanması mümkün olacağından korunmuş olur.
Kuruluşun kişisel veri işlemeyi hizmet olarak sunduğu durumlarda müşteri erişim yönetiminin
tamamından veya bir kısmından sorumlu olabilir. Uygun olduğu durumlarda kuruluş müşteriye, erişim
yönetimi ve sonlandırmasına olanak sağlayacak gerekli yönetici haklarının verilmesi gibi erişim yönetimi
yapabilecekleri araçlar sağlamalıdır.
6.6.2.3 Ayrıcalıklı erişim haklarının yönetimi
6.6.2.4 Kullanıcılara ait gizli kimlik doğrulama bilgilerinin yönetimi
6.6.2.5 Kullanıcı erişim haklarının gözden geçirilmesi
6.6.2.6 Erişim haklarının kaldırılması veya düzenlenmesi
ISO/IEC 27002:2013 9.2.6’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.3 Kullanıcı sorumlulukları
6.6.3.1 Gizli kimlik doğrulama bilgisinin kullanımı
6.6.4 Sistem ve uygulama erişim kontrolü
6.6.4.1 Bilgiye erişimin kısıtlanması
6.6.4.2 Güvenli oturum açma prosedürleri

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
ISO/IEC 27001:2013,9.4.2 güvenli oturum açma prosedürleri için ek uygulama kılavuz bilgileri:
Kuruluş, müşterisi tarafından talep edilmesi durumunda güvenli oturum açma prosedürleri işlevini
müşteri kontrolüne vermelidir.
6.6.4.3 Parola yönetim sistemi
6.6.4.4 Ayrıcalıklı destek programlarının kullanımı
6.6.4.5 Program kaynak koduna erişim kontrolü
6.7 Kriptografi
6.7.1 Kriptografik kontroller
6.7.1.1 Kriptografik kontrollerin kullanımına ilişkin politika
ISO/IEC 27001:2013, 10.1.1 Kriptografik kontrollerin kullanımına ilişkin politika için ek
uygulama kılavuz bilgileri:
Bazı yetki alanlarında, kişisel verilerin belirli türlerinin (ör. sağlık verileri, kimlik numaraları, pasaport
numaraları, sürücü ehliyet numaraları) korunması için kriptografi kullanımı talep edilebilir.
Kuruluş, işlediği kişisel verileri korumak için hangi durumlarda kriptografi kullandığı hususunda
müşteriye bilgi vermelidir. Kuruluş, müşterinin kendi kriptografik korumasını uygulamasına yardımcı
olacak konularda da müşteriye bilgi vermelidir.
6.7.1.2 Anahtar yönetimi
6.8 Fiziksel ve Çevresel Güvenlik
6.8.1 Güvenli alanlar
6.8.1.1 Fiziksel güvenlik sınırı
6.8.1.2 Fiziksel giriş kontrolleri
6.8.1.3 Ofislerin, odaların ve tesislerin güvenliğinin sağlanması
6.8.1.4 Dış ve çevresel tehditlere karşı koruma
6.8.1.5 Güvenli alanlarda çalışma
6.8.1.6 Teslimat ve yükleme alanları

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
6.8.2 Teçhizat
6.8.2.1 Teçhizat yerleştirme ve koruma
6.8.2.2 Destekleyici altyapı hizmetleri
6.8.2.3 Kablo güvenliği
6.8.2.4 Teçhizat bakımı
6.8.2.5 Varlıkların taşınması
6.8.2.6 Kuruluş dışındaki teçhizat ve varlıkların güvenliği
6.8.2.7 Teçhizatın güvenli yok edilmesi veya tekrar kullanımı
ISO/IEC 27001:2013, 11.2.7 Teçhizatın güvenli yok edilmesi veya tekrar kullanımı için ek
uygulama kılavuz bilgileri:
Kuruluş, yeniden kullanıma aldığı her depolama alanı için, depolama alanında önceden yazılmış tüm
kişisel verilerin erişilemez olmasını sağlamalıdır.
Bir bilgi sisteminde tutulan kişisel verilerin silinmesi durumunda yaşanacak performans sorunları bu
kişisel verilerin tamamen silinmesinin uygulanabilir olmayacağını gösterebilir. Bu durum da, kişisel
verilere başka bir kullanıcının erişebilmesi riskini doğurur. Bu gibi risklerden, özel teknik önlemlere
başvurularak kaçınılmalıdır.
Kuruluş, güvenli yok etme veya tekrar kullanım için kişisel veri bulunabilecek tüm depolama ortamlarını
kişisel veri içeriyormuş gibi ele almalıdır.
6.8.2.8 Gözetimsiz kullanıcı teçhizatı
6.8.2.9 Temiz masa temiz ekran politikası
ISO/IEC 27002:2013 11.2.9’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
ISO/IEC 27001:2013, 11.2.9 Temiz masa temiz ekran politikası için ek uygulama kılavuz bilgileri:
Kuruluş, belirlenmiş kişisel veri işleme amaçlarının sağlanması için gereken basılı kopya kullanımını
asgari seviyede tutmayı sağlayacak önlemleri ele almalıdır.
6.9 İşletim güvenliği
6.9.1 İşletim prosedürleri ve sorumlulukları
6.9.1.1 Yazılı işletim prosedürleri

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
6.9.1.2 Değişiklik yönetimi

6.9.1.3 Kapasite yönetimi
6.9.1.4 Geliştirme, test ve işletim ortamlarının birbirinden ayrılması
6.9.2 Kötücül yazılımlardan korunma
6.9.2.1 Kötücül yazılımlara karşı kontroller
6.9.3 Yedekleme
6.9.3.1 Bilgi yedekleme
ISO/IEC 27001:2013, 12.3.1 Bilgi yedekleme için ek uygulama kılavuz bilgileri:
Kuruluş, kişisel verinin yedeklenmesi, geri getirilmesi ve kurtarılmasına (genel yedekleme politikasının
parçası da olabilir) yönelik gereklilikler ile birlikte yedekleme gereklilikleri için tutulan bilgilerde
bulunan kişisel verilerin silinmesine ilişkin başka ek gereklilikleri (ör. sözleşmesel ve/veya yasal
gereklilikler) de ele alan bir politikaya sahip olmalıdır.
Bu açıdan, kişisel verilere özgü sorumluluklar müşteriye göre değişebilir. Kuruluş, müşterinin yedekleme
ile ilgili hizmet sınırları hakkında bilgilendirilmiş olmasını sağlamalıdır.
Kuruluşun müşterilere açıkça yedekleme ve geri yükleme hizmetleri sağladığı durumlarda, kuruluş,
kişisel verilerin yedeklenmesi ve geri yüklenmesi ile ilgili kuruluş işlevleri hakkında net bilgiler
sağlamalıdır.
Bazı yetki alanlarında kişisel veri yedeklerinin sıklığı, gözden geçirme ve yedekleme testlerinin sıklığı
veya kişisel veriler için uygulanan kurtarma prosedürleri ile ilgili özel gereklilikler talep edilmektedir. Bu
gibi yetki alanlarında faaliyet gösteren kuruluşlar, bu gerekliliklere uygunluk göstermelidir.
Sistem arızası, saldırı veya felaket vb. durumlarda kişisel verinin geri getirilmesi gerekebilir. Böyle bir
durum söz konusu olduğunda geri getirme eyleminin (genelde yedekleme ortamından geri getirilir), geri
getirilen kişisel verinin bütünlüğü için güvence verilebilecek şekilde yapıldığından emin olunmalıdır
ve/veya kişisel verilerde hataların ve/veya eksiklerin tespit edilmesi durumunda bu hata ve eksiklerin
giderilmesini sağlayacak yöntemler hazır olmalıdır.
Kuruluş, kişisel veri geri getirme girişimleri için bir prosedüre sahip olmalı ve bu girişimlerin günlük
kayıtlarını tutmalıdır. Bu kayıtlarda en azından aşağıdakiler bulunmalıdır:
 Geri getirme işleminden sorumlu kişi;
 Geri getirilen kişisel verilerin açıklaması.
Bazı yetki alanlarında kişisel veri geri getirme girişimlerinin günlük kaydı içeriğinin nasıl olması gerektiği
önceden tanımlanmaktadır. Kuruluşlar, yetki alanına özgü bu gibi uygulanabilir gerekliliklere sağladığı
uygunluğu dokümante edebilmelidir. Bu gibi uyum çalışmalarının sonuçları dokümante edilmiş bilgilere
eklenmelidir.
Kişisel verilerin kopyaları veya yedeklerinin alt yükleniciler tarafından tutulması durumu ile ilgili
kontroller, bu dokümanın alt yüklenicilerin veri işlemesine yönelik 6.5.3.3 ve 6.12.1.2 maddelerinde

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
verilmiştir. Yedekleme ve geri getirme işlemleri için fiziksel ortam aktarımlarının da söz konusu olduğu
durumlar ise bu dokümanın 6.10.2.1 maddesinde ele alınmıştır.
6.9.4 Kaydetme ve izleme
6.9.4.1 Olay Kaydetme
ISO/IEC 27002:2013 12.4.1’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
ISO/IEC 27001:2013, 12.4.1 Olay kaydetme için ek uygulama kılavuz bilgileri:
Olay günlüklerinin sürekli, otomatik izleme ve alarm süreçleri kullanılarak veya manuel yöntemlerle
gözden geçirilmesi için bir süreç tanımlanmalı, bu gözden geçirme eylemi düzensizlikleri tanımlamak ve
telafi girişimleri önermek üzere belirlenmiş ve dokümante edilmiş bir zaman aralığında uygulanmalıdır.
Kuruluş, (mümkünse) erişilen kişisel verilerin hangi gerçek kişiye ilişkin olduğunu, kim tarafından, ne
zaman erişildiğini ve varsa yapılan değişiklikleri (ekleme, değiştirme, silme) olay günlüklerinde
kaydetmelidir.
Birden fazla hizmet sağlayıcısının hizmet sunmaya dâhil olması durumunda, bu kılavuzun
uygulanmasında çeşitli veya paylaşılan roller bulunabilir. Bu roller açıkça tanımlanmalı ve dokümante
edilmiş bilgilere dâhil edilmeli ve bu bilgilerde sağlayıcılar arasında yapılmış günlük erişimi anlaşmaları
ele alınmalıdır.
Veri İşleyenler için kılavuz:
Kuruluş; müşterisine günlük kayıtlarını hangi durumda, ne zaman ve nasıl açabileceğine ilişkin kriterler
tanımlamalıdır. Bu kriterler müşteriye verilmelidir.
Kuruluş; müşterisine kontrolü altındaki günlük kayıtlarına erişim verdiği durumlar için müşterilerin
sadece kendi aktivitelerine erişmesini, diğer müşterilere ait kayıtlara erişememesi ve herhangi bir
şekilde günlük kayıtlarını değiştirememesini sağlayacak kontroller uygulamalıdır.
6.9.4.2 Kayıt bilgilerinin korunması
ISO/IEC 27001:2013, 12.4.2 Kayıt bilgisinin korunması için ek uygulama kılavuz bilgileri:
Örneğin, güvenlik izleme ve operasyonel tanılama için kaydedilen günlük bilgileri kişisel veriler içerebilir.
Günlüğe kaydedilen bilgilerin yalnızca amaçlandığı gibi kullanılmasını sağlamak için erişim kontrolü (bk.
ISO/IEC 27002:2013, 9.2.3) gibi önlemler alınmalıdır.
Günlüğe kaydedilen bilgilerin tutma planında belirtildiği gibi silinmesini veya anonim hâle getirilmesini
sağlamak için tercihen otomatik bir prosedür uygulanmalıdır (bk. 7.4.7).
6.9.4.3 Yönetici ve operatör kayıtları
6.9.4.4 Saat senkronizasyonu
6.9.5 İşletimsel yazılımın kontrolü
6.9.5.1 İşletimsel sistemler üzerine yazılım kurulumu

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
6.9.6 Teknik açıklık yönetimi

6.9.6.1 Teknik açıklıkların yönetimi
6.9.6.2 Yazılım kurulumu kısıtlamaları
6.9.7 Bilgi sistemleri denetim hususları
6.9.7.1 Bilgi sistemleri denetim kontrolleri
6.10 Haberleşme güvenliği
6.10.1 Ağ güvenliği yönetimi
6.10.1.1 Ağ kontrolleri
6.10.1.2 Ağ hizmetlerinin güvenliği
6.10.1.3 Ağlarda ayrım
6.10.2 Bilgi transferi
6.10.2.1 Bilgi transfer politikaları ve prosedürleri
ISO/IEC 27001:2013, 13.2.1 Bilgi transfer politikaları ve prosedürleri için ek uygulama kılavuz
bilgileri:
Kuruluş, kişisel verilerin işlenmesine ilişkin kuralların, uygun olan yerlerde, sistem genelinde ve dışında
uygulanmasını sağlamak için prosedürler oluşturmayı değerlendirmelidir.
6.10.2.2 Bilgi transferindeki anlaşmalar
6.10.2.3 Elektronik mesajlaşma
6.10.2.4 Gizlilik ya da ifşa etmeme anlaşmaları
ISO/IEC 27002:2013 13.2.4’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
ISO/IEC 27001:2013, 13.2.4 Gizlilik ya da ifşa etmeme anlaşmaları için ek uygulama kılavuz
bilgileri:
Kuruluş, kontrolü altındaki kişilerden kişisel veriye erişimi olanların gizlilik yükümlülüğüne tabi olmasını
sağlamalıdır. Bir sözleşmenin parçası olabileceği gibi ayrı bir anlaşmayla da sağlanabilecek olan gizlilik
anlaşması, uyulması gereken yükümlülüklerin süresini belirtiyor olmalıdır.
Kuruluşun kişisel veri işleyen olduğu durumlar için; kuruluş, personeli ve temsilcileri arasında,
çalışanların ve temsilcilerin veri işleme ve koruma ile ilgili politika ve prosedürlere uymalarını sağlayacak
bir gizlilik anlaşması (hangi biçimde olursa olsun) bulunmalıdır.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
6.11 Sistem temini, geliştirme ve bakımı

6.11.1 Bilgi sistemlerinin güvenlik gereklilikleri
6.11.1.1 Bilgi güvenliği gereklilikleri analizi ve belirtimi
6.11.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin sağlanması
ISO/IEC 27001:2013, 14.1.2 Halka açık ağlardaki uygulama hizmetlerinin güvenliğinin
sağlanması için ek uygulama kılavuz bilgileri:
Kuruluş, güvenilmeyen veri iletim ağları üzerinden iletilen kişisel verilerin, iletim için şifrelenmesini
sağlamalıdır.
Güvenilmeyen ağlara örnek olarak herkese açık internet ve kuruluşun işletimsel kontrolü dışındaki diğer
araçlar gösterilebilir.
NOT Bazı durumlarda (ör. e-posta gönder-al işlemleri) güvenilmeyen veri iletim ağı sistemlerinin doğası
gereği, etkili bir iletim için bazı başlıkların veya trafik verilerinin şifresiz gönderilmesi söz konusu olabilir.
6.11.1.3 Uygulama hizmet işlemlerinin korunması
6.11.2 Geliştirme ve destek süreçlerinde güvenlik
6.11.2.1 Güvenli geliştirme politikası
ISO/IEC 27001:2013, 14.2.1 Güvenli geliştirme politikası için ek uygulama kılavuz bilgileri:
Kuruluşun sistem geliştirme ve tasarım politikaları, kişisel veri ihtiyaçlarının işlenmesi amacıyla, kişisel
veri sahiplerine ve/veya yürürlükteki herhangi bir mevzuata ve/veya düzenlemeye karşı
yükümlülüklerini ve kuruluş tarafından gerçekleştirilen işleme türlerini esas alan kılavuz bilgiler
içermelidir. Madde 7 ve 8’de verilen kişisel veri işlenmesine yönelik kontrol hususları, sistem tasarımında
gizlilik politikalarının geliştirilmesinde faydalı olabilir.
"Tasarım gereği gizlilik" ve "varsayılanda gizlilik" konularını ele alan politikalar aşağıdaki hususları da
dikkate almalıdır:
a) kişisel veri koruması ve ISO/IEC 29100'de yer alan gizlilik prensiplerinin yazılım yaşam
döngüsündeki uygulaması için kılavuz bilgiler;
b) gizlilik etki analizi (bk. 7.2.5) ve/veya gizlilik risk analizi çıktılarını esas alabilecek tasarım
aşamasında ele alınacak gizlilik ve kişisel veri koruma gereklilikleri;
c) proje kilometre taşları içinde kişisel veri koruma kontrol noktaları;
d) gerekli görülen gizlilik ve kişisel veri koruma bilgisi;
e) varsayılan olarak kişisel veri işlemenin en aza indirilmesi.
6.11.2.2 Sistem değişiklik kontrolü prosedürleri

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
6.11.2.3 İşletim platformu değişikliklerinden sonra uygulamaların teknik açıdan gözden

geçirilmesi
6.11.2.4 Yazılım paketlerindeki değişikliklere getirilen kısıtlamalar
6.11.2.5 Güvenli sistem mühendisliği prensipleri
ISO/IEC 27001:2013, 14.2.5 Güvenli sistem mühendisliği prensipleri için ek uygulama kılavuz
bilgileri:
Kişisel verilerin işlenmesiyle ilgili sistemler ve/veya bileşenler, varsayılan olarak gizlilik ve tasarım
gereği gizlilik ilkelerine uygun olarak ve ilgili kontrollerin uygulanmasını öngörmek ve kolaylaştırmak
için tasarlanmalıdır (kişisel veri sorumluları ve kişisel veri işleyenleri için Madde 7 ve 8'de açıklandığı
gibi), bu tasarımda ilgili sistemlerde kişisel verilerin toplanması ve işlenmesi eylemi, belirlenmiş amaçlar
için gerekli olanlarla sınırlı olmalıdır (bk. 7.2).
Örneğin, kişisel verileri işleyen bir kuruluş kişisel verilerin, ilgili yetki alanı hükümlerini esas alacak
şekilde, belirli bir süreden sonra yok edilmesini sağlamalıdır. Kişisel verileri işleyen sistem, bu silme
gerekliliğini kolaylaştıracak şekilde tasarlanmalıdır.
6.11.2.6 Güvenli geliştirme ortamı
ISO/IEC 27002:2013 14.2.5’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir:
6.11.2.7 Dışardan sağlanan geliştirme
ISO/IEC 27001:2013, 14.2.7 Dışardan sağlanan geliştirme için ek uygulama kılavuz bilgileri:
Tasarım gereği gizlilik ve varsayılan gizlilikle ilgili verilen (6.11.2.5) aynı ilkeler, uygunsa dışarıdan
sağlanan bilgi sistemlerine de uygulanmalıdır.
6.11.2.8 Sistem güvenlik testi
ISO/IEC 27002:2013 14.2.8’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir:
6.11.2.9 Sistem kabul testi
ISO/IEC 27002:2013 14.2.9’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir:
6.11.3 Test verisi
6.11.3.1 Test verisinin korunması
ISO/IEC 27001:2013, 14.3.1 Test verisinin korunması için ek uygulama kılavuz bilgileri:
Test amaçları için kişisel veriler kullanılmamalıdır; testlerde değiştirilmiş veya yapay veriler
kullanılmalıdır. Kişisel verinin test verisi olarak kullanılmasından kaçınılamadığı durumlarda risklerin
en aza indirilmesi için canlı sistemlerde alınan bütün teknik ve idari önlemlerin eş değeri alınmalıdır. Söz
konusu eş değer önlemlerin alınamadığı durumlarda risk değerlendirilmesi yapılmalı ve gerekli risk
azaltıcı kontroller uygulanmalıdır.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
6.12 Tedarikçi ilişkileri

6.12.1 Tedarikçi ilişkilerinde bilgi güvenliği
6.12.1.1 Tedarikçi ilişkileri için bilgi güvenliği politikası
6.12.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme
ISO/IEC 27001:2013, 15.1.2 Tedarikçi anlaşmalarında güvenliği ifade etme için ek uygulama
kılavuz bilgileri:
Kuruluş, tedarikçilerle yaptığı anlaşmalarda, kişisel veri işleme faaliyetleri olup olmadığını ve kuruluşun
kendi bilgi güvenliği ve kişisel veri koruma yükümlülüklerini (7.2.6 ve 8.2.1) sağlaması için tedarikçinin
yerine getirmesi gereken asgari teknik ve kurumsal önlemleri, tedarikçilerle yaptığı anlaşmalarda
belirtmelidir.
Kuruluş; ortakları, tedarikçileri ve diğer ilgili üçüncü taraflarla (müşteri, tedarikçi vb.) yaptığı
anlaşmalarda sorumlulukları, kişisel veri tipini de dikkate alarak açıkça tanımlamalıdır.
Kuruluş, tedarikçileri ile yaptığı anlaşmalarda uygulanabilir mevzuat ve/veya düzenlemelere
uygunluğun sağlanma mekanizmasına yer vermelidir. Anlaşmalarda, müşterinin kabul edeceği, bağımsız
denetimden geçmiş uygunluk talep edilmelidir.
NOT Bu tip denetim amaçları doğrultusunda ISO/IEC 27001 veya bu doküman gibi ilgili ve geçerli güvenlik
ve gizlilik standartlarına uygunluk gözetilebilir.
6.12.1.3 Bilgi ve iletişim teknolojileri tedarik zinciri
6.12.2 Tedarikçi hizmet sağlama yönetimi
6.12.2.1 Tedarikçi hizmetlerini izleme ve gözden geçirme
6.12.2.2 Tedarikçi hizmetlerindeki değişiklikleri yönetme
6.13 Bilgi güvenliği ihlal olayı yönetimi
6.13.1 Bilgi güvenliği ihlal olaylarının ve iyileştirilmelerin yönetimi
6.13.1.1 Sorumluluklar ve prosedürler
ISO/IEC 27001:2013, 16.1.1 Sorumluluklar ve prosedürler için ek uygulama kılavuz bilgileri:
Genel bilgi güvenliği olay yönetimi sürecinin bir parçası olarak kuruluş, kişisel verilerin ihlalinin
belirlenmesi ve kaydedilmesi için sorumluluklar ve prosedürler oluşturmalıdır. Buna ek olarak, kuruluş,
geçerli mevzuat ve/veya düzenlemeleri dikkate alarak, kişisel veri ihlallerinin (bu tür bildirimlerin
zamanlaması dâhil) bildirilmesi ve yetkililere açıklanması ile ilgili sorumluluklar ve prosedürler
oluşturmalıdır.
Bazı yetki alanlarında, bildirim dâhil, ihlal yanıtlarına ilişkin özel düzenlemeler uygulanmaktadır.
Bu gibi yetki alanlarında faaliyet gösteren kuruluşlar, bu düzenlemelere uygunluk gösterilmesini
sağlamalıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
6.13.1.2 Bilgi güvenliği olaylarının raporlanması

6.13.1.3 Bilgi güvenliği açıklıklarının raporlanması
6.13.1.4 Bilgi güvenliği olaylarında değerlendirme ve karar verme
6.13.1.5 Bilgi güvenliği ihlal olaylarına yanıt verme
ISO/IEC 27001:2013, 16.1.5 Bilgi güvenliği ihlal olaylarına yanıt verme için ek uygulama kılavuz
bilgileri:
Veri sorumluları için uygulama kılavuz bilgileri
Kişisel veri içeren bir ihlal olayı, bilgi güvenliği ihlal olay yönetimi sürecinin bir parçası olarak, bir yanıt
gerektiren kişisel veri içeren bir ihlalin olup olmadığını belirlemek üzere kuruluş tarafından yapılacak
bir incelemeyi tetiklemelidir.
Normal bir olay böyle bir incelemeyi genelde tetiklemez.
NOT 1 Bir bilgi güvenliği olayının yaşanması, kişisel verilere veya kuruluşun kişisel veri depolayan herhangi bir
ekipmanına veya tesisine yetkisiz erişimin meydana gelmesi veya yetkisiz erişim olasılığının artması anlamına
gelmez. Bilgi güvenliği olayına örnek olarak güvenlik duvarları veya uç sunuculara ping atma ve diğer yayın
saldırıları, port taramaları, başarısız oturum açma denemeleri, DOS saldırıları ve paket korsanlığı gösterilebilir.
Bir kişisel veri ihlali meydana geldiğinde yanıt prosedürleri, ilgili bildirimleri ve kayıtları da içermelidir.
Bazı yetki alanlarında, ihlalin denetim otoritesine ne zaman bildirilmesi gerektiği ve kişisel veri
sahiplerine ne zaman bildirilmesi gerektiği tanımlanmaktadır.
Bildirimler açık ifadeler içermelidir ve bu bildirimler bazı durumlarda gerekli olabilir.
NOT 2 Bildirim, aşağıdaki gibi detaylar içerebilir:
 daha fazla bilgi edinilebilecek bir irtibat noktası;
 ihlalin tanımı ve olası sonuçları;
 ihlalle ilgili kişi sayısını ve ilgili kayıt sayısını içeren ihlal tanımı;
 alınan veya alınması planlanan önlemler.
NOT 3 Güvenlik ihlal olaylarının yönetimi ile ilgili bilgiler ISO/IEC 27035 serisinde bulunabilir.
Kişisel verinin de dâhil olduğu bir ihlal meydana geldiğinde, düzenleyici ve/veya adli amaçlarla
kullanılmak üzere bir rapor sunulabilmesi için aşağıdakilerin de dâhil olduğu, yeterli miktarda bilgi
içeren bir kayıt tutmalı ve sürdürülmelidir:
 ihlal olayının açıklaması;
 geçen süre;
 ihlal olayının sonuçları;
 raporlayan kişinin adı;
 ihlal olayının kime raporlandığı;
 ihlal olayını çözmek için atılan adımlar (sorumlu kişi ve kurtarılan veriler dâhil);
TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
 ihlal olayı sebebiyle kişisel verilerin erişilemez olması, kaybolması, ifşa edilmesi veya değiştirilmesi
gibi durumlar.
Kişisel verinin de dâhil olduğu bir ihlalin meydana gelmesi durumunda söz konusu kayıt, biliniyorsa, ele
geçirilen kişisel verilerin açıklamasını ve bildirimler yapılmışsa, kişisel veri sahiplerini, düzenleyici
kurumları veya müşterileri bilgilendirmek için atılan adımları da içermelidir.
Veri işleyenler için uygulama kılavuz bilgileri
Kişisel verileri içeren bir ihlalin bildirilmesini kapsayan hükümler, kuruluş ve müşteri arasındaki
sözleşmede yer almalıdır. Sözleşme, kuruluşun müşterinin ilgili otoriteleri bilgilendirme yükümlülüğünü
yerine getirmesi için gerekli bilgileri nasıl sağlayacağını belirtmelidir. Bu bildirim yükümlülüğüne,
müşterinin veya kişisel veri sahibinin veya sorumlu oldukları sistem bileşenlerinin neden olduğu ihlaller
dâhil değildir. Sözleşme ek olarak, bildirim yanıt süreleri için beklenen ve haricî olarak zorunlu kılınmış
sınırları da tanımlamalıdır.
Bazı yetki alanlarında, kişisel veri işleyen bir ihlali gecikmeksizin kişisel veri sorumlusuna, kişisel veri
sorumlusunun uygun önlemleri alabilmesi için tercihen keşfedilir keşfedilmez (mümkün olacak en hızlı
şekilde) bildirmelidir.
Kişisel verinin de dâhil olduğu bir ihlal meydana geldiğinde, düzenleyici ve/veya adlî amaçlarla
kullanılmak üzere bir rapor sunulabilmesi için aşağıdakilerin de dâhil olduğu, yeterli miktarda bilgi
içeren bir kayıt tutulmalı ve sürdürülmelidir:
 ihlal olayının açıklaması;
 geçen süre;
 ihlal olayının sonuçları;
 raporlayan kişinin adı;
 ihlal olayının kime raporlandığı;
 ihlal olayını çözmek için atılan adımlar (sorumlu kişi ve kurtarılan veriler dâhil);
 ihlal olayı sebebiyle kişisel verilerin erişilemez olması, kaybolması, ifşa edilmesi veya değiştirilmesi
gibi durumlar.
Kişisel verinin de dâhil olduğu bir ihlalin meydana gelmesi durumunda söz konusu kayıt, biliniyorsa, ele
geçirilen kişisel verilerin açıklamasını ve bildirimler yapılmışsa, müşterileri ve/veya düzenleyici
kurumları bilgilendirmek için atılan adımları da içermelidir.
Bazı yetki alanlarında ilgili mevzuat ve/veya düzenlemeler, kuruluşun kişisel verilerin dâhil olduğu bir
ihlali uygun düzenleyici otoritelere (ör. kişisel veri koruma otoritesi) doğrudan bildirmesini
gerektirebilir.
6.13.1.6 Bilgi güvenliği ihlal olaylarından ders çıkarma
6.13.1.7 Kanıt toplama
6.14 İş sürekliliği yönetiminin bilgi güvenliği hususları
6.14.1 Bilgi güvenliği sürekliliği
6.14.1.1 Bilgi güvenliği sürekliliğinin planlanması

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
6.14.1.2 Bilgi güvenliği sürekliliğinin uygulanması

6.14.1.3 Bilgi güvenliği sürekliliğinin doğrulanması, gözden geçirilmesi ve değerlendirilmesi
6.14.2 Yedek fazlalıklar
6.14.2.1 Bilgi işleme olanaklarının erişilebilirliği
6.15 Uygunluk
6.15.1 Yasal ve sözleşmesel gerekliliklere uygunluk
6.15.1.1 Uygulanabilir yasaların ve sözleşmesel gerekliliklerin tanımlanması
ISO/IEC 27001:2013, 18.1.1 Uygulanabilir yasaları ve sözleşmeye tabi gereklilikleri tanımlama
için ek uygulama kılavuz bilgileri:
Kuruluş, doğrudan yerel denetim makamından verilen önemli para cezaları dâhil, kişisel verilerin
işlenmesiyle ilgili olası yasal yaptırımları (bazı yükümlülüklerin yerine getirilmemesinden
kaynaklanabilir) tanımlamalıdır. Bazı yetki alanlarında, bu doküman gibi Uluslararası Standartlar, ilgili
güvenlik, gizlilik ve kişisel veri koruma sorumluluklarının ana hatlarını çizerek kuruluş ile müşteri
arasındaki bir sözleşmenin temelini oluşturmak için kullanılabilir. Sözleşme hükümleri, bu
sorumlulukların ihlali durumunda sözleşmeye bağlı yaptırımlara temel oluşturabilir.
6.15.1.2 Fikrî mülkiyet hakları
6.15.1.3 Kayıtların korunması
ISO/IEC 27001:2013, 18.1.3 Kayıtların korunması için ek uygulama kılavuz bilgileri:
Müşteri ile yaşanan anlaşmazlıklarda veya denetleyici otoritenin yürüttüğü soruşturmalar gibi
durumlarda kullanılmak üzere politika ve prosedürlerin mevcut ve eski kopyalarına ihtiyaç duyulabilir.
Kuruluş, gizlilik politikalarının ve ilgili prosedürlerin kopyalarını tutma planında belirtilen süre boyunca
tutulmalıdır (bk. 7.4.7). Bu eylem, güncellenen dokümanların önceki sürümlerinin tutulmasını da içerir.
6.15.1.4 Kişisel verilerin gizliliği ve korunması
6.15.1.5 Kriptografik kontrollerin düzenlemesi
6.15.2 Bilgi güvenliği gözden geçirmeleri
6.15.2.1 Bilgi güvenliğinin bağımsız gözden geçirmesi

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
ISO/IEC 27001:2013, 18.2.1 Bilgi güvenliğinin bağımsız gözden geçirmesi için ek uygulama
kılavuz bilgiler:
Kuruluşun veri işleyen olarak hizmet verdiği ve her müşterinin kişisel veri ile ilgili denetim yapmasının
mümkün olamadığı veya güvenlik riskini artırdığı durumlarda kuruluş müşterilerine karşı, sözleşme
öncesi veya sözleşme süresi boyunca bilgi güvenliğinin oluşturulduğu ve kuruluşun politika ve
prosedürlerine göre yürütüldüğüne ilişkin bağımsız kanıt sunmalıdır. Kuruluş tarafından seçilen ilgili bir
bağımsız denetim, normalde önceden bilgilendirilmiş olan kullanıcıların ihtiyaçlarını karşılaması ve
sonuçların yeterince şeffaf bir şekilde sunulması durumunda, müşterilerin kuruluşun veri işleme
operasyonlarını gözden geçirme konusundaki ilgisini karşılamak için kabul edilebilir bir yöntem
olacaktır.
6.15.2.2 Güvenlik politikaları ve standartlarına uygunluk
6.15.2.3 Teknik uygunluk gözden geçirmesi
ISO/IEC 27001:2013, 18.2.3 Teknik uyum gözden geçirmesi için ek uygulama kılavuz bilgileri:
Güvenlik politikaları ve standartlarına uygunluk için yapılan teknik gözden geçirmelerinin bir parçası
olarak kuruluş, kişisel verilerin işlenmesi ile ilgili bu araçları ve bileşenleri gözden geçirme yöntemlerini
dâhil etmelidir. İçeriğe aşağıdakiler de eklenebilir:
 yalnızca izin verilen veri işlemenin yapıldığını doğrulamak için sürekli izleme ve/veya
 özel sızma veya güvenlik açığı testleri (ör. anonim hâle getirilmiş) veri kümeleri, anonim hâle getirme
yöntemlerinin kuruluş gerekliliklerine uygunluğunu doğrulamak amacıyla güdülenmiş bir davetsiz
misafir testine tabi tutulabilir).
7 Kişisel Veri Sorumluları için ek ISO 27002 kılavuz bilgileri

7.1 Genel
Madde 6'daki kılavuz bilgileri ve bu maddeye yapılan eklemeler kişisel veri sorumluları için KVYS'ye özel
kılavuz bilgileri oluşturur. Bu maddede dokümante edilmiş uygulama kılavuz bilgileri Ek A'da listelenen
kontrollerle ilgilidir.
7.2 Toplama ve işleme koşulları
Hedef: Kişisel veri işlemesinin yasal olduğunu, ilgili yargı otoritesi nezdinde yasal dayanağa sahip
olduğunu ve açıkça tanımlanmış ve meşru amaçlar taşıdığını belirlemek ve dokümante etmek.
7.2.1 Amacın tanımlanması ve dokümante edilmesi
Kontrol
Kuruluş kişisel verilerin işlenme sebebi olan özel amaçları tanımlamalı ve dokümante etmelidir.
Uygulama kılavuz bilgileri
Kuruluş, kişisel veri sahiplerinin, kişisel verilerinin işlenme amacını anlamasını sağlamalıdır. Bunu kişisel
veri sahiplerine açıkça dokümante etmek ve iletmek kuruluşun sorumluluğundadır. İşleme amacı açık bir
şekilde beyan edilmeden, rıza alma ve seçenek sunma yeterli şekilde yapılmış olamaz.
Kişisel veri işlemek için amacın/amaçların dokümante edilmesi kişisel veri sahiplerine sağlanması
zorunlu bilgilerde (bk. 7.3.2) kullanılabilecek kadar açık ve ayrıntılı olmalıdır. Rıza almak için gerekli
bilgiler (bk. 7.2.3) ile politika ve prosedür kayıtları (bk. 7.2.8) da bu kapsamda değerlendirilir.
ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Ek Bilgiler
Bulut bilişim hizmetlerinin etkinleştirilmesinde, ISO / IEC 19944'teki sınıflandırma ve tanımlar kişisel
verilerin işlenmesinin amacını tanımlamak için terimler sağlamada yardımcı olabilir.
7.2.2 Yasal dayanağın tanımlanması
Kontrol
Kuruluş, kişisel verilerin işlenmesi için tanımlanmış amaçlar doğrultusunda ilgili yasal dayanağı
belirlemeli, dokümante etmeli ve bu dayanağa uygun hareket etmelidir.
Bazı yetki alanlarında, kuruluşun, işlemenin yasallığının işlemeye başlanmadan önce usulüne uygun
olarak oluşturulduğunu göstermesi talep edilir.
Kişisel verilerin işlenmesinin yasal dayanağı şunları içerebilir:
 kişisel veri sahiplerinin rızası;
 bir sözleşmenin ifası;
 yasal bir yükümlülüğe uyma;
 kişisel veri sahiplerinin hayati çıkarlarının korunması;
 kamu yararına yürütülen bir görevin gerçekleştirilmesi;
 kişisel veri sorumlusunun meşru menfaatleri.
Kuruluş, her bir kişisel veri işleme faaliyeti için bu dayanağı dokümante etmelidir (bk. 7.2.8).
Kuruluşun meşru menfaatleri, örneğin, bilgi güvenliği hedeflerini içerebilir; bu hedefler özel hayatın
korunmasına ilişkin kişisel veri sahiplerine karşı yükümlülükler gözetilerek dengelenmelidir. Hassas
kişisel veri kategorileri, ya kişisel verinin niteliği (örneğin sağlık bilgileri) ya da ilgili kişisel veri sahipleri
(örneğin çocuklarla ilgili kişisel veri) tarafından tanımlandığında, kuruluş bu kişisel veri kategorilerini
sınıflandırma şemalarına dâhil etmelidir.
Bu kategorilere giren kişisel verilerin sınıflandırması bir yetki alanından diğerine göre, farklı iş türleri
içinse geçerli olan farklı düzenleyici otoritelere göre değişebilir, bu nedenle kuruluşun kişisel verilerin
işlenmesi için geçerli olan sınıflandırmalardan haberdar olması gerekir.
Hassas kişisel veri kategorilerinin kullanımı da daha sıkı denetimlere tabi olabilir.
Kişisel verilerin işlenme amaçlarının değiştirilmesi veya genişletilmesi, yasal dayanağın güncellenmesini
ve/veya revizyonunu gerektirebilir. Ayrıca kişisel veri sahibinden ek rıza alınması da gerekebilir
7.2.3 Rızanın ne zaman ve nasıl alınacağının belirlenmesi
Kontrol
Kuruluş, veri sahiplerinden verilerin işlenmesi için rızanın alınıp alınmadığını, alındıysa ne zaman ve
nasıl alındığını gösterebilen bir süreç belirlemeli ve dokümante etmelidir.
Diğer yasal gerekçeler geçerli olmadıkça, kişisel bilgilerin işlenmesi için rıza alınması gerekebilir.
Kuruluş, ne zaman rıza alınması gerektiğini ve rıza almak için gereklilikleri açıkça dokümante etmelidir.
İşlemenin amacını/amaçlarını, rızanın alınıp alınmadığı ve nasıl alındığı hakkında bilgi ile ilişkilendirmek
yararlı olabilir.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Bazı yetki alanlarında rızaların nasıl toplanacağı ve kaydedileceği konusunda belirli gereklilikler vardır
(ör. diğer sözleşmelerle birlikte ele alınmaması gibi). Ayrıca, belirli veri toplama türleri (ör. bilimsel
araştırmalar için) ve çocuklar gibi belirli kişisel veri sahipleri, ek gerekliliklere tabi olabilir.
Kuruluş bu tür gereklilikleri dikkate almalı ve rıza alma mekanizmalarının bu gereklilikleri nasıl
karşıladığını dokümante etmelidir.
7.2.4 Rızanın alması ve kaydedilmesi
Kontrol
Kuruluş, kişisel veri sahiplerinden rıza almayı ve bu rızaları kaydetmeyi dokümante edilmiş süreçlere
uygun şekilde gerçekleştirmelidir.
Kuruluş, kişisel veri sahiplerinin rızasını talep edildiğinde ayrıntılarını (örneğin rızanın ne zaman
verildiği, kişisel veri sahibinin kimliği ve rıza beyanı) sağlayabilecek şekilde almalı ve kaydetmelidir.
Rıza sürecinden önce kişisel veri sahibine iletilen bilgiler, 7.3.3'teki kılavuz bilgilere uygun olmalıdır.
Rıza:
 baskı altında olmadan verilmiş;
 işleme amacıyla sınırlı;
 açık ve net olmalıdır.
7.2.5 Gizlilik etki değerlendirmesi
Kontrol
Kuruluş, yeni kişisel veriler işlendiğinde ve kişisel verilerin mevcut işlenmesinde değişiklikler
planlandığında Gizlilik Etki Değerlendirmesi (GED) ihtiyacını değerlendirmeli ve gerekli durumlarda bu
değerlendirmeyi yapmalıdır.
Kişisel verilerin işlenmesi, kişisel veri sahipleri için riskler oluşturur. Bu riskler, bir gizlilik etki
değerlendirmesi (GED) ile değerlendirilmelidir. Bazı yetki alanlarında, gizlilik etki değerlendirmesinin
zorunlu tutulduğu vakalar tanımlanır. Kriterler, kişisel veri sahipleri üzerinde yasal sonuçlar doğuran
otomatik karar verme, hassas kişisel veri kategorilerinin büyük ölçekli işlenmesi (örneğin sağlıkla ilgili
bilgiler, ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar, sendika üyeliği, genetik veriler
veya biyometrik veriler) veya halka açık bir alanın sistematik olarak geniş ölçekli olarak izlenmesi gibi
hususları içerebilir.
Kuruluş, gizlilik etki değerlendirmesinin tamamlanması için gerekli unsurları belirlemelidir. Bunlar;
işlenen kişisel veri türlerinin bir listesini, kişisel verilerin nerede depolandığını ve nereye
aktarılabileceğini içerebilir. Veri akış şemaları ve veri haritaları da bu bağlamda yardımcı olabilir (gizlilik
etki veya diğer risk değerlendirmeleri hakkında bilgi içerebilen kişisel verinin işlenmesi ile ilgili
kayıtların ayrıntıları için bk. 7.2.8).
Ek Bilgiler
Kişisel verilerin işlenmesiyle ilgili gizlilik etki değerlendirmelerine ilişkin kılavuz bilgileri ISO / IEC
29134'te bulunabilir.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
7.2.6 Kişisel veri işleyenlerle yapılan sözleşmeler

Kontrol
Kuruluş, kullandığı bütün veri işleyenlerle yazılı bir sözleşme düzenlemeli ve bu sözleşmelerin Ek B’deki
ilgili kontrollerin uygulanmasını ele almasını sağlamalıdır.
Kuruluş ve kuruluş adına bir kişisel veri işleyen arasındaki sözleşme, kişisel veri işleyenin bilgi güvenliği
risk değerlendirme sürecini (bk. 5.4.1.2) ve kişisel veri işleyen tarafından gerçekleştirilen kişisel veri
işlemesinin kapsamını (bk. 6.12) dikkate alarak Ek B'de belirtilen uygun kontrolleri uygulamasını
gerektirmelidir. Varsayılan olarak, Ek B'de belirtilen tüm kontroller ilgili kabul edilmelidir. Kuruluş,
kişisel veri işleyenin Ek B'deki bir kontrolü uygulamasına gerek olmadığına karar verirse, bu kontrolün
hariç tutulmasını gerekçelendirmelidir (bk. 5.4.1.3).
Bir sözleşme, her bir tarafın sorumluluklarını farklı şekilde tanımlayabilir, ancak bu dokümanla tutarlı
olması için tüm kontroller dikkate alınmalı ve dokümante edilmiş bilgilere dâhil edilmelidir.
7.2.7 Ortak kişisel veri sorumlusu
Kontrol
Kuruluş ortak veri sorumlularının her biriyle, kişisel verilerin (kişisel veri koruması ve güvenlik
gereklilikleri dâhil) işlenmesine ilişkin ilgili rolleri ve sorumlulukları belirlemelidir.
Kişisel verilerin işlenmesine ilişkin roller ve sorumluluklar şeffaf bir şekilde belirlenmelidir.
Bu roller ve sorumluluklar, bir sözleşmede veya kişisel verilerin ortak işlenmesi için hüküm ve koşulları
içeren benzer bir bağlayıcı dokümanda dokümante edilmelidir. Bazı yetki alanlarında böyle bir
sözleşmeye veri paylaşım sözleşmesi adı verilir.
Ortak kişisel veri sorumlusu sözleşmesi şunları içerebilir (bu liste ne kesin ne de eksiksizdir):
 kişisel verilerin paylaşımının /ortak kişisel veri sorumlusu ilişkisinin amacı;
 ortak kişisel veri sorumlusu ilişkisinin bir parçası olan kuruluşların (kişisel veri sorumlusu) kimliği;
 sözleşme kapsamında paylaşılacak ve/veya aktarılacak ve işlenecek kişisel veri kategorileri;
 işleme faaliyetlerine genel bakış (ör. aktarım, kullanım);
 ilgili rollerin ve sorumlulukların tanımlanması;
 kişisel bilgilerin korunması için teknik ve kurumsal güvenlik önlemlerinin uygulanması sorumluluğu;
 kişisel verilerin ihlali durumunda sorumluluğun tanımı (ör. karşılıklı bilgiyi kimin, ne zaman
bildireceği);
 kişisel verilerin muhafaza ve/veya yok etme şartları;
 sözleşmeye uyulmaması nedeniyle ortaya çıkabilecek yükümlülükler;
 kişisel veri sahiplerine karşı olan yükümlülüklerin nasıl yerine getirileceği;
 kişisel veri sahiplerine, ortak kişisel veri sorumluları arasındaki düzenlemenin özünü kapsayan
bilgilerin nasıl sağlanacağı;
 kişisel veri sahiplerinin hak kazandıkları diğer bilgileri nasıl edinebilecekleri ve
 kişisel veri sahipleri için bir irtibat noktası.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
7.2.8 Kişisel veri işlenmesine ilişkin kayıtlar

Kontrol
Kuruluş, kişisel veri işleme ile ilişkili yükümlülüklerini desteklemek için gerekli kayıtları belirlemeli ve
bunları güvenli bir şekilde sürdürmelidir.
Kişisel veri işlemenin kayıtlarını sürdürmenin bir yolu, kuruluşun gerçekleştirdiği kişisel veri işleme
faaliyetlerinin bir envanterine veya listesine sahip olmaktır. Böyle bir envanter şunları içerebilir:
 işlemenin türü;
 işlemenin amaçları;
 kişisel verilerin ve kişisel veri sahiplerinin (ör. çocuklar) kategorilerinin bir açıklaması;
 üçüncü ülkelerdeki veya uluslararası kuruluşlardaki alıcılar da dâhil olmak üzere, kişisel verilerin ifşa
edildiği veya ifşa edileceği alıcı kategorileri;
 teknik ve kurumsal güvenlik önlemlerinin genel bir tanımı; ve
 Gizlilik Etki Değerlendirmesi raporu.
Böyle bir envanterin doğruluğundan ve eksiksizliğinden sorumlu bir envanter sahibi bulunmalıdır.
7.3 Veri sahiplerine karşı yükümlülükler
Hedef: Kişisel veri sahiplerine, kişisel verilerinin işlenmesi hakkında uygun bilgi verilmesini sağlamak ve
kişisel veri sahiplerinin kişisel verilerinin işlenmesi ile ilgili diğer geçerli yükümlülükleri yerine getirmek.
7.3.1 Veri sahiplerine karşı yükümlülüklerin belirlenmesi ve yerine getirilmesi
Kontrol
Kuruluş, kişisel veri işlemesine konu olan veri sahiplerine karşı yasal, düzenleyici ve kurumsal
yükümlülüklerini belirlemeli, dokümante etmeli ve bu yükümlülüklerin yerine getirilmesi için gerekli
araçları sağlamalıdır.
Kişisel veri sahiplerine karşı yükümlülükler ve kişisel veri sahiplerini destekleme araçları bir yetki
alanından diğerine farklılık gösterir.
Kuruluş, veri sahiplerine karşı olan yükümlülüklerin karşılanması için uygun araçları erişilebilir şekilde
ve zamanında sağladığından emin olmalıdır. Kişisel veri sahibine, ona karşı yükümlülüklerinin ne ölçüde
yerine getirildiğini ve güncel bir irtibat noktasının yanı sıra taleplerini nasıl iletebileceklerini açıklayan,
anlaşılır dokümantasyon sağlanmalıdır.
İrtibat noktası, kişisel verileri toplamak ve rızayı almak için kullanılana benzer şekilde sağlanmalıdır (ör.
kişisel veriler, e-posta veya bir internet sitesi tarafından toplanıyorsa, irtibat noktası, telefon veya faks
gibi bir alternatif değil, e-posta veya internet sitesi olmalıdır).
7.3.2 Veri sahiplerine verilecek bilgilerin belirlenmesi
Kontrol
Kuruluş, kişisel veri işlemesine konu olan veri sahiplerine vereceği bilgiyi ve bu bilginin ne zaman
verileceğini belirlemeli ve dokümante etmelidir.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019

Kuruluş, kişisel veri sahibine ne zaman bilgi verileceğine (ör. işlemeden önce, talep edildiği andan
itibaren belirli bir süre içinde, vb.) ve sağlanacak bilgi türüne ilişkin yasal, düzenleyici ve/veya işle ilgili
gereklilikleri belirlemelidir.
Gerekliliklere bağlı olarak, bilgi bir bildirim şeklinde olabilir. Kişisel veri sahiplerine verilebilecek bilgi
türlerine örnekler:
 işlemenin amacı hakkında bilgi;
 kişisel veri sorumlusunun veya onun temsilcisinin iletişim bilgileri;
 işlemenin yasal dayanağı hakkında bilgi;
 doğrudan kişisel veri sahibinden alınmamışsa, kişisel verilerin nereden elde edildiği hakkında bilgi;
 kişisel verilerin sağlanmasının yasal veya sözleşmeden kaynaklanan bir gereklilik olup olmadığı ve
uygun olduğunda, kişisel verilerin sağlanamamasının olası sonuçları hakkında bilgi;
 kişisel veri sahiplerine ilişkin 7.3.1'de belirlenen yükümlülükler ve kişisel veri sahiplerinin bu
yükümlülüklerden nasıl faydalanabileceği, özellikle kişisel verilerinin bir kopyasını alma ve işlemeye
itiraz etme hakkında bilgi;
 kişisel veri sahibinin rızasını nasıl geri çekebileceğine dair bilgi;
 kişisel veri aktarımları hakkında bilgi;
 kişisel verilerin alıcıları veya alıcı kategorileri hakkında bilgi;
 kişisel verilerin tutulacağı süre hakkında bilgi;
 kişisel verilerin otomatik olarak işlenmesine dayalı otomatikleşmiş karar verme kullanımı hakkında
bilgi;
 şikâyette bulunma hakkı ve böyle bir şikâyette nasıl bulunulacağı hakkında bilgi;
 bilginin hangi sıklıkta verileceğiyle ilgili bilgi (ör. “tam zamanında” bildirimi, kuruluşça tanımlanmış
sıklık, vb.)
olabilir.
Kişisel verilerin işlenme amaçları değiştirilir veya uzatılırsa kuruluş güncellenmiş bilgiyi de sağlamalıdır.
7.3.3 Veri sahiplerine bilgi verilmesi
Kontrol
Kuruluş, veri sahiplerine veri sorumlularını tanımlayan ve kişisel verilerinin işlenmesini açıklayan açık
ve kolay ulaşılabilir bilgileri sağlamalıdır.
Kuruluş, hedef kitleye uygun, açık ve sade bir dil kullanarak 7.3.2'de ayrıntılı olarak verilen bilgileri,
kişisel veri sahiplerine zamanında, özlü, eksiksiz, şeffaf, anlaşılır ve kolayca erişilebilir bir biçimde
sağlamalıdır.
Uygun olan durumlarda, bilgiler kişisel verilerin toplanması sırasında verilmelidir. Ayrıca bilgiler sürekli
olarak erişilebilir olmalıdır.
NOT Görüntüler ve simgeler, istenen işleme görsel bir genel bakış sunarak kişisel veri sahibine yardımcı
olabilir.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
7.3.4 Rızanın değiştirilmesi veya geri çekilmesine ilişkin mekanizmanın sağlanması

Kontrol
Kuruluş, veri sahiplerinin rızalarını değiştirebilecekleri ya da geri çekebilecekleri bir mekanizma
sağlamalıdır.
Kuruluş, kişisel veri sahiplerini istedikleri zaman rızalarını geri çekme ile ilgili hakları (yetki alanına göre
değişebilir) konusunda bilgilendirmeli ve bunun için mekanizmaları sağlamalıdır. Geri çekme için
kullanılan mekanizma sisteme bağlıdır; mümkünse rıza almak için kullanılan mekanizmalarla tutarlı
olmalıdır. Örneğin, rıza e-posta veya bir internet sitesi tarafından alınıyorsa, geri çekme mekanizması da
aynı olmalıdır, telefon veya faks gibi alternatif bir çözüm olmamalıdır.
Rızayı değiştirme, bazı durumlarda kişisel veri sorumlusunun kişisel verileri silmesini kısıtlamayı
içerebilen, kişisel verinin işlenmesine kısıtlamalar getirilmesini de içerebilir.
Bazı yetki alanları, kişisel veri sahibinin rızasını ne zaman ve nasıl değiştirebileceği veya geri çekebileceği
konusunda kısıtlamalar getirmektedir.
Kuruluş, rızanın kendisinin kaydına benzer şekilde, geri çekme veya değiştirme talebini kaydetmelidir.
Her türlü rıza değişikliği, uygun sistemler aracılığıyla yetkili kullanıcılara ve ilgili üçüncü taraflara
bildirilmelidir.
Kuruluş bir yanıt süresi tanımlamalı ve talepler buna göre ele alınmalıdır.
Ek Bilgiler
Belirli bir kişisel veri işlenmesi için rıza geri çekildiğinde, geri çekilmeden önce gerçekleştirilen tüm
kişisel veri işlemlerinin normal olarak uygun olduğu düşünülmelidir, ancak bu işlemin sonuçları yeni
işleme için kullanılmamalıdır. Örneğin, bir kişisel veri sahibi profilleme için rızasını geri çekerse, profili
daha fazla kullanılmamalı veya dikkate alınmamalıdır.
7.3.5 Veri işlemesine itiraz mekanizmasının sağlanması
Kontrol
Kuruluş, veri sahiplerinin verilerinin işlenmesine itiraz etmelerini sağlayacak bir mekanizma sunmalıdır.
Bazı yetki alanları kişisel veri sahiplerine kişisel verilerinin işlenmesine itiraz etme hakkı vermektedir.
Bu tür yetki alanlarının mevzuatına ve/veya düzenlemelerine tabi kuruluşlar, kişisel veri sahiplerinin bu
hakkı kullanmasını sağlamak için uygun önlemleri sağlamalıdır.
Kuruluş, kişisel veri sahiplerinin işlemeye itirazlarıyla ilgili yasal ve düzenleyici gereklilikleri dokümante
etmelidir (ör. doğrudan pazarlama amaçları için kişisel verilerin işlenmesine ilişkin itiraz).
Kuruluş, bu durumlarda kişisel veri sahiplerine itiraz edebileceklerine dair bilgi sağlamalıdır. İtiraz
mekanizmaları değişiklik gösterebilir ancak sağlanan hizmet türüyle tutarlı olmalıdır (örneğin çevrimiçi
hizmetler bu özelliği çevrimiçi olarak sağlamalıdır).
7.3.6 Erişim, düzeltme ve/veya silme
Kontrol
Kuruluş, veri sahiplerine karşı veri sahiplerinin verilerine erişebilmeleri, verilerini düzeltebilmeleri
ve/veya silebilmeleri yükümlülüğünü karşılamak için gerekli politika, prosedür ve/veya mekanizmaları
uygulamalıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019

Kuruluş, kişisel veri sahiplerinin istenirse ve gereksiz gecikmeler olmadan kişisel verilerine erişmelerini,
bu verileri düzeltmelerini ve silmelerini sağlamak için politikalar, prosedürler ve/veya mekanizmalar
uygulamalıdır.
Kuruluş bir yanıt süresi tanımlamalı ve talepler buna göre ele alınmalıdır.
Bütün düzeltme veya silme işlemleri tüm sisteme ve/veya yetkili kullanıcılara dağıtılmalı ve kişisel
verilerin aktarıldığı üçüncü taraflara (bk. 7.3.7) iletilmelidir.
NOT Kontrol tarafından oluşturulan 7.5.3'te belirtilen kayıtlar bu konuda yardımcı olabilir.
Kuruluş, kişisel veri sahibinin verilerin doğruluğu veya düzeltilmesi talebinde bulunmasıyla çıkacak bir
anlaşmazlık durumunda ilgili politikaları, prosedürleri ve/veya mekanizmaları uygulamalıdır. Bu
politikalar, prosedürler ve/veya mekanizmalar, kişisel veri sahibine hangi değişikliklerin yapıldığı ve
düzeltmelerin yapılamamasının nedenleri (yapılamaması halinde) hakkında bilgi vermelidir.
Bazı yetki alanlarında, bir kişisel veri sahibinin kendi kişisel verilerinin ne zaman ve nasıl düzeltilmesini
veya silinmesini isteyebileceği konusunda kısıtlamalar getirilmektedir. Kuruluş bu kısıtlamaları
uygulanabilir olarak belirlemeli ve onlar hakkında güncellemeleri uygulamalıdır.
7.3.7 Veri sorumlularının üçüncü tarafları uyarma yükümlülüğü
Kontrol
Kuruluş, kişisel verilerin paylaşıldığı üçüncü tarafları paylaşılan kişisel verilerle ilgili herhangi bir
değişiklik, geri çekme veya itiraz konusunda bilgilendirmeli, bunu yapmak için uygun politika, prosedür
ve mekanizmaları uygulamalıdır.
Kuruluş, üçüncü tarafları paylaşılan kişisel verilerle ilgili herhangi bir itiraz veya rıza değişikliği veya
rızanın geri çekilmesi hakkında bilgilendirmek için mevcut teknolojiyi göz önünde bulundurarak uygun
adımları atmalıdır.
Bazı yetki alanlarında, bu üçüncü tarafları bu durumlar hakkında bilgilendirmek için yasal bir zorunluluk
getirilmektedir.
Kuruluş, üçüncü taraflarla kurulacak aktif iletişim kanallarını belirlemeli ve sürdürmelidir.
İlgili sorumluluklar, bu kanalların faaliyetlerinden ve bakımlarından sorumlu kişilere verilebilir.
Üçüncü tarafları bilgilendirirken kuruluş, bilgilerin alındığını dair onayı da takip etmelidir.
NOT Kişisel veri sahiplerine karşı yükümlülüklerden kaynaklanan değişiklikler; rızanın değiştirilmesi veya
geri çekilmesini, işlemenin düzeltilmesi, silinmesi veya kısıtlanması taleplerini veya kişisel veri sahibinin kişisel
verilerin işlenmesine itirazları içerebilir.
7.3.8 İşlenen kişisel verilerin kopyasının sağlanması
Kontrol
Kuruluş, veri sahibi tarafından talep edildiğinde işlenen kişisel verilerin kopyasını sağlamalıdır.
Kuruluş, kişisel veri sahibi tarafından erişilebilen, yapılandırılmış, yaygın olarak kullanılan bir biçimde
işlenen kişisel verilerin bir kopyasını sağlamalıdır.
Bazı yetki alanlarında, kuruluşun kişisel veri sahiplerine veya alıcı kişisel veri sorumlularına (tipik olarak
yapılandırılmış, yaygın olarak kullanılan ve bilgisayarlarda okunabilir) taşınabilirlik sağlayacak biçimde
işlenmiş kişisel verilerin bir kopyasını sağlaması gereken durumlar tanımlanır.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Kuruluş, bir kişisel veri sahibine sağlanan kişisel veri kopyalarının özel olarak bu kişisel veri sahibi ile
ilgili olduğundan emin olmalıdır.
Talep edilen kişisel verilerin tutma ve yok etme politikasına (7.4.7'de açıklandığı gibi) göre silinmiş
olması durumunda, kişisel veri sorumlusu, kişisel veri sahibine talep edilen kişisel verinin silindiğini
bildirmelidir.
Kuruluşun kişisel veri sahibini artık tanımlayamadığı durumlarda (ör. anonim hâle getirme sürecinin bir
sonucu olarak), kuruluş sadece bu kontrolü uygulamak için kişisel veri sahiplerini (yeniden)
tanımlamaya çalışmamalıdır. Bununla birlikte, bazı yetki alanlarında, meşru talepler, yeniden
tanımlamayı ve daha sonra ifşa etmeyi sağlamak için kişisel veri sahibinden ek bilgilerin talep edilmesini
gerektirebilir.
Teknik olarak mümkün olduğunda, kişisel verilerin bir kopyasını, kişisel veri sahibinin talebi üzerine bir
kuruluştan doğrudan başka bir kuruluşa aktarmak mümkün olmalıdır.
7.3.9 Taleplerin ele alınması
Kontrol
Kuruluş, veri sahiplerinden gelen meşru talepleri ele almak ve bu taleplere cevap vermek için politika ve
prosedürleri belirleyerek dokümante etmelidir.
Meşru talepler, işlenen kişisel verilerin bir kopyasını veya bir şikâyette bulunma talebini içerebilir.
Bazı yetki alanlarında, kuruluşun belirli durumlarda bir ücret almasına izin verilir (örneğin, aşırı veya
tekrarlanan taleplerde).
Talepler, uygun tanımlanmış yanıt süreleri içinde ele alınmalıdır.
Bazı yetki alanlarında, yanıt süreleri taleplerin karmaşıklığına, sayısına ve ayrıca kişisel veri sahiplerini
herhangi bir gecikme konusunda bilgilendirme gerekliliklerine bağlı olarak tanımlanır. Uygun yanıt
süreleri gizlilik politikasında tanımlanmalıdır.
7.3.10 Otomatikleştirilmiş karar verme
Kontrol
Kuruluş, kişisel verilerin yalnızca otomatik işlenmesi sonucu kişisel veri sahipleriyle ilgili olarak verilen
kararlardan kaynaklanan kişisel veri sahiplerine karşı yükümlülükleri, yasal yükümlülükler dâhil
tanımlamalı ve yerine getirmelidir.
Bazı yetki alanlarında, kişisel verilerin yalnızca otomatikleştirilmiş olarak işlenmesine dayalı olarak
alınan bir karar kişisel veri sahiplerini önemli ölçüde etkilediğinde, kişisel veri sahiplerine karşı,
otomatikleştirilmiş karar vermenin varlığını bildirmek, kişisel veri sahiplerinin bu tür kararlara itiraz
etmesine izin vermek ve/veya insan müdahalesine izin vermek gibi belirli yükümlülükler tanımlanır.
NOT Bazı yetki alanlarında, kişisel verilerin bazı işlemeleri tam olarak otomatikleştirilemez.
Bu yetki alanlarında faaliyet gösteren kuruluşlar bu yükümlülüklere uymayı dikkate almalıdır.
7.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
Hedef: Süreçlerin ve sistemlerin, toplama ve işlemenin (kullanım, ifşa etme, tutma, aktarma ve yok etme
dâhil) tanımlanmış amaç için gerekli olanla sınırlandırılacak şekilde tasarlanması sağlamak.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
7.4.1 Toplamanın sınırlandırılması

Kontrol
Kuruluş, kişisel verilerin toplanmasını tanımlanmış amaçlarla bağlantılı, ölçülü ve gerekli olacak şekilde
en aza indirerek sınırlandırmalıdır.
Kuruluş, kişisel verilerin toplanmasını tanımlanmış amaçlarla ilgili olarak yeterli, ilgili ve gerekli olanlarla
sınırlandırmalıdır. Bu, kuruluşun dolaylı olarak topladığı kişisel veri miktarının sınırlandırılmasını içerir
(ör. ağ günlükleri, sistem günlükleri yoluyla, vb.).
Varsayılan olarak gizlilik, kişisel verinin toplanmasında ve işlenmesinde herhangi bir seçeneğin mevcut
olması durumunda, bütün seçeneklerin varsayılan olarak devre dışı bırakılması ve yalnızca kişisel veri
sahibinin açık seçimi ile etkinleştirilmesi gerektiği anlamına gelir.
7.4.2 İşlemenin sınırlandırılması
Kontrol
Kuruluş, kişisel verilerin işlenmesini tanımlanmış amaçlarla yeterli, bağlantılı ve gerekli olacak şekilde
sınırlandırmalıdır.
Kişisel verilerin işlenmesinin sınırlandırılması, bilgi güvenliği ve gizlilik politikaları (bk. 6.2) ile bunların
benimsenmesi ve uygunluğu için dokümante edilmiş prosedürlerle yönetilmelidir.
Kişisel verilerin işlenmesi, aşağıdakiler dâhil:
 ifşa etme;
 kişisel verileri saklama süresi ve
 kişisel verilerine kimlerin erişebilecekleri;
varsayılan olarak belirlenmiş amaçlara göre gerekli en azla sınırlandırılmalıdır.
7.4.3 Doğruluk ve nitelik
Kontrol
Kuruluş, kişisel verinin, bütün yaşam döngüsü boyunca işleme amacına uygun olarak doğru, tam ve
güncel olduğuna emin olmalı ve bunu dokümante etmelidir.
Kuruluş, işlediği kişisel verilerdeki yanlışlıkları en aza indirmek için politikalar, prosedürler ve/veya
mekanizmalar uygulamalıdır. Yanlış kişisel verilerle karşılaşılan durumlara karşılık vermek için
politikalar, prosedürler ve/veya mekanizmalar da bulunmalıdır. Bu politikalar, prosedürler ve/veya
mekanizmalar dokümante edilmiş bilgilere dâhil edilmelidir (ör. teknik sistem konfigürasyonları yoluyla,
vb.) ve kişisel veri yaşam döngüsü boyunca uygulanmalıdır.
Ek Bilgiler
Kişisel veri işleme yaşam döngüsü hakkında daha fazla bilgi için, bk. ISO / IEC 29101:2018, 6.2.
7.4.4 Kişisel verileri en aza indirme hedefleri
Kontrol
Kuruluş, verileri en aza indirme hedeflerini ve bu hedefleri gerçekleştirmek için gerekli mekanizmaları
(ör. anonim hâle getirme) belirleyerek dokümante etmelidir.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019

Kuruluşlar, belirli kişisel verilerin ve toplanan ve işlenen kişisel veri miktarının tanımlanmış amaçlara
göre nasıl sınırlandırılacağını belirlemelidir. Bu, anonim hâle getirme veya diğer verileri en aza indirme
tekniklerinin kullanımını içerebilir.
Tanımlanmış amaç (bk. 7.2.1), anonim hâle getirilmemiş kişisel verilerin işlenmesini gerektirebilir, bu
durumda kuruluş bu tür işlemleri açıklayabilmelidir.
Diğer durumlarda, tanımlanmış amaç orijinal kişisel verilerin işlenmesini gerektirmez ve anonim hâle
getirilmiş kişisel verilerin işlenmesi tanımlanmış amaca ulaşmak için yeterli olabilir. Bu durumlarda,
kuruluş, kişisel verinin kişisel veri sahibi ile ne ölçüde ilişkilendirilmesi gerektiğini ve kişisel veriyi
işlemek için tasarlanmış mekanizmaları ve teknikleri tanımlamalıdır ve dokümante etmelidir, böylece
anonim hâle getirme ve/veya kişisel verileri en aza indirme hedeflerine ulaşılır.
Kişisel verileri en aza indirmek için kullanılan mekanizmalar, işleme türüne ve işleme için kullanılan
sistemlere bağlı olarak değişir. Kuruluş, verileri en aza indirmek için kullanılan mekanizmaları (teknik
sistem yapılandırmaları, vb.) dokümante etmelidir.
Anonim hâle getirilmiş verilerin işlenmesinin amaçlar için yeterli olduğu durumlarda, kuruluş, kendisi
tarafından belirlenmiş anonim hâle getirme amaçlarını uygulamak için tasarlanmış mekanizmaları
(teknik sistem yapılandırmaları, vb.) zamanında dokümante etmelidir. Örneğin, kişisel veri sahipleriyle
ilişkili niteliklerin kaldırılması, kuruluşun tanımlanmış amacına ulaşması için yeterli olabilir. Diğer
durumlarda, yeterli düzeyde bir kimlik tespitine ulaşmak için genelleme (ör. yuvarlama) veya
rastgeleleştirme teknikleri (ör. gürültü ilavesi) gibi diğer anonim hâle getirme teknikleri kullanılabilir.
NOT 1 Anonim hâle getirme teknikleri hakkında daha fazla bilgi için, bk. ISO / IEC 20889.
NOT 2 Bulut bilgi işlem için, ISO / IEC 19944, verilerin bir kişisel veri sahibini tanımlama veya bir kişisel veri
sahibini kişisel verideki bir dizi özellik ile ilişkilendirme derecesini sınıflandırmak için kullanılabilecek bir veri
tanımlama kriterleri seti sağlar.
7.4.5 Kişisel verilerin işleme sonunda anonim hâle getirilmesi ve silinmesi
Kontrol
Kuruluş, tanımlanmış işlenme amacı için kişisel verilerin aslına gerek kalmadığında kişisel verileri silmeli
ya da kişisel veri sahiplerinin kimliklerinin belirlenmesine ya da yeniden belirlenmesine izin vermeyecek
bir formata değiştirmelidir.
Kuruluşun, başka bir veri işleme beklenmediğinde kişisel verileri silme mekanizmaları olmalıdır.
Alternatif olarak, elde edilen anonim hâle getirilmiş veriler, kişisel veri sahiplerinin kimliklerinin yeniden
belirlenmesine makul bir şekilde izin vermediği sürece, bazı anonim hâle getirme teknikleri kullanılabilir.
7.4.6 Geçici dosyalar
Kontrol
Kuruluş, kişisel verilerin işlenmesi sonunda oluşan geçici dosyaların belirli, dokümante edilmiş bir
sürede dokümante edilmiş prosedürlere göre yok edilmesini (silinmesi veya imha edilmesi) sağlamalıdır.
Kuruluş, kullanılmayan geçici dosyaların tanımlanmış süre içinde silindiğini düzenli olarak kontrol
etmelidir.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Ek Bilgiler
Bilgi sistemleri, normal işleyiş seyrinde geçici dosyalar oluşturabilir. Bu tür dosyalar sisteme veya
uygulamaya özgüdür, ancak veri tabanlarının güncellenmesi ve diğer uygulama yazılımlarının
çalıştırılmasıyla ilişkili dosya sistemi geri alma izleri ve geçici dosyaları içerebilir. İlgili bilgi işleme görevi
tamamlandıktan sonra geçici dosyalara gerek yoktur, ancak silinemedikleri durumlar vardır. Bu
dosyaların kullanımda kaldığı süre her zaman belirlenemez, ancak bir “çöp toplama” prosedürü ilgili
dosyaları tanımlamalı ve son kullanıldıklarından bu yana ne kadar zaman geçtiğini belirlemelidir.
7.4.7 Tutma
Kontrol
Kuruluş, kişisel verileri işlenme amacından daha uzun süre tutmamalıdır.
Kuruluş, kişisel verileri gereğinden uzun süre tutmama ilkesini göz önünde bulundurarak, tuttuğu bilgiler
için saklama planları geliştirmeli ve sürdürmelidir. Bu tür planlar yasal, düzenleyici ve işle ilgili
gereklilikleri dikkate almalıdır. Bu tür gerekliliklerin çeliştiği durumlarda, kurumsal bir kararın alınması
(bir risk değerlendirmesine dayalı olarak) ve uygun planda dokümante edilmesi gerekir.
7.4.8 Yok etme
Kontrol
Kuruluş, kişisel verilerin yok edilmesi için dokümante edilmiş politika, prosedür ve mekanizmalara sahip
olmalıdır.
Kişisel verileri yok etme tekniklerinin seçimi, yok etme teknikleri özellikleri ve sonuçları açısından
(örneğin, elde edilen fiziksel medyanın tanecik yapısı veya elektronik ortamda silinen bilgileri kurtarma
becerisinde) farklılık gösterdiğinden, bir dizi kritere bağlıdır. Uygun bir yok etme tekniği seçerken
dikkate alınması gereken kriterler, (bunlarla sınırlı olmamak üzere) kişisel veri ile ilişkili meta veriler
olup olmadığı, yok edilecek kişisel verilerin niteliği ile kapsamı ve kişisel verilerin depolandığı ortamın
fiziksel özelliklerini içerir.
7.4.9 Kişisel veri aktarım kontrolleri
Kontrol
Kuruluş, bir veri aktarım ağı üzerinden aktarılan kişisel verilere, istenen hedefe ulaşmasını sağlamak için
tasarlanmış uygun kontroller uygulamalıdır.
Kişisel veri aktarımının, tipik olarak yalnızca yetkili kişilerin aktarım sistemlerine erişmesini sağlayarak
ve kişisel verilerin başkaları tarafından ele geçirilmeden doğru alıcılara aktarılmasını sağlamak için
uygun süreçleri (denetim izlerinin tutulması dâhil) takip ederek kontrol edilmesi gerekir.
7.5 Kişisel verileri paylaşma, aktarma ve ifşa etme
Hedef: Kişisel verilerin paylaşılıp paylaşılmadığını, diğer yetki alanlarına veya üçüncü taraflara aktarılıp
aktarılmadığını ve/veya geçerli yükümlülüklere uygun olarak ifşa edilip edilmediğini belirlemek ve
dokümante etmek.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
7.5.1 Yetki alanları arası kişisel veri aktarımı için dayanağın tanımlanması
Kontrol
Kuruluş, kişisel verilerin yetki alanları arasında aktarımı için ilgili dayanağı tanımlamalı ve dokümante
etmelidir.
Kişisel verilerin aktarımı, verilerin aktarılacağı (ve kaynaklandığı) yetki alanına veya uluslararası
kuruluşa bağlı olarak mevzuata ve/veya düzenlemeye tabi olabilir. Kuruluş, aktarımın dayanağını teşkil
eden bu gerekliliklere uyulduğunu dokümante etmelidir.
Bazı yetki alanlarında, bilgi aktarım anlaşmalarının belirlenmiş bir denetim makamı tarafından gözden
geçirilmesi gerekebilir. Bu gibi yetki alanlarında faaliyet gösteren kuruluşlar, bu tür gerekliliklerin
farkında olmalıdır.
NOT Aktarımların belirli bir yetki alanı içinde gerçekleşmesi durumunda, yürürlükteki mevzuat ve/veya
düzenlemeler gönderen ve alıcı için aynıdır.
7.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar
Kontrol
Kuruluş, kişisel verilerin aktarılabileceği ülke veya uluslararası kuruluşları belirlemeli ve dokümante
etmelidir.
Kişisel verilerin normal faaliyetlerde aktarılabileceği ülkelerin ve uluslararası kuruluşların isimleri
müşterilere bildirilmelidir. Kişisel verilerin işlenmesi için alt yüklenici kullanımından kaynaklanan
ülkelerin isimleri de buna dâhil edilmelidir. Ülke listesi belirlenirken 7.5.1’de değerlendirilmelidir.
Normal faaliyetlerin dışında, kanun uygulayıcı bir makamın talebi üzerine, ülkelerin kimliğinin önceden
belirtilemediği veya ilgili otoriteler tarafından bir kolluk soruşturmasının gizliliğini korumak için
yasaklandığı aktarma vakaları olabilir (bk. 7.5.1, 8.5.4 ve 8.5.5).
7.5.3 Kişisel veri aktarımının kayıtları
Kontrol
Kuruluş, üçüncü taraflara ya da üçüncü taraflardan aktarılan kişisel verileri kaydetmeli ve veri
sahiplerine karşı yükümlülüklerden doğabilecek talepler için de söz konusu üçüncü taraflarla işbirliğini
sağlamalıdır.
Kayıtlar, kişisel veri sorumlularının yükümlülüklerini yönetmesi nedeniyle değiştirilmiş kişisel verilerin
üçüncü taraflardan yapılan aktarımları veya kişisel verileri silme talepleri de dâhil olmak üzere kişisel
veri sahiplerinden gelen meşru talepleri uygulamak için üçüncü taraflara aktarımları içerebilir (ör.
rızanın geri çekilmesinden sonra).
Kuruluşun bu kayıtların tutulma süresini tanımlayan bir politikası olmalıdır.
Kuruluş, verileri en aza indirme ilkesini, yalnızca kesin olarak gerekli bilgileri tutarak aktarım kayıtlarına
uygulamalıdır.
7.5.4 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları
Kontrol
Kuruluş, üçüncü taraflara yaptığı kişisel veri ifşalarının, hangi kişisel verinin, kime, ne zaman ifşa edildiği
bilgileri ile birlikte kaydını tutmalıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019

Kişisel veriler, normal faaliyetler sırasında ifşa edilebilir. Bu ifşalar kaydedilmelidir.
Yasal soruşturmalar veya dış denetimlerden kaynaklanan ifşalar gibi üçüncü taraflara yapılacak ek ifşalar
da kaydedilmelidir. Kayıtlar, ifşanın kaynağını ve ifşa etme yetkisinin kaynağını içermelidir.
8 Veri işleyenler için ek ISO 27002 kılavuz bilgileri

8.1 Genel
Madde 6'daki kılavuz bilgileri ve bu maddeye yapılan eklemeler kişisel veri işleyenler için KVYS'ye özel
kılavuz bilgileri oluşturur. Bu maddede dokümante edilmiş uygulama kılavuz bilgileri Ek B'de listelenen
kontrollerle ilgilidir.
8.2 Toplama ve işleme koşulları
Hedef: Kişisel veri işlemesinin yasal olduğunu, geçerli otoriteler nezdinde yasal dayanağa sahip olduğunu
ve açıkça tanımlanmış ve meşru amaçları olduğunu belirlemek ve dokümante etmek.
8.2.1 Müşteri anlaşması
Kontrol
Kuruluş, ilgili durumlarda, kişisel verilerin işlenmesi için yapılan anlaşmalarda kuruluşun müşterinin
yükümlülüklerine yardım etmekteki rolünün (veri işlemenin yapısını ve kuruluşa sağlanan bilgiyi göz
önünde tutacak şekilde) yer almasını sağlamalıdır.
Kuruluş ve müşteri arasındaki sözleşme, ilgili olduğu durumlarda ve müşterinin rolüne (kişisel veri
sorumlusu veya kişisel veri işleyen) bağlı olarak aşağıdakileri içermelidir (bu liste ne kesin ne de
eksiksizdir):
 tasarım gereği gizlilik ve varsayılan olarak gizlilik (bk. 7.4, 8.4);
 işleme güvenliğinin sağlanması;
 kişisel verilerle ilgili ihlallerin bir denetim makamına bildirilmesi;
 kişisel verilerle ilgili ihlallerin müşterilere ve kişisel veri sahiplerine bildirilmesi;
 Gizlilik Etki Değerlendirmelerinin (GED) yürütülmesi ve
 ilgili kişisel verileri koruma yetkilileri ile önceden istişarelerde bulunmak gerekirse, kişisel veri
işleyen tarafından verilecek yardımın güvence altına alınması.
Bazı yetki alanlarında, sözleşmenin, işlemenin konusunu ve süresini, işlemenin niteliğini ve amacını,
kişisel verinin türünü ve kişisel veri sahiplerinin kategorilerini içermesi gerekmektedir.
8.2.2 Kuruluşun amaçları
Kontrol
Kuruluş, müşteri adına işlenen kişisel verilerin yalnızca, müşterinin dokümante edilmiş talimatlarında
belirttiği amaçlara uygun şekilde işlenmesini sağlamalıdır.
Kuruluş ve müşteri arasındaki sözleşme, bununla sınırlı olmamak kaydıyla, verilecek hizmetle
gerçekleştirilecek olan hedef ve zaman çerçevesini içermelidir.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Müşterinin amacını gerçekleştirmek için, müşterinin genel talimatları ile tutarlı olan, ancak müşterinin
açık uygulama talimatına uymayan kişisel veri işleme yöntemini belirlemesinin kuruluş için uygun
olmasının teknik nedenleri olabilir. Örneğin, ağ kapasitesini veya işleme kapasitesini verimli bir şekilde
kullanmak için, kişisel veri sahibinin belirli özelliklerine bağlı olarak belirli işleme kaynaklarının tahsis
edilmesi gerekebilir.
Kuruluş, müşterinin kuruluşun tanımlanan amaca ve sınırlama ilkelerine uyduğunu doğrulamasına izin
vermelidir. Bu aynı zamanda, kuruluşun ya da alt yüklenicilerinin, hiçbir kişisel veriyi, müşterinin
dokümante edilmiş talimatlarında ifade edilenlerden başka amaçlarla işlememesini sağlar.
8.2.3 Pazarlama ve reklam kullanımı
Kontrol
Kuruluş, bir sözleşme kapsamında işlenmiş kişisel veriyi, uygun veri sahibinden önceden rıza
alındığından emin olmadan pazarlama ve reklam amacıyla kullanmamalıdır.
Kuruluş, söz konusu rızanın verilmesini hizmetin alınmasının şartı olarak belirtmemelidir.
Kişisel veri işleyenlerin, özellikle pazarlama ve/veya reklam kullanımın planlandığı durumlarda,
müşterinin sözleşmeden kaynaklanan gerekliliklere uyduğu dokümante edilmelidir.
Kuruluşlar, kişisel veri sahiplerinden açık rızanın uygun şekilde alınmadığı durumlarda pazarlama
ve/veya reklam kullanımlarının dâhil edilmesi konusunda ısrar etmemelidir.
NOT Bu kontrol, 8.2.2'deki daha genel kontrole yapılan eklemedir ve onun yerine geçmez veya yerini almaz.
8.2.4 İhlale sebep olan talimatlar
Kontrol
Kuruluş, verilen bir veri işlemesi talimatının ilgili mevzuat veya düzenlemeyi ihlal ettiğini düşünüyorsa
müşteriye bu durumu bildirmelidir.
Kuruluşun, talimatın mevzuat ve/veya düzenlemeyi ihlal edip etmediğini doğrulama becerisi teknolojik
duruma, talimatın kendisine ve kuruluş ile müşteri arasındaki sözleşmeye bağlı olabilir.
8.2.5 Müşteri yükümlülükleri
Kontrol
Kuruluş, yükümlülüklerine uyduğunu gösterebilmesi için müşteriye gerekli bilgileri sağlamalıdır.
Müşteri tarafından ihtiyaç duyulan bilgilere örnek olarak, müşteri tarafından yapılan veya müşteriye
zorunlu kılınan veya müşterinin kabul ettiği başka bir denetçi tarafından yapılan denetimlere izin verip
vermediği ve katkıda bulunup bulunmadığı bilgisi gösterilebilir.
8.2.6 Kişisel verilerin işlenmesine ilişkin kayıtlar
Kontrol
Kuruluş, müşteri adına gerçekleştirdiği veri işlemeye ilişkin yükümlülüklerini (ilgili sözleşmede
belirtildiği şekliyle) yerine getirdiğini göstermek amacıyla gerekli kayıtları belirlemeli ve sürdürmelidir.
Bazı yetki alanlarında kuruluşun örneğin, aşağıdaki gibi bilgileri kaydetmesi gerekebilir:
 her müşteri adına gerçekleştirilen işleme kategorileri;
ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
 üçüncü ülkelere veya uluslararası kuruluşlara yapılan aktarımlar; ve

 teknik ve kurumsal güvenlik önlemlerinin genel bir tanımı.
8.3 Veri sahiplerine karşı yükümlülükler
Hedef: Kişisel veri sahiplerine, kişisel verilerinin işlenmesi hakkında uygun bilgilerin verilmesini
sağlamak ve kişisel veri sahiplerine karşı kişisel verilerinin işlenmesi ile ilgili diğer geçerli
yükümlülükleri karşılamak.
8.3.1 Veri sahiplerine karşı yükümlülükler
Kontrol
Kuruluş, müşteriye veri sahiplerine karşı yükümlülüklerini yerine getirme araçları sağlamalıdır.
Bir kişisel veri sorumlusunun yükümlülükleri mevzuat, düzenleme ve/veya sözleşme ile tanımlanabilir.
Bu yükümlülükler, müşterinin bu yükümlülüklerin yerine getirilmesi için kuruluşun hizmetlerini
kullandığı konuları içerebilir. Örneğin, kişisel verilerin zamanında düzeltilmesini veya silinmesini
içerebilir.
Bir müşterinin kişisel veri sahiplerine karşı yükümlülükleri yerine getirmesini kolaylaştıracak bilgi veya
teknik tedbirler için kuruluşa bağlı olması durumunda, ilgili bilgi veya teknik tedbirler bir sözleşmede
belirtilmelidir.
8.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
Hedef: Süreçlerin ve sistemlerin, kişisel verilerin toplanması ve işlenmesi (kullanım, ifşa etme, tutma,
aktarma ve yok etme dâhil) tanımlanmış amaç için gerekli olanla sınırlandırılacak şekilde tasarlanmasını
sağlamak.
8.4.1 Geçici dosyalar
Kontrol
Kuruluş, kişisel verilerin işlenmesi sonunda oluşan geçici dosyaların belirli, dokümante edilmiş bir
sürede, dokümante edilmiş prosedürlere göre yok edilmesini (silinmesi veya imha edilmesi)
sağlamalıdır.
Kuruluş, kullanılmayan geçici dosyaların tanımlanmış süre içinde silindiğini düzenli olarak kontrol
etmelidir.
Ek Bilgiler
Bilgi sistemleri, normal işleyiş seyrinde geçici dosyalar oluşturabilir. Bu tür dosyalar sisteme veya
uygulamaya özgüdür, ancak veri tabanlarının güncellenmesi ve diğer uygulama yazılımlarının
çalıştırılmasıyla ilişkili dosya sistemi geri alma izleri ve geçici dosyaları içerebilir. İlgili bilgi işleme görevi
tamamlandıktan sonra geçici dosyalara gerek yoktur, ancak bu dosyaların silinemediği durumlar vardır.
Bu dosyaların kullanımda kaldığı süre her zaman belirlenemez ancak bir “kötü girdileri temizleme”
prosedürü ilgili dosyaları tanımlamalı ve son kullanıldıklarından bu yana ne kadar zaman geçtiğini
belirlemelidir.
8.4.2 Kişisel verilerin iadesi, aktarımı ve yok edilmesi
Kontrol
Kuruluş, kişisel verilerin güvenli bir şekilde iadesini, aktarımını ve/veya yok edilmesini sağlamalıdır.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Kuruluş, kişisel verilerin güvenli bir şekilde iadesi, aktarılması ve/veya yok edilmesine ilişkin politikasını
müşterisine iletmelidir.
Bir noktada, kişisel verilerin bir şekilde yok edilmesi gerekebilir. Bu yok etme, kişisel verileri müşteriye
iade etmeyi, başka bir kuruluşa veya bir kişisel veri sorumlusuna (örneğin birleşme sonucunda)
aktarmayı, silmeyi veya başka bir şekilde yok etmeyi, anonim hâle getirmeyi veya arşivlemeyi içerebilir.
Kişisel verilerin iadesi, aktarılması ve/veya yok edilmesi güvenli bir şekilde yönetilmelidir.
Kuruluş, müşterinin bir sözleşme kapsamında işlenen kişisel verilerin, müşterinin tanımlanmış amaçları
için gerekli olmadığı andan itibaren (kuruluş ve alt yüklenicileri tarafından) yedekleme ve iş sürekliliği
dâhil olmak üzere depolandığı yerden en kısa sürede silindiğinden emin olması için gerekli güvenceyi
sağlamalıdır.
Kuruluş, kişisel verilerin yok edilmesine ilişkin bir politika geliştirerek uygulamalı ve talep edildiğinde
bu politikayı müşteriye sunmalıdır.
Politika, bir sözleşmenin sonlanmasının ardından, müşterinin sözleşmeyi yanlışlıkla bitirmesi nedeniyle
kişisel verileri kaybetmesini önlemek için, yok etmeden önce kişisel veriler için tutma süresini
kapsamalıdır.
NOT Bu kontrol ve kılavuz bilgisi tutma ilkesi kapsamında da geçerlidir (bk. 7.4.7).
8.4.3 Kişisel veri aktarım kontrolleri
Kontrol
Kuruluş, bir veri aktarım ağı üzerinden aktarılan kişisel veriye, istenilen hedefe ulaşmasını sağlamak için
tasarlanmış uygun kontroller uygulamalıdır.
Kişisel veri aktarımının, tipik olarak yalnızca yetkili kişilerin aktarım sistemlerine erişmesini sağlayarak
ve kişisel verilerin başkaları tarafından ele geçirilmeden doğru alıcılara aktarılmasını sağlamak için
uygun süreçleri (denetim izlerinin tutulması dâhil) takip ederek kontrol edilmesi gerekir. Aktarım
kontrolleri için gereklilikler kişisel veri işleyen - müşteri sözleşmesine dâhil edilebilir.
Aktarmayla ilgili sözleşmede herhangi bir gereklilik bulunmadığında, aktarımdan önce müşteriden
tavsiye almak uygun olabilir.
8.5 Kişisel verileri paylaşma, aktarma ve ifşa etme
Hedef: Kişisel verilerin paylaşılıp paylaşılmadığını, diğer yetki alanlarına veya üçüncü taraflara aktarılıp
dokümante etmek.
8.5.1 Yetki alanları arası kişisel veri aktarımına ilişkin dayanak
Kontrol
Kuruluş, yetki alanları arasındaki kişisel veri aktarımının dayanağı ve bu dayanakta yapılması planlanan
değişiklikler hakkında müşteriyi zamanında bilgilendirmeli, bu şekilde müşterinin değişikliklere itiraz
edebilmesini veya sözleşmeyi feshedebilmesini sağlamalıdır.
Yetki alanları arasındaki kişisel verilerin aktarımı, kişisel verilerin aktarılacağı (ve kaynaklandığı) yetki
alanına veya kuruluşa bağlı olarak mevzuata ve/veya düzenlemeye tabi olabilir. Kuruluş, aktarımın
dayanağını teşkil eden bu gerekliliklere uyulduğunu dokümante etmelidir. Kuruluş, aşağıdakilere yapılan

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
aktarımlar da dâhil olmak üzere, kişisel verilerin herhangi bir aktarımı konusunda müşteriyi
bilgilendirmelidir:
 tedarikçiler;
 diğer taraflar;
 diğer ülkeler veya uluslararası kuruluşlar.
Değişiklik olması durumunda, kuruluş, kararlaştırılan bir zaman dilimine uygun olarak müşteriyi
önceden bilgilendirmelidir, böylece müşteri bu değişikliklere itiraz edebilir veya sözleşmeyi feshedebilir.
Kuruluş ve müşteri arasındaki anlaşma, kuruluşun müşteriyi bilgilendirmeden değişiklikleri
uygulayabileceği maddeler içerebilir. Bu durumlarda, bu iznin sınırları belirlenmelidir (ör. kuruluş
müşteriyi bilgilendirmeden tedarikçileri değiştirebilir, ancak kişisel verileri diğer ülkelere aktaramaz).
Kişisel verilerin uluslararası aktarımı durumunda, Model Sözleşme Maddeleri, Bağlayıcı Kurumsal
Kurallar veya Sınır Ötesi Gizlilik Kuralları gibi anlaşmalar, ilgili ülkeler ve bu anlaşmaların geçerli olduğu
koşullar tanımlanmalıdır.
8.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar
Kontrol
Kuruluş, kişisel verilerin aktarılabileceği ülke veya uluslararası kuruluşları belirlemeli ve dokümante
etmelidir.
Kişisel verilerin normal faaliyetlerde aktarılabileceği ülkelerin ve uluslararası kuruluşların isimleri
müşterilere bildirilmelidir. Kişisel verilerin işlenmesi için alt yüklenici kullanımından kaynaklanan
ülkelerin isimleri de buna dâhil edilmelidir. Ülke listesi belirlenirken 8.5.1 de değerlendirilmelidir.
Normal faaliyetlerin dışında, kanun uygulayıcı bir makamın talebi üzerine, ülkelerin kimliğinin önceden
belirtilemediği veya ilgili yargı makamları tarafından bir kolluk soruşturmasının gizliliğini korumak için
yasaklandığı aktarma vakaları olabilir (bk. 7.5.1, 8.5.4 ve 8.5.5).
8.5.3 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları
Kontrol
Kuruluş, üçüncü taraflara yaptığı kişisel veri ifşalarının, hangi kişisel verinin, kime, ne zaman ifşa edildiği
bilgileri ile birlikte kaydını tutmalıdır.
Kişisel veriler, normal faaliyetler sırasında ifşa edilebilir. Bu ifşalar kaydedilmelidir.
Yasal soruşturmalar veya dış denetimlerden kaynaklanan ifşalar gibi üçüncü taraflara yapılacak ek ifşalar
da kaydedilmelidir. Kayıtlar, ifşanın kaynağını ve ifşa etme yetkisinin kaynağını içermelidir.
8.5.4 Kişisel veri ifşa taleplerinin bildirimi
Kontrol
Kuruluş, yasal olarak bağlayıcı olan kişisel verilerin ifşa edilmesi taleplerini müşterisine bildirmelidir.
Kuruluş, kişisel verilerin ifşa edilmesi için yasal olarak bağlayıcı talepler alabilir (ör. emniyet
yetkililerinden). Bu durumlarda, kuruluş, kabul edilen zaman dilimleri içinde ve üzerinde anlaşılan bir
prosedüre göre (müşteri sözleşmesine dâhil edilebilecek) bu tür bir talebi müşteriye bildirmelidir.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Bazı durumlarda, yasal olarak bağlayıcı talepler, kuruluşun olay hakkında kimseyi bilgilendirmemesini
gerektirir (ifşa ile ilgili olası bir yasaklamaya bir örnek, bir kolluk soruşturmasının gizliliğini korumak
için ceza yasası kapsamında bir yasak olabilir).
8.5.5 Yasal olarak bağlayıcı kişisel veri ifşaları
Kontrol
Kuruluş, yasal olarak bağlayıcılığı olmayan bütün kişisel veri ifşalarını reddetmeli, herhangi bir kişisel
veriyi ifşa etmeden ve ilgili müşteri tarafından izin verilmiş kişisel veri ifşaları için sözleşmeye bağlı
olarak kararlaştırılmış bütün talepleri kabul etmeden önce ilgili müşteriye danışmalıdır.
Kontrolün uygulanmasına ilişkin detaylar müşteri sözleşmesine dâhil edilebilir.
Bu tür talepler mahkemeler ve idari makamlar da dâhil olmak üzere çeşitli kaynaklardan gelebilir.
Herhangi bir yetki alanından gelebilirler.
8.5.6 Kişisel veri işleme için kullanılan alt yüklenicilerin ifşa edilmesi
Kontrol
Kuruluş, veri işleme için kullanacağı bütün alt yüklenicileri veri işleme başlamadan önce müşterisine
bildirmelidir.
Kişisel veri işlemek için alt yüklenicilerin kullanımına ilişkin hükümler müşteri sözleşmesine dâhil
edilmelidir.
Açıklanan bilgiler, alt yüklenici kullanıldığı gerçeğini ve ilgili alt yüklenicileri adlarını kapsamalıdır.
Açıklanan bilgiler, alt yüklenicilerin veri aktarabilecekleri ülkeleri ve uluslararası kuruluşları (bk. 8.5.2)
ve alt yüklenicilerin kuruluşun yükümlülüklerini karşılamak veya aşmakla yükümlü oldukları araçları
(bk. 8.5.7) içermelidir.
Alt yüklenici bilgilerinin kamuya açıklanmasının güvenlik riskini kabul edilebilir sınırların ötesine
taşıdığı değerlendirildiğinde, açıklama gizlilik sözleşmesi ve/veya müşterinin talebi üzerine yapılmalıdır.
Müşteri, bilgilerin mevcut olduğu konusunda bilgilendirilmelidir.
Bu, kişisel verilerin aktarılabileceği ülkelerin listesini ilgilendirmez. Bu liste, her durumda müşteriye,
ilgili kişisel veri sahiplerini bildirmelerini sağlayacak şekilde açıklanmalıdır.
8.5.7 Kişisel verilerin işlenmesi için alt yüklenici kullanımı
Kontrol
Kuruluş; verilerin işlenmesi için bir alt yükleniciyi, sadece müşteri sözleşmesine uygun şekilde
kullanmalıdır.
Kuruluş, söz konusu kişisel verilerin işlenmesinin bir kısmını veya tamamını başka bir kuruluşa
verdiğinde, kişisel verilerin alt yüklenici tarafından işlenmesinden önce müşteriden yazılı izin alınması
gerekir.
Bu izin, müşteri sözleşmesinde uygun maddeler şeklinde veya özel bir "bir defalık" sözleşme şeklinde
olabilir.
Kuruluş, kendi adına kişisel verilerin işlenmesi için kullandığı bütün alt yüklenicilerle yazılı bir sözleşme
yapmalı ve alt yüklenicilerle olan sözleşmelerinin Ek B'deki uygun kontrollerin uygulanmasını ele
almasını sağlamalıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Kuruluş ile kuruluş adına kişisel verileri işleyen bir alt yüklenici arasındaki sözleşme, alt yüklenicinin,
bilgi güvenliği risk değerlendirme sürecini (bk. 5.4.1.2) ve kişisel veri işleyen tarafından gerçekleştirilen
kişisel verilerin işlemesinin kapsamını (bkz. 6.12) dikkate alarak Ek B'de belirtilen uygun kontrolleri
uygulamasını gerektirmelidir.
Varsayılan olarak, Ek B'de belirtilen tüm kontroller ilgili kabul edilmelidir. Kuruluş, alt yüklenicinin Ek
B'deki bir kontrolü uygulamasına gerek olmadığına karar verirse, bu kontrolün hariç tutulmasını
gerekçelendirmelidir.
Bir sözleşme, her bir tarafın sorumluluklarını farklı şekilde tanımlayabilir ancak bu dokümanla tutarlı
olması için tüm kontroller dikkate alınmalı ve dokümante edilmiş bilgilere dâhil edilmelidir.
8.5.8 Kişisel veri işleme için kullanılan alt yüklenicinin değiştirilmesi
Kontrol
Kuruluş, konuyla ilgili yazılı olarak alınmış genel bir izne sahip olduğu durumlarda, kişisel veri işleme
için kullanılan alt yüklenicilerin artırılması veya değiştirilmesine yönelik her türlü değişiklik niyetini
müşteriye bildirmeli, bu sayede müşteriye değişikliklere itiraz etme şansı sağlamalıdır.
Kuruluş, söz konusu kişisel verilerin işlenmesinin bir kısmını veya tamamını alt yüklenicilerine verdiği
kuruluşu değiştirdiğinde, kişisel verilerin yeni alt yüklenici tarafından işlenmesinden önce değişiklik için
müşteriden yazılı izin alınması gerekir. Bu izin, müşteri sözleşmesinde uygun maddeler şeklinde veya
özel bir "bir defalık" sözleşme şeklinde olabilir.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Ek A
(bağlayıcı)
KVYS’ye özel referans kontrol hedefleri ve kontrolleri (kişisel veri

sorumluları için)
Bu ek, kişisel veri işleyeni olsun veya olmasın, kişisel veri sorumlusu olarak hareket eden
kuruluşlar tarafından kullanılması içindir. ISO/IEC 27001:2013 Ek A'yı genişletir.
Çizelge A.1'de listelenen ek veya değiştirilmiş kontrol hedefleri ve kontrolleri doğrudan bu
belgede tanımlananlardan türetilmiş ve bunlarla uyumludur ve 5.4.1.3'te belirtildiği gibi ISO/IEC
27001:2013, 6.1.3 bağlamında kullanılmalıdır.
Bu ekte listelenen tüm kontrol hedefleri ve kontrollerinin KVYS kurulumuna dâhil edilmesi
gerekmez. Herhangi bir kontrol hedefinin hariç tutulmasına yönelik bir gerekçe, Uygulanabilirlik
Beyanı’nda yer alacaktır (bk. 5.4.1.3). Hariç tutma gerekçesi, kontrollerin risk değerlendirmesi
tarafından gerekli görülmediği ve geçerli mevzuat ve/veya yönetmelik tarafından gerekli
olmadığı (veya istisnalara tabi olduğu) yerleri içerebilir.
NOT Bu ekteki madde numaraları, Madde 7'deki alt madde numaraları ile ilgilidir.
Çizelge A.1 — Kontrol hedefleri ve kontrolleri
A.7.2.1 Toplama ve işleme koşulları
Hedef:
Kişisel veri işlemesinin yasal olduğunu, ilgili yargı otoritesi nezdinde yasal dayanağa sahip olduğunu ve açıkça
tanımlanmış ve meşru amaçlar taşıdığını belirlemek ve dokümante etmek.
A.7.2.1 Amacın tanımlanması ve Kontrol
dokümante edilmesi
Kuruluş, kişisel verilerin işlenme sebebi olan özel amaçları
tanımlamalı ve dokümante etmelidir.
A.7.2.2 Yasal dayanağın Kontrol
tanımlanması
Kuruluş, kişisel verilerin işlenmesi için tanımlanmış amaçlar
doğrultusunda ilgili yasal dayanağı belirlemeli, dokümante etmeli
ve bu dayanağa uygun hareket etmelidir.
A.7.2.3 Rızanın ne zaman ve Kontrol
nasıl alınacağının
Kuruluş, veri sahiplerinden verilerin işlenmesi için rızanın alınıp
belirlenmesi
alınmadığını, alındıysa ne zaman ve nasıl alındığını gösterebilen bir
süreci belirlemeli ve dokümante etmelidir.
A.7.2.4 Rızanın alınması ve Kontrol
kaydedilmesi
Kuruluş, kişisel veri sahiplerinden rıza almayı ve bu rızaları
kaydetmeyi dokümante edilmiş süreçlere uygun şekilde
gerçekleştirmelidir.
A.7.2.5 Gizlilik etki Kontrol
değerlendirmesi
Kuruluş, yeni kişisel veriler işlendiğinde ve kişisel verilerin mevcut
işlenmesinde değişiklikler planlandığında Gizlilik Etki

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Değerlendirmesi (GED) ihtiyacını değerlendirmeli ve gerekli

durumlarda bu değerlendirmeyi yapmalıdır.
A.7.2.6 Kişisel veri işleyenlerle Kontrol
yapılan sözleşmeler
Kuruluş, kullandığı bütün veri işleyenlerle yazılı bir sözleşme
düzenlemeli ve bu sözleşmelerin Ek B’deki uygun kontrollerin
uygulanmasını ele almasını sağlamalıdır.
A.7.2.7 Ortak kişisel veri Kontrol
sorumlusu
Kuruluş ortak veri sorumlularının her biriyle, kişisel verilerin
(kişisel veri koruması ve güvenlik gereklilikleri dâhil) işlenmesine
ilişkin ilgili rolleri ve sorumlulukları belirlemelidir.
A.7.2.8 Kişisel verilerin Kontrol
işlenmesine ilişkin
Kuruluş, kişisel veri işleme ile ilişkili yükümlülüklerini desteklemek
kayıtlar
için gerekli kayıtları belirlemeli ve bunları güvenli bir şekilde
sürdürmelidir.
A.7.3 Kişisel veri sahiplerine karşı yükümlülükler
Hedef:
Kişisel veri sahiplerine, kişisel verilerinin işlenmesi hakkında uygun bilgi verilmesini sağlamak ve kişisel veri
sahiplerinin kişisel verilerinin işlenmesi ile ilgili diğer geçerli yükümlülükleri yerine getirmek.
A.7.3.1 Veri sahiplerine karşı Kontrol
yükümlülüklerin
Kuruluş, kişisel veri işlemesine konu olan veri sahiplerine karşı
belirlenmesi ve yerine
yasal, düzenleyici ve kurumsal yükümlülüklerini belirlemeli,
getirilmesi
dokümante etmeli ve bu yükümlülüklerin yerine getirilmesi için
gerekli araçları sağlamalıdır.
A.7.3.2 Veri sahiplerine verilecek Kontrol
bilgilerin belirlenmesi
Kuruluş, kişisel veri işlemesine konu olan veri sahiplerine vereceği
bilgiyi ve bu bilginin ne zaman verileceğini belirlemeli ve
dokümante etmelidir.
A.7.3.3 Veri sahiplerine bilgi Kontrol
verilmesi
Kuruluş veri sahiplerine, veri sorumlularını tanımlayan ve kişisel
verilerinin işlenmesini açıklayan açık ve kolay ulaşılabilir bilgileri
sağlamalıdır.
A.7.3.4 Rızanın değiştirilmesi Kontrol
veya geri çekilmesine
Kuruluş, veri sahiplerinin rızalarını değiştirebilecekleri ya da
ilişkin mekanizmanın
çekebilecekleri bir mekanizma sağlamalıdır.
sağlanması
A.7.3.5 Veri işlemesine itiraz Kontrol
mekanizmasının
Kuruluş, veri sahiplerinin verilerinin işlenmesine itiraz etmelerini
sağlanması
sağlayacak bir mekanizma sunmalıdır.
A.7.3.6 Erişim, düzeltme ve/veya Kontrol
silme
Kuruluş, veri sahiplerine karşı veri sahiplerinin verilerine
erişebilmeleri, verilerini düzeltebilmeleri ve/veya silebilmeleri
yükümlülüğünü karşılamak için gerekli politika, prosedür ve/veya
mekanizmaları uygulamalıdır.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
A.7.3.7 Veri sorumlularının Kontrol

üçüncü tarafları uyarma
Kuruluş, kişisel verilerin paylaşıldığı üçüncü tarafları paylaşılan
yükümlülüğü
kişisel verilerle ilgili herhangi bir değişiklik, geri çekme veya itiraz
konusunda bilgilendirmeli, bunu yapmak için uygun politika,
prosedür ve mekanizmaları uygulamalıdır.
A.7.3.8 İşlenen kişisel verilerin Kontrol
kopyasının sağlanması
Kuruluş, veri sahibi tarafından talep edildiğinde işlenen kişisel
verilerin kopyasını sağlamalıdır.
A.7.3.9 Taleplerin ele alınması Kontrol
Kuruluş, veri sahiplerinden gelen meşru talepleri ele almak ve bu
taleplere cevap vermek için politika ve prosedürleri belirleyerek
dokümante etmelidir.
A.7.3.10 Otomatikleştirilmiş karar Kontrol
verme
Kuruluş, kişisel verilerin yalnızca otomatik işlenmesi sonucu kişisel
veri sahipleriyle ilgili olarak verilen kararlardan kaynaklanan
kişisel veri sahiplerine karşı yükümlülükleri, yasal yükümlülükler
dâhil, tanımlamalı ve yerine getirmelidir.
A.7.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
Hedef:
Süreçlerin ve sistemlerin, toplama ve işlemenin (kullanım, ifşa etme, tutma, aktarma ve yok etme dâhil)
tanımlanmış amaç için gerekli olanla sınırlandırılacak şekilde tasarlanması sağlamak.
A.7.4.1 Toplamanın Kontrol
sınırlandırılması
Kuruluş, kişisel verilerin toplanmasını tanımlanmış amaçlarla
bağlantılı, ölçülü ve gerekli olacak şekilde en aza indirerek
sınırlandırmalıdır.
A.7.4.2 İşlemenin Kontrol
sınırlandırılması
Kuruluş, kişisel verilerin işlenmesini tanımlanmış amaçlarla yeterli,
bağlantılı ve gerekli olacak şekilde sınırlandırmalıdır.
A.7.4.3 Doğruluk ve Nitelik Kontrol
Kuruluş, kişisel verinin, bütün yaşam döngüsü boyunca işleme
amacına uygun olarak doğru, tam ve güncel olduğuna emin olmalı
ve bunu dokümante etmelidir.
A.7.4.4 Kişisel verileri en aza Kontrol
indirme hedefleri
Kuruluş, verileri en aza indirme hedeflerini ve bu hedefleri
gerçekleştirmek için gerekli mekanizmaları (ör. anonim hâle
getirme) belirleyerek dokümante etmelidir.
A.7.4.5 Kişisel verilerin işleme Kontrol
sonunda anonim hâle
Kuruluş, tanımlanmış işlenme amacı için kişisel verilerin aslına
getirilmesi ve silinmesi
gerek kalmadığında kişisel verileri silmeli ya da kişisel veri
sahiplerinin kimliklerinin belirlenmesine ya da yeniden
belirlenmesine izin vermeyecek bir formata değiştirmelidir.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
A.7.4.6 Geçici dosyalar Kontrol

Kuruluş, kişisel verilerin işlenmesi sonunda oluşan geçici
dosyaların belirli, dokümante edilmiş bir sürede dokümante edilmiş
prosedürlere göre yok edilmesini (silinmesi veya imha edilmesi)
sağlamalıdır.
A.7.4.7 Tutma Kontrol
Kuruluş, kişisel verileri işlenme amacından daha uzun süre
tutmamalıdır.
A.7.4.8 Yok etme Kontrol
Kuruluş, kişisel verilerin yok edilmesi için dokümante edilmiş
politika, prosedür ve mekanizmalara sahip olmalıdır.
A.7.4.9 Kişisel veri aktarım Kontrol
kontrolleri
Kuruluş, bir veri aktarım ağı üzerinden aktarılan kişisel verilere
istenilen hedefe ulaşmasını sağlamak için tasarlanmış uygun
kontroller uygulamalıdır.
A.7.5 Kişisel verileri paylaşma, aktarma ve ifşa etme
Hedef:
Kişisel verilerin paylaşılıp paylaşılmadığını, diğer yetki alanlarına veya üçüncü taraflara aktarılıp aktarılmadığını
ve/veya geçerli yükümlülüklere uygun olarak ifşa edilip edilmediğini belirlemek ve dokümante etmek.
A.7.5.1 Yetki alanları arası kişisel Kontrol
veri aktarımı için
Kuruluş, kişisel verilerin yetki alanları arasında aktarımı için ilgili
dayanağın tanımlanması
dayanağı tanımlamalı ve dokümante etmelidir.
A.7.5.2 Kişisel verilerin Kontrol
aktarılabileceği ülkeler
Kuruluş, kişisel verinin transfer edilebileceği ülke veya uluslararası
ve uluslararası
kuruluşları belirlemeli ve dokümante etmelidir.
kuruluşlar
A.7.5.3 Kişisel veri aktarımının Kontrol
kayıtları
Kuruluş, üçüncü taraflara ya da üçüncü taraflardan aktarılan kişisel
verileri kaydetmeli ve veri sahiplerine karşı yükümlülüklerden
doğabilecek talepler için de söz konusu üçüncü taraflarla işbirliğini
sağlamalıdır.
A.7.5.4 Üçüncü taraflara yapılan Kontrol
kişisel veri ifşalarının
Kuruluş, üçüncü taraflara yaptığı kişisel veri ifşalarının, hangi
kayıtları
kişisel verinin, kime, ne zaman ifşa edildiği bilgileri ile birlikte
kaydını tutmalıdır.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Ek B
(bağlayıcı)
KVYS’ye özgü referans kontrol hedefleri ve kontrolleri

(kişisel veri işleyenler için)
Bu ek, kişisel veri alt yüklenicisi olsun veya olmasın, kişisel veri işleyen olarak görev yapan kuruluşlar
tarafından kullanılması içindir. Ek B, ISO/IEC 27001:2013, Ek A'yı daha da detaylandırır.
Çizelge B.1'de listelenen ek veya değiştirilmiş kontrol hedefleri ve kontrolleri, doğrudan bu dokümanda
tanımlananlardan türetilmiştir ve bunlarla uyumludur ve 5.4.1.3 ile geliştirilmiş olan ISO/IEC
27001:2013, 6.1.3 ile aynı bağlamda kullanılmalıdır.
Bu ekte listelenen tüm kontrol hedefleri ve kontrollerinin KVYS uygulamasına dâhil edilmesi gerekmez.
Herhangi bir kontrol hedefinin hariç tutulmasına yönelik bir gerekçe, Uygulanabilirlik Beyanı’nda yer
almalıdır (bk. 5.4.1.3). Hariç tutma gerekçesinde, kontrollerin risk değerlendirmesi tarafından gerekli
görülmediği ve geçerli mevzuat ve/veya düzenlemeler tarafından gerekli olmadığı (veya istisnalara tabi
olduğu) hususlar belirtilebilir.
NOT Bu ekteki madde numaraları, Madde 8'de verilen alt madde numaraları ile ilgilidir.
Çizelge B.1 — Kontrol hedefleri ve kontroller
B.8.2 Toplama ve işleme koşulları
Hedef:
Kişisel veri işlemesinin yasal olduğunu, geçerli otoriteler nezdinde yasal dayanağa sahip olduğunu ve
açıkça tanımlanmış ve meşru amaçları olduğunu belirlemek ve dokümante etmek.
B.8.2.1 Müşteri Anlaşması Kontrol
Kuruluş, mümkün olan durumlarda, kişisel veri işleme için
yapılan anlaşmalarda kuruluş rolünün, müşterinin
yükümlülüklerine yardım edecek (veri işlemenin yapısını ve
kuruluşa sağlanan bilgiyi göz önünde tutarak) şekilde yer
almasını sağlamalıdır.
B.8.2.2 Kuruluşun amaçları Kontrol:
Kuruluş, müşteri adına işlenen kişisel verilerin yalnızca,
müşterinin dokümante edilmiş talimatlarında belirttiği
amaçlara uygun şekilde işlenmesini sağlamalıdır.
B.8.2.3 Pazarlama ve Kontrol:
reklam kullanımı
Kuruluş, bir sözleşme kapsamında işlenmiş kişisel veriyi, uygun
veri sahibinden önceden rıza alındığından emin olmadan
pazarlama ve reklam amacıyla kullanmamalıdır.
Kuruluş, söz konusu rızanın verilmesini hizmetin alınmasının
şartı olarak belirtmemelidir.
B.8.2.4 İhlale sebep olan Kontrol
talimatlar
Kuruluş verilen bir veri işlemesi talimatının, ilgili mevzuat veya
düzenlemeyi ihlal ettiğini düşünüyorsa müşteriye bu durumu
bildirmelidir.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
B.8.2.5 Müşteri Kontrol

yükümlülükleri
Kuruluş, müşteriye yükümlülüklerine uyduğunu gösterebilmesi
için gerekli bilgileri sağlamalıdır.
B.8.2.6 Kişisel verilerin Kontrol
işlenmesine ilişkin
Kuruluş, müşteri adına gerçekleştirdiği veri işlemeye ilişkin
kayıtlar
yükümlülüklerini (ilgili sözleşmede belirtildiği şekliyle) yerine
getirdiğini göstermek amacıyla gerekli kayıtları belirlemeli ve
sürdürmelidir.
B.8.3 Veri sahiplerine karşı yükümlülükler
Hedef:
Kişisel veri sahiplerine, kişisel verilerinin işlenmesi hakkında uygun bilgilerin verilmesini sağlamak ve
kişisel veri sahiplerine karşı kişisel verilerinin işlenmesi ile ilgili diğer geçerli yükümlülükleri
karşılamak.
B.8.3.1 Veri sahiplerine Kontrol:
karşı yükümlülükler
Kuruluş, müşteriye veri sahiplerine karşı yükümlülüklerini
yerine getirme araçları sağlamalıdır.
B.8.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
Hedef:
Süreçlerin ve sistemlerin, kişisel verilerin toplanması ve işlenmesi (kullanım, ifşa etme, tutma, aktarma
ve yok etme dâhil) tanımlanmış amaç için gerekli olanla sınırlandırılacak şekilde tasarlanmasını
sağlamak.
B.8.4.1 Geçici dosyalar Kontrol
Kuruluş, kişisel verilerin işlenmesi sonunda oluşan geçici
dosyaların belirli, dokümante edilmiş bir sürede, dokümante
edilmiş prosedürlere göre yok edilmesini (silinmesi veya imha
edilmesi) sağlamalıdır.
iadesi, aktarımı ve
Kuruluş, kişisel verilerin güvenli bir şekilde iadesini, aktarımını
yok edilmesi
ve/veya yok edilmesini sağlamalıdır.
Kuruluş, kişisel verilerin güvenli bir şekilde iadesi, aktarılması
ve/veya yok edilmesine ilişkin politikasını müşterisine
iletmelidir.
B.8.4.3 Kişisel veri aktarım Kontrol
kontrolleri
Kuruluş, bir veri aktarım ağı üzerinden aktarılan kişisel veriye
istenilen hedefe ulaşmasını sağlamak için tasarlanmış uygun
kontroller uygulamalıdır.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
B.8.5 Kişisel verileri paylaşma, aktarma ve ifşa etme

Hedef:
Kişisel verilerin paylaşılıp paylaşılmadığını, diğer yetki alanlarına veya üçüncü taraflara aktarılıp
dokümante etmek.
B.8.5.1 Yetki alanları arası Kontrol
kişisel veri
Kuruluş, yetki alanları arasındaki kişisel veri aktarımının
aktarımına ilişkin
dayanağı ve bu dayanakta yapılması planlanan değişiklikler
dayanak
hakkında müşteriyi zamanında bilgilendirmeli, bu şekilde
müşterinin değişikliklere itiraz edebilmesini veya sözleşmeyi
feshedebilmesini sağlamalıdır.
aktarılabileceği
Kuruluş, kişisel verinin aktarılabileceği ülke veya uluslararası
ülkeler ve
kuruluşları belirlemeli ve dokümante etmelidir.
uluslararası
kuruluşlar
B.8.5.3 Üçüncü taraflara Kontrol
yapılan kişisel veri
Kuruluş, üçüncü taraflara yaptığı kişisel veri ifşalarının, hangi
ifşalarının kayıtları
kişisel verinin kime, ne zaman ifşa edildiği bilgileri ile birlikte
kaydını tutmalıdır.
B.8.5.4 Kişisel veri ifşa Kontrol
taleplerinin
Kuruluş, yasal olarak bağlayıcı olan kişisel verilerin ifşa
bildirimi
edilmesi taleplerini müşterisine bildirmelidir.
B.8.5.5 Yasal olarak Kontrol
bağlayıcı kişisel veri
Kuruluş, yasal olarak bağlayıcılığı olmayan bütün kişisel veri
ifşaları
ifşalarını reddetmeli, herhangi bir kişisel veriyi ifşa etmeden ve
ilgili müşteri tarafından izin verilmiş kişisel veri ifşaları için
sözleşmeye bağlı olarak kararlaştırılmış bütün talepleri kabul
etmeden önce ilgili müşteriye danışmalıdır.
B.8.5.6 Kişisel veri işleme Kontrol
için kullanılan alt
Kuruluş, veri işleme için kullanacağı tüm alt yüklenicileri veri
yüklenicilerin ifşa
işleme başlamadan önce müşterisine bildirmelidir.
edilmesi
işlenmesi için alt
Kuruluş; verilerin işlenmesi için bir alt yükleniciyi, sadece
yüklenici kullanımı
müşteri sözleşmesine uygun şekilde kullanmalıdır.
B.8.5.8 Kişisel veri işleme Kontrol
için kullanılan alt
Kuruluş, konuyla ilgili yazılı olarak alınmış genel bir izne sahip
yüklenicinin
olduğu durumlarda kişisel veri işleme için kullanılan alt
değiştirilmesi
yüklenicilerin artırılması veya değiştirilmesine yönelik her
türlü değişiklik niyetini müşteriye bildirmeli, bu sayede
müşteriye değişikliklere itiraz etme şansı sağlamalıdır.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Ek C
(bilgi için)
ISO/IEC 29100 ile eşleştirme
Çizelge C.1 ve C.2, bu dokümanın hükümleri ile ISO/IEC 29100’de verilen gizlilik ilkeleri arasında
açıklayıcı bir eşleştirme sunmaktadır. Söz konusu çizelge, bu dokümanın gereklilikleri ve kontrollerinin
ISO/IEC 29100’de verilen gizlilik ilkeleriyle nasıl ilişkilendirilebileceğini göstermektedir.
Çizelge C.1 — Kişisel veri sorumlularına ilişkin kontrollerle ISO/IEC 29100’ün eşleştirilmesi
ISO/IEC 29100’de verilen Kişisel veri sorumluları için ilgili kontroller

gizlilik ilkeleri
1. Rıza ve seçim A.7.2.1 Amacın tanımlanması ve dokümante edilmesi

A.7.2.2 Yasal dayanağın tanımlanması
A.7.2.3 Rızanın ne zaman ve nasıl alınacağının belirlenmesi
A.7.2.4 Rızanın alınması ve kaydedilmesi
A.7.2.5 Gizlilik etki değerlendirmesi
A.7.3.4 Rızanın değiştirilmesi veya geri çekilmesine ilişkin mekanizmanın
sağlanması
A.7.3.5 Veri işlemesine itiraz mekanizmasının sağlanması
A.7.3.7 Veri sorumlularının üçüncü tarafları uyarma yükümlülüğü
2. Amacın meşruiyeti ve A.7.2.1 Amacın tanımlanması ve dokümante edilmesi

açıklaması
A.7.2.2 Yasal dayanağın tanımlanması
A.7.2.5 Gizlilik etki değerlendirmesi
A.7.3.2 Veri sahiplerine verilecek bilginin belirlenmesi
A.7.3.3 Veri sahiplerine bilgi verilmesi
A.7.3.10 Otomatikleştirilmiş karar verme
3. Toplamanın sınırlandırması A.7.2.5 Gizlilik etki değerlendirmesi

A.7.4.1 Toplamanın sınırlandırılması
4. Verilerin en aza indirilmesi A.7.4.2 İşlemenin sınırlandırılması
A.7.4.4 Kişisel verileri en aza indirme hedefleri
A.7.4.5 Kişisel verilerin işleme sonunda anonim hâle getirilmesi ve silinmesi
5. Kullanım, tutma ve ifşa A.7.4.4 Kişisel verileri en aza indirme hedefleri

sınırlandırmaları
A.7.4.5 Kişisel verilerin işleme sonunda anonim hâle getirilmesi ve silinmesi
6. Doğruluk ve nitelik A.7.4.6 Geçici
A.7.4.3 dosyalar
Doğruluk ve nitelik
A.7.4.7 Tutma
7. Açıklık, şeffaflık ve bilgilendirme A.7.3.2 Veri sahiplerine verilecek bilginin belirlenmesi
A.7.4.8 Yok etme
A.7.3.3 Veri sahiplerine bilgi verilmesi
A.7.5.1 Uluslararası kişisel veril aktarımı için esasların belirlenmesi
A.7.5.4 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
ISO/IEC 29100’de verilen Kişisel veri sorumluları için ilgili kontroller

gizlilik ilkeleri
8. Bireysel katılım ve erişim A.7.3.1 Veri sahiplerine karşı yükümlülüklerin belirlenmesi ve yerine
getirilmesi
A.7.3.3 İşlenen kişisel verilerin kopyasının sağlanması
A.7.3.6 Erişim, düzeltme ve/veya silme
A.7.3.8 İşlenen kişisel verilerin kopyasının sağlanması
A.7.3.9 Taleplerin ele alınması
9. Hesap verebilirlik A.7.2.6 Kişisel veri işleyenlerle yapılan sözleşmeler

A.7.2.7 Ortak kişisel veri sorumlusu
A.7.2.8 Kişisel veri işlenmesine ilişkin kayıtlar
A.7.3.9 Taleplerin ele alınması

A.7.5.1 Yetki alanları arası kişisel veri aktarımı için dayanağın
tanımlanması
A.7.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar
A.7.5.3 Kişisel veri aktarımının kayıtları
10. Bilgi Güvenliği A.7.2.6 Kişisel veri işleyenlerle yapılan sözleşmeler

A.7.4.9 Kişisel veri aktarım kontrolleri
11. Gizlilik uygunluğu A.7.2.5 Gizlilik etki değerlendirmesi
Çizelge C.2 — Kişisel veri işleyenlere ilişkin kontrollerle ISO/IEC 29100’ün eşleştirilmesi
ISO/IEC 29100’de verilen gizlilik Kişisel veri işleyenler için ilgili kontroller
ilkeleri
1. Rıza ve seçim B.8.2.5 Müşteri yükümlülükleri
2. Amacın meşruiyeti ve açıklaması B.8.2.1 Müşteri anlaşması
B.8.2.2 Kuruluşun amaçları
B.8.2.3 Pazarlama ve reklam kullanımı
B.8.2.4 İhlale sebep olan talimatlar
B.8.3.1 Veri sahiplerine karşı yükümlülükler
3. Toplamanın sınırlandırılması —
4. Verilerin en aza indirilmesi B.8.4.1 Geçici dosyalar

5. Kullanım, tutma ve ifşa B.8.5.3 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları
sınırlandırmaları B.8.5.4 Kişisel veri ifşa taleplerinin bildirimi
B.8.5.5 Yasal olarak bağlayıcı kişisel veri ifşaları
6. Doğruluk ve nitelik —

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
ISO/IEC 29100’de verilen gizlilik Kişisel veri işleyenler için ilgili kontroller
ilkeleri
7. Açıklık, şeffaflık ve bilgilendirme B.8.5.6 Kişisel veri işleme için kullanılan alt yüklenicilerin ifşa
edilmesi
B.8.5.7 Kişisel verilerin işlenmesi için alt yüklenici kullanımı
B.8.5.8 Kişisel veri işleme için kullanılan alt yüklenicinin
değiştirilmesi
8. Bireysel katılım ve erişim B.8.3.1 Veri sahiplerine karşı yükümlülükler
9. Hesap verebilirlik B.8.2.6 Kişisel verilerin işlenmesine ilişkin kayıtlar

B.8.4.2 Kişisel verilerin iadesi, aktarımı ve yok edilmesi
B.8.5.1 Yetki alanları arası kişisel veri aktarımına ilişkin dayanak
B.8.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası
kuruluşlar
10. Bilgi güvenliği B.8.4.3 Kişisel veri aktarım kontrolleri
11. Gizlilik uygunluğu B.8.2.5 Müşteri yükümlülükleri

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Ek D
(bilgi için)
Genel Veri Koruma Tüzüğü ile Eşleştirme
Bu ek, bu dokümanın hükümleri ile Avrupa Birliği Genel Veri Koruma Tüzüğü, Madde 5 ila 49’da (Madde
43 hariç) verilen hükümler arasında açıklayıcı bir eşleştirme sunmaktadır. Ek D, bu dokümanın
gerekliliklerine ve kontrollerine uygunluğun, GDPR'nin yükümlülüklerinin karşılanmasıyla ne derece
ilişkilendirilebileceğini göstermektedir.
Ancak bu ekte verilenler tamamen açıklayıcı niteliktedir ve bu doküman uyarınca, tabi olduğu yasal
yükümlülükleri değerlendirmek ve bunlara nasıl uyacağına karar vermek kuruluşun sorumluluğundadır.
Çizelge D.1 —ISO/IEC 27701 yapısı ile GDPR maddeleri
arasında eşleştirme
Bu dokümanın alt GDPR maddesi
maddesi
5.2.1 (24)(3), (25)(3), (28)(5), (28)(6), (28)(10), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)
(c), (40)(2)(d), (40)(2)(e), (40)(2)(f ), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)
(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1),
(41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)
(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
5.2.2 (31), (35)(9), (36)(1), (36)(2), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e),
(36)(3)(f ), (36)(5)
5.2.3 (32)(2)
5.2.4 (32)(2)
5.4.1.2 (32)(1)(b), (32)(2)
5.4.1.3 (32)(1)(b), (32)(2)
6.2.1.1 (24)(2)
6.3.1.1 (27)(1), (27)(2)(a), (27)(2)(b), (27)(3), (27)(4), (27)(5), (37)(1)(a), (37)(1)(b), (37)(1)(c),
(37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)
(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
6.3.2.1 (5)(1)(f )
6.4.2.2 (39)(1)(b)
6.5.2.1 (5)(1)(f ), (32)(2)
6.5.2.2 (5)(1)(f )
6.5.3.1 (5)(1)(f ), (32)(1)(a)
6.5.3.2 (5)(1)(f )
6.5.3.3 (5)(1)(f ), (32)(1)(a)
6.6.2.1 (5)(1)(f )
6.6.2.2 (5)(1)(f )
6.6.4.2 (5)(1)(f )
6.7.1.1 (32)(1)(a)
6.8.2.7 (5)(1)(f )
6.8.2.9 (5)(1)(f )
6.9.3.1 (5)(1)(f ), (32)(1)(c)
6.9.4.1 (5)(1)(f )
6.9.4.2 (5)(1)(f )

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019

maddesi
6.10.2.1 (5)(1)(f )
6.10.2.4 (5)(1)(f ), (28)(3)(b), (38)(5)
6.11.1.2 (5)(1)(f ), (32)(1)(a)
6.11.2.1 (25)(1)
6.11.2.5 (25)(1)
6.11.3.1 (5)(1)(f )
6.12.1.2 (5)(1)(f ), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f ), (28)
(3)(g), (28)(3)(h), (30)(2)(d), (32)(1)(b)
6.13.1.1 (5)(1)(f ), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1),
(34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
6.13.1.5 (33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1),
(34)(2)
6.15.1.1 (5)(1)(f ), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f ), (28)
(3)(g), (28)(3)(h), (30)(2)(d), (32)(1)(b)
6.15.1.3 (5)(2), (24)(2)
6.15.2.1 (32)(1)(d), (32)(2)
6.15.2.3 (32)(1)(d), (32)(2)
7.2.1 (5)(1)(b), (32)(4)
7.2.2 (10), (5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f ), (6)(2), (6)(3), (6)
(4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d),
(9)(2)(e), (9)(2)(f ), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (17)(3)(a), (17)(3)
(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
7.2.3 (8)(1), (8)(2)
7.2.4 (7)(1), (7)(2), (9)(2)(a)
7.2.5 (35)(1), (35)(2), (35)(3)(a), (35)(3)(b), (35)(3)(c), (35)(4), (35)(5), (35)(7)(a), (35)(7)(b),
(35)(7)(c), (35)(7)(d), (35)(8), (35)(9), (35)(10), (35)(11), (36)(1), (36)(3)(a), (36)(3)(b),
(36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f ), (36)(5)
7.2.6 (5)(2), (28)(3)(e), (28)(9)
7.2.7 (26)(1), (26)(2), (26)(3)
7.2.8 (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(f ), (30)(1)(g), (30)(3),
(30)(4), (30)(5)
7.3.1 (12)(2)
7.3.2 (11)(2), (13)(3), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f ), (13)(2)
(c), (13)(2)(d), (13)(2)(e), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e),
(14)(1)(f ), (14)(2)(b), (14)(2)(e), (14)(2)(f ), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)
(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)
(1)(e), (15)(1)(f ), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
7.3.3 (11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
7.3.4 (7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
7.3.5 (13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
7.3.6 (5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)
(e), (17)(1)(f ), (17)(2)
7.3.7 (19)
7.3.8 (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
7.3.9 (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f ), (15)(1)(g), (15)(1)(h),
(12)(3), (12)(4), (12)(5), (12)(6)
7.3.10 (13)(2)(f ), (14)(2)(g), (22)(1), (22)(3)
7.4.1 (5)(1)(b), (5)(1)(c)

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019

maddesi
7.4.2 (25)(2)
7.4.3 (5)(1)(d)
7.4.4 (5)(1)(c), (5)(1)(e)
7.4.5 (5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
7.4.6 (5)(1)(c)
7.4.7 (13)(2)(a), (14)(2)(a)
7.4.8 (5)(1)(f )
7.4.9 (5)(1)(f )
7.5.1 (15)(2), (44), (45)(1), (45)(2)(a), (45)(2)(b), (45)(2)(c), (45)(3), (45)(4), (45)(5), (45)(6),
(45)(7), (45)(8), (45)(9), (46)(1), (46)(2)(a), (46)(2)(b), (46)(2)(c), (46)(2)(d), (46)(2)(e),
(46)(2)(f ), (46)(3)(a), (46)(3)(b), (46)(4), (46)(5), (47)(1)(a), (47)(1)(b), (47)(1)(c), (47)(2)
(a), (47)(2)(b), (47)(2)(c), (47)(2)(d), (47)(2)(e), (47)(2)(f ), (47)(2)(g), (47)(2)(h), (47)(2)
(i), (47)(2)(j), (47)(2)(k), (47)(2)(l), (47)(2)(m), (47)(2)(n), (47)(3), (49)(1)(a), (49)(1)(b),
(49)(1)(c), (49)(1)(d), (49)(1)(e), (49)(1)(f ), (49)(1)(g), (49)(2), (49)(3), (49)(4), (49)(5),
(49)(6), (30)(1)(e), (48)
7.5.2 (15)(2), (30)(1)(e)
7.5.3 (30)(1)(e)
7.5.4 (30)(1)(d)
8.2.1 (28)(3)(f ), (28)(3)(e), (28)(9), (35)(1)
8.2.2 (5)(1)(a), (5)(1)(b), (28)(3)(a), (29), (32)(4)
8.2.3 (7)(4)
8.2.4 (28)(3)(h)
8.2.5 (28)(3)(h)
8.2.6 (30)(3), (30)(4), (30)(5), (30)(2)(a), (30)(2)(b)
8.3.1 (15)(3), (17)(2), (28)(3)(e)
8.4.1 (5)(1)(c)
8.4.2 (28)(3)(g), (30)(1)(f )
8.4.3 (5)(1)(f )
8.5.1 (44), (46)(1), (46)(2)(a), (46)(2)(b), (46)(2)(c), (46)(2)(d), (46)(2)(e), (46)(2)(f ), (46)(3)(a),
(46)(3)(b), (48), (49)(1)(a), (49)(1)(b), (49)(1)(c), (49)(1)(d), (49)(1)(e), (49)(1)(f ), (49)(1)
(g), (49)(2), (49)(3), (49)(4), (49)(5), (49)(6)
8.5.2 (30)(2)(c)
8.5.3 (30)(1)(d)
8.5.4 (28)(3)(a)
8.5.5 (48)
8.5.6 (28)(2), (28)(4)
8.5.7 (28)(2), (28)(3)(d)
8.5.8 (28)(2)

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Ek E
(bilgi için)
ISO/IEC 27018 ve ISO/IEC 29151 ile Eşleştirme
ISO/IEC 27018, kişisel veri işleyen olarak görev yapan ve genel bulut hizmetleri sağlayan kuruluşlar için
ayrıntılı bilgiler içerir. ISO/IEC 29151, kişisel veri sorumlusu tarafından işlenen kişisel veriler için ek
kontroller ve kılavuz bilgiler sağlar.
Çizelge E.1, bu dokümanın hükümleri ile ISO/IEC 27018 ve ISO/IEC 29151’de verilen hükümler
arasında açıklayıcı bir eşleştirme sunmaktadır. Söz konusu çizelge, bu dokümanın gereklilikleri ve
kontrollerinin ISO/IEC 27018 ve/veya ISO/IEC 29151 hükümleri ile nasıl ilişkilendirilebileceğini
göstermektedir.
Verilen çizelge tamamen açıklayıcı niteliktedir, dolayısıyla hükümler arasında yapılan eşleştirmenin bir
denklik olarak yorumlanmaması gerekir.
Çizelge E.1 —ISO/IEC 27701 ile ISO/IEC 27018 ve ISO/IEC 29151 arasında
Eşleştirme
Bu dokümanın alt ISO/IEC 27018’in alt ISO/IEC 29151’in alt
maddesi maddesi maddesi
5.2 — —
5.3 — —
5.4 — 4.2
5.5 — 7.2.3
5.6 — —
5.7 — —
5.8 — —
6.1 — —
6.2 5.1.1 5
6.3 6.1.1 —
6.4 7.2.2 —
6.5.1 — 8.1
6.5.2 — 8.2
6.5.3 A.11.4, A.11.5 8.3
6.6.1 — —
6.6.2 9.2.1, A.11.8, A,11,9, A.11.10 9.2
6.6.3 — 9.3
6.6.4 7.2.2, 9.4.2 9.4
6.7 10.1.1 —
6.8.1 — 11.1
6.8.2 11.2.7, A.11.2, A.11.13 —
6.9.1 — 12.1
6.9.2 — 12.2
6.9.3 — 12.3
6.9.4 12.4.1, 12.4.2 12.4

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
6.9.5 — —
6.9.6 — —
6.9.7 — —
6.10.1 — 13.1
6.10.2 13.2.1, A.11.1 13.2
6.11.1 A.11.6 —
6.11.2 — —
6.11.3 12.1.4 —
6.12.1 A.11.11 —
6.12.2 — —
6.13 16.1.1, A.10.1 —
6.14 — —
6.15.1 A.10.2 —
6.15.2 18.2.1 18.2
7.2.1 — A.4
7.2.2 — A.4.1
7.2.3 — —
7.2.4 — A.3.1
7.2.5 — A.11.2
7.2.6 — A.11.3
7.2.7 — —
7.2.8 — —
7.3.1 — A.10
7.3.2 — —
7.3.3 — A.9
7.3.4 — —
7.3.5 — —
7.3.6 — A.10.1
7.3.7 — —
7.3.8 — —
7.3.9 — —
7.3.10 — —
7.4.1 — A.5
7.4.2 — —
7.4.3 — A.8
7.4.4 — —
7.4.5 — A.7.1
7.4.6 — A.7.2
7.4.7 — A.7.1
7.4.8 — —
7.4.9 — —
7.5.1 — A.13.2
7.5.2 — A.13.2
7.5.3 — A.13.2
7.5.4 — A.7.4
8.2.1 — —
ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
8.2.2 A.3.1 —
8.2.3 A.3.2 —
8.2.4 — —
8.2.5 — —
8.2.6 — —
8.3.1 A.2.1 —
8.4.1 A.5.1 —
8.4.2 A.10.3 —
8.4.3 A.12.2 —
8.5.1 — —
8.5.2 A.12.1 —
8.5.3 A.6.2 —
8.5.4 A.6.1 —
8.5.5 A.6.1 —
8.5.6 A.8.1 A.7.5
8.5.7 A.8.1 —
8.5.8 A.8.1 —

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Ek F
(bilgi için)
ISO/IEC 27701’in ISO/IEC 27001 ve ISO/IEC 27002’ye uygulanma şekli
F.1 Bu dokümanın uygulanma şekli

Bu doküman ISO/IEC 27001:2013 ve ISO/IEC 27002:2013'ü esas almakta ve bu standartların
gerekliliklerini ve içerdiği kılavuz bilgileri, bilgi güvenliğine ek olarak, kişisel verinin işlenmesinden
potansiyel olarak etkilenen kişisel veri sahiplerinin gizliliğinin korunmasını dikkate alacak şekilde
genişletmektedir. Buna göre ISO/IEC 27001 veya ISO/IEC 27002'de "bilgi güvenliği" teriminin
kullanıldığı yerler için artık "bilgi güvenliği ve gizlilik" geçerlidir.
Çizelge F.1 bilgi güvenliği teriminin ve uzantılarının bu dokümana uygulanması için eşleştirilmesini
vermektedir.
Çizelge F.1 — Bilgi güvenliği teriminin gizlilik ile genişletilmesinin eşleştirilmesi
ISO/IEC 27001 Bu doküman (genişletme)
bilgi güvenliği bilgi güvenliği ve gizlilik
bilgi güvenliği politikası bilgi güvenliği ve gizlilik politikası
bilgi güvenliği yönetimi bilgi güvenliği ve kişisel veri yönetimi
bilgi güvenliği yönetim sistemi (BGYS) kişisel veri yönetim sistemi (KVYS)
bilgi güvenliği hedefleri bilgi güvenliği ve gizlilik hedefleri
bilgi güvenliği performansı bilgi güvenliği ve gizlilik performansı
bilgi güvenliği gereklilikleri bilgi güvenliği ve gizlilik gereklilikleri
risk bilgi güvenliği riski bilgi güvenliği ve gizlilik riski
bilgi güvenliği risk değerlendirmesi bilgi güvenliği ve gizlilik riski değerlendirmesi
bilgi güvenliği risk işleme bilgi güvenliği ve gizlilik riski işleme
Temel olarak, kişisel veriler işlenirken kişisel veri sahiplerinin gizliliğinin korunmasında bu dokümanın
uygulanması için üç durum vardır:
1) Güvenlik standartlarının mevcut hâliyle uygulanması: Atıfta bulunulan standartlar, yukarıda
listelenen terimlerin uzatılmış biçimleriyle birlikte olduğu gibi geçerlidir. Bu nedenle, atıfta
bulunulan standart tekrarlanmaz, sadece ilgili maddelerde atıfta bulunulur.
2) Güvenlik standartlarına eklemeler yapılması: Atıfta bulunulan standartlar, gizliliğe özgü ek
gereklilikler veya uygulama kılavuz bilgileri ile birlikte geçerlidir.
3) Güvenlik standartlarının iyileştirilmesi: Atıfta bulunulan standartlar, gizliliğe özgü gereklilikler veya
uygulama kılavuz bilgileriyle geliştirilir.
F.2 Güvenlik standartlarının geliştirilmesine örnek

Bu madde, 5.4.1.2’nin ISO/IEC 27001:2013, 6.1.2’ye nasıl uygulandığını açıklar.
Kişisel veri işlenirken kişisel veri sahiplerinin gizliliğinin korunmasının dikkate alındığı durumlarda
ISO/IEC 27001:2013, 6.1.2 aşağıda verilmiş altı çizili metinle tadil edilmelidir.

ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
6.1.2 Bilgi güvenliği risk değerlendirmesi

Kuruluş, aşağıdakileri yapan bir bilgi güvenliği ve gizlilik riski değerlendirme süreci tanımlamalı ve
uygulamalıdır:
a) aşağıdakileri içeren bilgi güvenliği ve gizlilik riski kriterleri oluşturur ve sürdürür:
1) risk kabul kriterleri; ve
2) bilgi güvenliği ve gizlilik riski değerlendirmelerini yapma kriterleri;
b) tekrarlanan bilgi güvenliği ve gizlilik riski değerlendirmelerinin tutarlı, geçerli ve karşılaştırılabilir
sonuçlar üretmesini sağlar;
c) bilgi güvenliği ve gizlilik risklerini tanımlar:
1) bilgi güvenliği ve gizlilik bilgi yönetim sistemi kapsamındaki bilgilerin gizliliği, bütünlüğü ve
kullanılabilirliği ile ilgili riskleri belirlemek için bilgi güvenliği ve gizlilik riski değerlendirme
sürecini uygulamak; ve
2) risk sahiplerini tanımlamak;
d) bilgi güvenliği ve gizlilik risklerini analiz eder;
1) 6.1.2 c)'de tanımlanan risklerin gerçekleşmesi durumunda ortaya çıkabilecek potansiyel
sonuçları değerlendirmek;
2) 6.1.2 c) 1)'de tanımlanan risklerin gerçekleşme olasılığının gerçekçi olup olmadığını
değerlendirmek ve
3) risk seviyelerini belirlemek;
e) bilgi güvenliği ve gizlilik risklerini değerlendirir:
1) risk analizi sonuçlarını 6.1.2 a)'da belirlenen risk kriterleriyle karşılaştırır ve
2) risk tedavisi için analiz edilen riskleri önceliklendirin.
Kuruluş, bilgi güvenliği ve gizlilik riski değerlendirme süreci hakkında dokümante edilmiş bilgileri
muhafaza etmelidir.

TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
Kaynaklar
[1] ISO/IEC 19944, Information technology — Cloud computing — Cloud services and devices: Data
flow, data categories and data use
[2] ISO/IEC 20889, Privacy enhancing data de-identification terminology and classification of
techniques
[3] ISO/IEC 27005, Information technology — Security techniques — Information security risk
management
[4] ISO/IEC 27018, Information technology — Security techniques — Code of practice for protection of
personally identifiable information (PII) in public clouds acting as PII processors
[5] ISO/IEC 27035-1, Information technology — Security techniques — Information security incident
management — Part 1: Principles of incident management
[6] ISO/IEC 29101, Information technology — Security techniques — Privacy architecture framework
[7] ISO/IEC 29134, Information technology — Security techniques — Guidelines for privacy impact
assessment
[8] ISO/IEC 29151, Information technology — Security techniques — Code of practice for personally
identifiable information protection
[9] ISO/IEC/DIS 29184, Information technology — Security techniques — Guidelines for online privacy
notices and consent


DS-156 TS - Iso - Iec - 27701

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

DS-156 TS - Iso - Iec - 27701

Uploaded by

Copyright:

Available Formats

TÜRK

Güvenlik teknikleri — Kişisel verilerin

Security techniques — Extension to ISO/IEC 27001 and ISO/IEC

TELİF HAKKI KORUMALI DOKÜMAN

TSE Standard Hazırlama Merkezi Başkanlığı

Tel: + 90 312 416 68 30

EN, ISO, IEC Adı

© TSE - Tüm hakları saklıdır.

Güvenlik teknikleri — Kişisel verilerin

Security techniques — Extension to ISO/IEC 27001 and ISO/IEC

TELİF HAKLARI KORUMALI DOKÜMAN

ii © TSE - Tüm hakları saklıdır.

© TSE - Tüm hakları saklıdır. iii

5.6.2 Bilgi güvenliği risk değerlendirme ........................................................................................................... 7

iv © TSE - Tüm hakları saklıdır.

6.9.1 İşletim prosedürleri ve sorumlulukları ............................................................................................... 14

© TSE - Tüm hakları saklıdır. v

7.2.8 Kişisel veri işlenmesine ilişkin kayıtlar............................................................................................... 28

vi © TSE - Tüm hakları saklıdır.

8.2.6 Kişisel verilerin işlenmesine ilişkin kayıtlar ..................................................................................... 38

© TSE - Tüm hakları saklıdır. vii

viii © TSE - Tüm hakları saklıdır.

© TSE - Tüm hakları saklıdır. ix

Güvenlik teknikleri — Kişisel verilerin yönetimi için

3 Terimler, tanımlar ve kısaltmalar

© TSE - Tüm hakları saklıdır. 1

2 © TSE - Tüm hakları saklıdır.

Çizelge 1 — ISO/IEC 27001:2013’te verilen kontrollerin uygulanması için KVYS’ye özgü

8 Varlık yönetimi 6.5 Ek kılavuz bilgiler

9 Erişim kontrolü 6.6 Ek kılavuz bilgiler

10 Kriptografi 6.7 Ek kılavuz bilgiler

11 Fiziksel ve çevresel 6.8 Ek kılavuz bilgiler

13 Haberleşme güvenliği 6.10 Ek kılavuz bilgiler

14 Sistem edinimi, geliştirme 6.11 Ek kılavuz bilgiler

16 Bilgi güvenliği ihlal olayı 6.13 Ek kılavuz bilgiler

© TSE - Tüm hakları saklıdır. 3

5 ISO/IEC 27001 ile ilgili KVYS'ye özgü gereklilikler

4 © TSE - Tüm hakları saklıdır.

5.2.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması

© TSE - Tüm hakları saklıdır. 5

6 © TSE - Tüm hakları saklıdır.

5.5.5 Dokümante Edilmiş Bilgiler

6 ISO 27002 ile ilgili KVYS'ye özel kılavuz bilgiler

© TSE - Tüm hakları saklıdır. 7

6.2 Bilgi güvenliği politikaları

8 © TSE - Tüm hakları saklıdır.

6.3.1.2 Görevler ayrılığı

© TSE - Tüm hakları saklıdır. 9

6.4.3 İstihdamın sonlandırılması ve değiştirilmesi

ISO/IEC 27001:2013, 8.3.1 Taşınabilir ortam yönetimi maddesi için ek bilgilendirme:

12 © TSE - Tüm hakları saklıdır.

© TSE - Tüm hakları saklıdır. 13

14 © TSE - Tüm hakları saklıdır.

6.9.1.2 Değişiklik yönetimi

© TSE - Tüm hakları saklıdır. 15

16 © TSE - Tüm hakları saklıdır.

6.9.6 Teknik açıklık yönetimi

© TSE - Tüm hakları saklıdır. 17

6.11 Sistem temini, geliştirme ve bakımı

18 © TSE - Tüm hakları saklıdır.

6.11.2.3 İşletim platformu değişikliklerinden sonra uygulamaların teknik açıdan gözden

© TSE - Tüm hakları saklıdır. 19

6.12 Tedarikçi ilişkileri