Professional Documents
Culture Documents
STANDARDLARI
ENSTİTÜSÜ Türk Standardı
TS ISO/IEC 27701
Aralık 2019
ICS 35.030
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iSTANBUL ATLAS ÜNiVERSiTESi'A VERiLMiSTiR. BASILMA TARiHi: 19.02.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
© TSE 2020
Tüm hakları saklıdır. Aksi belirtilmedikçe bu yayının herhangi bir bölümü veya tamamı, TSE'nin yazılı izni olmaksızın
fotokopi ve mikrofilm dâhil, elektronik ya da mekanik herhangi bir yolla çoğaltılamaz ya da kopyalanamaz.
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iSTANBUL ATLAS ÜNiVERSiTESi'A VERiLMiSTiR. BASILMA TARiHi: 19.02.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Millî önsöz
Bu standart kaynağı ISO/IEC 27701:2019 standardı olan TS ISO/IEC 27701:2019 Türk standardının
Bilişim İhtisas Kuruluna bağlı TK01 Bilişim Teknik Komitesi tarafından hazırlanan Türkçe tercümesidir.
ISO/ IEC resmî dillerinde yayımlanan diğer standart metinleri ile aynı geçerliliğe sahiptir.
Bu standartta kullanılan bazı kelime veya ifadeler patent haklarına konu olabilir. Böyle bir patent
hakkının belirlenmesi durumunda TSE sorumlu tutulamaz.
Bu standartta atıf yapılan standartların milli karşılıkları aşağıda belirtilmiştir.
Birinci baskı
2019-08
Referans numarası
ISO/IEC 27701:2019(E)
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iSTANBUL ATLAS ÜNiVERSiTESi'A VERiLMiSTiR. BASILMA TARiHi: 19.02.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
TS ISO/IEC 27701:2019 ISO/IEC 27701:2019
İçindekiler
Sayfa
Önsöz ............................................................................................................................................................................ viii
Giriş .............................................................................................................................................................................. ix
1 Kapsam ................................................................................................................................................................1
2 Bağlayıcı atıflar ................................................................................................................................................1
3 Terimler, tanımlar ve kısaltmalar .............................................................................................................1
4 Genel.....................................................................................................................................................................2
Bu dokümanın yapısı......................................................................................................................................2
ISO/IEC 27001:2013 gerekliliklerinin uygulanması ..........................................................................2
ISO/IEC 27002:2013 gerekliliklerinin uygulanması ..........................................................................3
Müşteri ................................................................................................................................................................4
5 ISO/IEC 27001 ile ilgili KVYS'ye özgü gereklilikler .............................................................................4
Genel ..................................................................................................................................................................4
Kuruluşun bağlamı..........................................................................................................................................4
5.2.1 Kuruluşu ve bağlamını anlama ...................................................................................................................4
5.2.2 İlgili tarafların ihtiyaç ve beklentilerinin anlaşılması .......................................................................5
5.2.3 Bilgi güvenliği yönetim sisteminin kapsamının belirlenmesi ........................................................5
5.2.4 Bilgi güvenliği yönetim sistemi ..................................................................................................................5
Liderlik ................................................................................................................................................................5
5.3.1 Liderlik ve bağlılık ..........................................................................................................................................5
5.3.2 Politika ....................................................................................................................................................5
5.3.3 Kurumsal roller, sorumluluklar ve yetkiler ..........................................................................................5
Planlama .............................................................................................................................................................5
5.4.1 Risk ve fırsatları ele alma faaliyetleri ......................................................................................................5
5.4.2 Bilgi güvenliği hedefleri ve bu hedefleri başarmak için planlama ................................................6
Destek ..................................................................................................................................................................6
5.5.1 Kaynaklar ....................................................................................................................................................6
5.5.2 Yetkinlik ....................................................................................................................................................6
5.5.3 Farkındalık ....................................................................................................................................................6
5.5.4 İletişim ....................................................................................................................................................6
5.5.5 Dokümante Edilmiş Bilgiler.........................................................................................................................7
İşletim ..................................................................................................................................................................7
5.6.1 İşletimsel planlama ve kontrol ...................................................................................................................7
Önsöz
ISO (Uluslararası Standartlar Örgütü) ve IEC (Uluslararası Elektroteknik Komisyonu) dünya çapında
standardizasyon alanında uzmanlaşmış bir sistem oluşturur. ISO veya IEC’ye üye olan ulusal kuruluşlar
Uluslararası Standartların geliştirilmesine, ilgili kuruluşlar tarafından teknik etkinliklerin belirli
alanlarında faaliyet göstermek üzere kurulan teknik komiteler yoluyla katılır. ISO ve IEC teknik
komiteleri ortak çıkar alanlarında işbirliğine gider. ISO ile işbirliği içindeki diğer resmî ya da sivil
uluslararası kuruluşlar da çalışmalarda yer alabilir.
Bu dokümanın geliştirilmesi için kullanılan prosedürler ile dokümanın ileride sürdürülebilmesi için
tasarlanmış prosedürler ISO/IEC Direktifleri Bölüm 1’de açıklanmıştır. Özellikle dokümanların farklı
türleri için gerekli olan onay kriterlerine dikkat edilmelidir. Bu doküman ISO/IEC Direktifleri Bölüm 2
yazım kurallarına uygun olarak hazırlanmıştır (bk. www.iso.org/directives).
Bu dokümanın bazı unsurlarının patent haklarının konusu olabileceği olasılığına dikkat edilmelidir.
Böyle bir patent hakkının belirlenmesi durumunda ISO ve IEC sorumlu tutulamaz. Dokümanın
geliştirilmesi sırasında belirlenen patent haklarıyla ilgili detaylara giriş kısmından ve/veya ISO’nun
patent duyuruları listesinden (bk. www.iso.org/patents) veya IEC’nin patent duyuruları listesinden (bk.
http://patents.iec.ch) ulaşılabilir.
Bu dokümanda kullanılan tüm ticari isimler kullanıcıların kolaylığı açısından bilgi amaçlı verilmiştir ve
bir onay anlamına gelmemektedir.
Standartların gönüllülüğü esas alan doğasına, uygunluk değerlendirmesiyle ilgili ISO’ya özgü terimlerin
ve ifadelerin anlamlarına dair açıklama için ve ayrıca ISO’nun, Dünya Ticaret Örgütü (WTO) Ticarette
Teknik Engeller Anlaşması’na (TBT) olan bağlılığı hakkında bilgi için İnternet sitesine bakınız:
www.iso.org/iso/foreword.html.
Bu doküman; ISO/IEC JTC 1, Bilgi teknolojileri Ortak Teknik Komitesi , SC 27 , Güvenlik teknikleri alt
komitesi tarafından hazırlanmıştır.
Bu dokümanla ilgili her türlü geri bildirim veya sorunun, kullanıcının bulunduğu ülkedeki ulusal standart
kuruluşuna yönlendirilmesi tavsiye edilir. Bu kuruluşların tam listesine www.iso.org/members.html
bağlantısından ulaşılabilir.
Giriş
0.1 Genel
Bugün neredeyse her kuruluş, kişisel veri (kişiyi tanımlamaya yarayan bilgi) işlemektedir. Üstelik,
işlenen kişisel verinin miktarı ve tipi, bir kuruluşun kişisel veri işlenmesine ilişkin başka kuruluşlarla
işbirliğine gitme ihtiyacı duyduğu durumların sayısıyla birlikte artmaya devam etmektedir. Kişisel
verinin işlenmesi bağlamında gizliliğin korunması toplumsal bir ihtiyaç olduğu kadar, tüm dünyada
konuya özel yasalar ve/veya düzenlemelere de konu olmaktadır.
ISO/IEC 27001’de tanımlanan Bilgi Güvenliği Yönetim Sistemi (BGYS), yeni bir Yönetim Sistemi
geliştirme ihtiyacı olmaksızın, sektöre özel gereklilikler eklenmesine olanak sağlayacak şekilde
tasarlanmıştır. Sektöre özel olanlar dâhil ISO Yönetim Sistemi standartları, ayrı ayrı veya birleşik bir
Yönetim Sistemi olarak uygulanabilecek şekilde tasarlanmıştır.
Kişisel verinin korunmasına ilişkin gereklilikler ve kılavuz bilgiler, özellikle ulusal yasalar ve/veya
düzenlemelerin mevcut olduğu yerlerde, kuruluş bağlamına göre değişkenlik gösterir. ISO/IEC 27001
bu bağlamın anlaşılmasını ve dikkate alınmasını gerekli kılar. Bu doküman aşağıdakiler arasında yapılan
eşleştirmeleri içerir:
ISO/IEC 29100’de tanımlanmış gizlilik çerçevesi ve ilkeler;
ISO/IEC 27018;
ISO/IEC 29151 ve
AB Genel Veri Koruma Düzenlemesi.
Ancak bu dokümanların yerel yasalar ve/veya düzenlemeler dikkate alınacak şekilde yorumlanması
gerekebilir.
Bu doküman kişisel veri sorumluları (ortak kişisel veri sorumlusu olanlar dâhil) veya kişisel veri
işleyenler (kişisel veri işleyenleri alt yüklenici olarak çalıştıranlar ve kişisel veri işleyenler için alt
yüklenici olarak kişisel veri işleyenler dâhil) tarafından kullanılabilir.
Bu dokümanda verilen gereklilikleri sağlayan bir kuruluş, kişisel veri işleme sürecini nasıl yürüttüğüne
dair dokümanlı bir kanıt elde etmiş olur. Bu tip bir kanıt, iş ortaklarıyla yapılan, iki tarafın da kişisel veri
işlemeyle ilgili olduğu anlaşmaları kolaylaştırmak için kullanılabilir. Bu tip bir kanıt, diğer
paydaşlarla olan ilişkilere de yardımcı olabilir. Bu dokümanın ISO/IEC 27001 ile birlikte kullanılması,
arzu edilmesi durumunda, bu kanıt için bağımsız bir doğrulama sağlayabilir.
Bu doküman başlangıçta ISO/IEC 27552 adıyla hazırlanmıştır.
0.2 Diğer yönetim sistemi standartları ile uyumluluk
Bu doküman ISO’nun Yönetim Sistemi Standartları arasındaki uyumu iyileştirmek amacıyla ISO
tarafından geliştirilmiş olan çerçeveyi uygular.
Bu doküman bir kuruluşun kendi Kişisel Veri Yönetim Sistemi’ni (KVYS), diğer Yönetim Sistemi
standartlarının gereklilikleriyle uyumlulaştırmasına veya entegre etmesine yardımcı olur.
1 Kapsam
Bu doküman; kuruluş bağlamındaki gizlilik yönetimi için ISO/IEC 27001 ve ISO/IEC 27002’nin bir
eklentisi olacak şekilde Kişisel Veri Yönetim Sistemi (KVYS) oluşturulması, uygulanması, sürdürülmesi ve
sürekli olarak iyileştirilmesine ilişkin gereklilikleri kapsar ve kılavuz bilgiler sunar.
Bu doküman; KVYS ile ilgili gereklilikleri belirtirken, kişisel veri işlenmesine ilişkin sorumluluğu ve
hesap verebilirliği olan kişisel veri sorumluları ve kişisel veri işleyenlere de kılavuz bilgiler verir.
Bu doküman; bir BGYS bünyesinde kişisel veri sorumlusu ol an ve/veya kişisel verileri, kişisel veri
işleyen sıfatıyla işleyen kamu şirketleri ve özel şirketler, devlet oluşumları, kâr amacı gütmeyen
kuruluşlar dâhil, her tipteki ve büyüklükteki kuruluş için geçerlidir.
2 Bağlayıcı atıflar
Bu dokümanda aşağıda belirtilen dokümanlara, içeriklerinin tamamı veya bir kısmı bu dokümanın
gerekliliklerini oluşturacak şekilde atıfta bulunulmuştur. Tarihli atıflar için, yalnızca alıntı yapılmış
baskı geçerlidir. Tarihli olmayan atıflar için, atıf yapılan dokümanın son baskısı (tüm tadiller dâhil)
geçerlidir.
ISO/IEC 27000, Information technology — Security techniques — Information security management
systems — Overview and vocabulary
ISO/IEC 27001:2013, Information technology — Security techniques — Information security management
systems — Requirements
ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information
security controls
ISO/IEC 29100, Information technology — Security techniques — Privacy framework
3.2
kişisel veri yönetim sistemi
KVYS
kişisel veri işlenmesinden etkilenmesi muhtemel olan gizliliğin korunması hususunu ele alan bilgi
güvenliği yönetim sistemi
4 Genel
4.1 Bu dokümanın yapısı
Bu doküman, ISO/IEC 27001:2013 ve ISO/IEC 27002:2013 ile ilgili sektöre özgü bir dokümandır.
Bu doküman, KVYS'ye özgü gerekliliklere odaklanmaktadır. Bu dokümana uygunluk, bu gereklilikleri ve
ISO/IEC 27001:2013'teki gereklilikleri esas alır. Bu doküman, bilgi güvenliğine ek olarak, kişisel verinin
işlenmesinden potansiyel olarak etkilenebilecek kişisel veri sahiplerinin gizliliğinin korunmasını dikkate
almak amacıyla ISO/IEC 27001:2013 gerekliliklerini genişletir. Daha iyi anlaşılabilmesi için uygulama
kılavuzu ve gerekliliklerle ilgili ek bilgiler eklenmiştir.
Madde 5, KVYS'ye özgü gereklilikler ile birlikte, kişisel veri sorumlusu ve kişisel veri işleyen olarak görev
yapan bir kuruluşa uygun olan, ISO/IEC 27001'deki bilgi güvenliği gereklilikleriyle ilgili ek bilgiler sunar.
NOT 1 Madde 5, KVYS'ye özgü gereklilikler veya ek bilgilerin olmadığı durumlarda bile, bütünlüğün sağlanması
için ISO/IEC 27001:2013'te gereklilik içeren her bir madde için bir alt madde içerir.
Madde 6, kişisel veri sorumlusu veya kişisel veri işleyen olarak görev yapan bir kuruluş için ISO/IEC
27002 ve KVYS'ye özgü bilgi güvenliği denetimleriyle ilgili KVYS'ye özel kılavuzluk ve ek bilgiler
barındırır.
NOT 2 Madde 6, KVYS'ye özgü kılavuzluk veya ek bilgilerin olmadığı durumlarda bile, bütünlüğün sağlanması
için ISO/IEC 27002:2013'te hedefler veya kontroller içeren her bir madde için bir alt madde içerir.
Madde 7, kişisel veri sorumluları için, Madde 8 ise kişisel veri işleyenler için ek ISO/IEC 27002
kılavuzluğu sağlar.
Ek A, kişisel veri sorumlusu olarak (bir kişisel veri işleyen kullanıyor olsa da, olmasa da veya başka bir
kişisel veri sorumlusu ile birlikte hareket etse de, etmese de) görev yapan bir kuruluş için KVYS'ye özgü
kontrol hedeflerini ve kontrollerini listeler.
Ek B, kişisel veri işleyen olarak (alt yüklenici olarak veri işleyenler de dâhil olmak üzere, veri işleme işini
alt yükleniciye verse de vermese de) görev yapan bir kuruluş için KVYS'ye özgü kontrol hedeflerini ve
kontrollerini listeler.
Ek C, ISO/IEC 29100 ile bir eşleştirme içerir.
Ek D, bu dokümandaki kontrollerin Avrupa Birliği Genel Veri Koruma Tüzüğü ile eşleştirilmesini içerir.
Ek E, ISO/IEC 27018 ve ISO/IEC 29151 ile bir eşleştirme içerir.
Ek F, ISO IEC 27001 ve ISO/IEC 27002'nin kişisel veri işlenirken gizliliğin korunması açısından nasıl
genişletildiğini açıklar.
4.2 ISO/IEC 27001:2013 gerekliliklerinin uygulanması
Çizelge 1, ISO/IEC 27001 ile ilgili KVYS'ye özgü gerekliliklerin yerlerini göstermektedir.
NOT 5.1'e göre “bilgi güvenliği”nin genişletilmiş yorumu, KVYS’ye özgü gereklilikler olmasa bile her
zaman geçerlidir.
4.3 ISO/IEC 27002:2013 gerekliliklerinin uygulanması
Çizelge 2, ISO/IEC 27002 ile ilgili KVYS'ye özgü gerekliliklerin yerlerini göstermektedir.
Çizelge 2 — ISO/IEC 27002:2013’te verilen kontrollerin uygulanması için KVYS’ye özgü
gerekliliklerin ve ek bilgilerin yerleri
ISO/IEC Başlık Bu Açıklamalar
27002:2013’teki dokümanın
madde alt maddesi
5 Bilgi güvenliği politikaları 6.2 Ek kılavuz bilgiler
6 Bilgi güvenliğinin 6.3 Ek kılavuz bilgiler
organizasyonu
7 İnsan kaynakları güvenliği 6.4 Ek kılavuz bilgiler
NOT 6.1'e göre “bilgi güvenliği”nin genişletilmiş yorumu, KVYS’ye özgü gereklilikler olmasa bile her
zaman geçerlidir.
4.4 Müşteri
Kuruluşun rolüne bağlı olarak (bk. 5.2.1), "müşteri" şunlardan biri olarak anlaşılabilir:
a) bir kişisel veri sorumlusu ile sözleşmesi olan bir kuruluş (ör. Kişisel veri sorumlusunun müşterisi);
NOT 1 Bu, ortak kişisel veri sorumlusu olan bir kuruluş için geçerli olabilir.
NOT 2 Bir kuruluşla tüketici ilişkisi olan kişi, bu dokümanda "kişisel veri sahibi" olarak ifade edilir.
b) bir kişisel veri işleyen ile sözleşmesi olan bir kişisel veri sorumlusu (örneğin kişisel veri işleyenin
müşterisi) veya
c) kişisel veri işlemesi için bir alt yüklenici ile sözleşmesi olan bir kişisel veri işleyen (örneğin, alt
yüklenicilik yapan kişisel veri işleyenin müşterisi).
NOT 3 Madde 6'da "müşteri" ifadesinin geçtiği yerlerde, ilgili hükümler a), b) veya c) bağlamında
uygulanabilir.
NOT 4 Madde 7 ve Ek A'da “müşteri” ifadesinin geçtiği yerlerde, ilgili hükümler a) bağlamında geçerlidir.
NOT 5 Madde 8 ve Ek B'de "müşteri" ifadesinin geçtiği yerlerde, ilgili hükümler b) ve/veya c) bağlamında
uygulanabilir.
Not: Kuruluş, bilgi güvenliği ve gizlilik risk değerlendirmesini entegre olarak yapabileceği gibi, bunları
bilgi güvenliği ve kişisel veri işlemesine ilişkin riskler için ayrı ayrı da uygulayabilir.
ISO/IEC 27001:2013, 6.1.2 d) 1) şu şekilde geliştirilmiştir:
Kuruluş, yukarıda geliştirilmiş hâli verilen ISO/IEC 27001:2013, 6.1.2 c)'de tanımlanan risklerin
gerçekleşmesi durumunda ortaya çıkacak olası sonuçları hem kuruluş, hem de kişisel veri sahipleri için
değerlendirmelidir.
5.4.1.3 Bilgi güvenliği risk işleme
ISO/IEC 27001:2013, 6.1.3’te verilen gereklilikler aşağıda belirtilen eklemelerle birlikte geçerlidir:
ISO/IEC 27001:2013, 6.1.3 c) şu şekilde geliştirilmiştir:
ISO/IEC 27001:2013 6.1.3 b)'de belirlenen kontroller, gerekli kontrollerin hiçbirinin atlanmadığının
doğrulanması için bu standardın Ek A ve/veya Ek B’sinde ve ISO/IEC 27001:2013, Ek A'da verilen
kontrollerle karşılaştırılmalıdır.
Risklerin giderilmesi için ISO/IEC 27001:2013 Ek A'daki kontrol hedefleri ve kontrollerinin
uygulanabilirliği değerlendirilirken kontrol hedefleri ve kontrollerinde, bilgi güvenliği riskleri ile birlikte
kişisel veri işlenmesi ile ilgili riskler (kişisel veri sahipleriyle ilişkili riskler dâhil) de dikkate alınmalıdır.
ISO/IEC 27001:2013, 6.1.3 d) şu şekilde geliştirilmiştir:
Aşağıdakileri içeren Uygulanabilirlik Beyanı oluşturulur:
Gerekli kontroller [bk. ISO/IEC 27001:2013, 6.1.3 b) ve c)];
Bu kontrollerin eklenme gerekçeleri;
Gerekli kontrollerin uygulanıp uygulanmadığı ve
Kuruluşun rolünün belirlenmesi (bk. 5.2.1) doğrultusunda bu standardın Ek A ve/veya Ek B’sinde ve
ISO/IEC 27001:2013, Ek A’da belirtilen kontrollerden herhangi birinin çıkarılması durumunda bu
işlemin gerekçesi.
Eklerde verilen tüm kontrol hedefleri ve kontrollerin KVYS uygulamasına dâhil edilmesine gerek yoktur.
Kontrollerin çıkarılma gerekçelerine örnek olarak ilgili kontrollerin risk değerlendirilmesi tarafından
gerekli görülmemesi, yasalar ve/veya yasal düzenlemeler tarafından (veri sahipleri için geçerli olanlar
dâhil) zorunlu tutulmaması gösterilebilir.
5.4.2 Bilgi güvenliği hedefleri ve bu hedefleri başarmak için planlama
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 6.2’de belirtilen gereklilikler geçerlidir.
5.5 Destek
5.5.1 Kaynaklar
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 7.1’de belirtilen gereklilikler geçerlidir.
5.5.2 Yetkinlik
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 7.2’de belirtilen gereklilikler geçerlidir.
5.5.3 Farkındalık
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 7.3’te belirtilen gereklilikler geçerlidir.
5.5.4 İletişim
5.1’de verilen açıklama ile birlikte ISO/IEC 27001:2013, 7.4’te belirtilen gereklilikler geçerlidir.
Kuruluş, kişisel veri işleyen sistem ve hizmetlerde, pasife çekilmiş veya geçersiz olmuş kullanıcı
kimliklerini yeni kullanıcılara atamamalıdır.
Kuruluşun kişisel veri işlemeyi hizmet olarak sunduğu durumlarda kullanıcı kimlik yönetiminden
müşteri de sorumlu olabilecektir. Bu gibi durumlar, dokümante edilmiş bilgilere dâhil edilmelidir.
Bazı yetki alanlarında, kişisel verileri işleyen sistemlerle ilgili kullanılmamış kimlik doğrulama bilgileri
üzerinde yapılacak kontrollerin sıklığına ilişkin özel gereklilikler öngörülmektedir. Bu gibi yetki
alanlarında faaliyet gösteren kuruluşlar, bu gerekliliklere de uygunluğu sağlamalıdır.
6.6.2.2 Kullanıcı erişimine izin verme
ISO/IEC 27002:2013 9.2.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 9.2.2 kullanıcı erişimine izin verme maddesi için ek uygulama kılavuz
bilgileri:
Kuruluş, bilgi sistemine ve burada yer alan kişisel verilere erişim yetkisi olan kullanıcılar için oluşturulan
kullanıcı profillerinin doğru ve güncel bir kaydını tutmalıdır. Bu profil, yetkili erişim sağlayan
tanımlanmış teknik kontrolleri uygulamak için gerekli olan, kullanıcı kimliği de dâhil, o kullanıcıyla ilgili
veri kümesini içerir.
Uygun konfigüre edilmiş sistemlerde bağımsız kullanıcı erişim kimliklerinin tanımlanması; kişisel
verilere kimin eriştiğini, hangi eklemeler, silmeler veya değişiklikler yapıldığının tanımlanmasını sağlar.
Bu sayede kuruluşun korunmasının yanı sıra, kullanıcılar da işlediklerinin ve işlemediklerinin
tanımlanması mümkün olacağından korunmuş olur.
Kuruluşun kişisel veri işlemeyi hizmet olarak sunduğu durumlarda müşteri erişim yönetiminin
tamamından veya bir kısmından sorumlu olabilir. Uygun olduğu durumlarda kuruluş müşteriye, erişim
yönetimi ve sonlandırmasına olanak sağlayacak gerekli yönetici haklarının verilmesi gibi erişim yönetimi
yapabilecekleri araçlar sağlamalıdır.
6.6.2.3 Ayrıcalıklı erişim haklarının yönetimi
ISO/IEC 27002:2013 9.2.3’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.2.4 Kullanıcılara ait gizli kimlik doğrulama bilgilerinin yönetimi
ISO/IEC 27002:2013 9.2.4’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.2.5 Kullanıcı erişim haklarının gözden geçirilmesi
ISO/IEC 27002:2013 9.2.5’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.2.6 Erişim haklarının kaldırılması veya düzenlenmesi
ISO/IEC 27002:2013 9.2.6’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.3 Kullanıcı sorumlulukları
6.6.3.1 Gizli kimlik doğrulama bilgisinin kullanımı
ISO/IEC 27002:2013 9.3.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.4 Sistem ve uygulama erişim kontrolü
6.6.4.1 Bilgiye erişimin kısıtlanması
ISO/IEC 27002:2013 9.4.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.4.2 Güvenli oturum açma prosedürleri
ISO/IEC 27002:2013 9.4.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013,9.4.2 güvenli oturum açma prosedürleri için ek uygulama kılavuz bilgileri:
Kuruluş, müşterisi tarafından talep edilmesi durumunda güvenli oturum açma prosedürleri işlevini
müşteri kontrolüne vermelidir.
6.6.4.3 Parola yönetim sistemi
ISO/IEC 27002:2013 9.4.3’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.4.4 Ayrıcalıklı destek programlarının kullanımı
ISO/IEC 27002:2013 9.4.4’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.6.4.5 Program kaynak koduna erişim kontrolü
ISO/IEC 27002:2013 9.4.5’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.7 Kriptografi
6.7.1 Kriptografik kontroller
6.7.1.1 Kriptografik kontrollerin kullanımına ilişkin politika
ISO/IEC 27002:2013 9.4.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 10.1.1 Kriptografik kontrollerin kullanımına ilişkin politika için ek
uygulama kılavuz bilgileri:
Bazı yetki alanlarında, kişisel verilerin belirli türlerinin (ör. sağlık verileri, kimlik numaraları, pasaport
numaraları, sürücü ehliyet numaraları) korunması için kriptografi kullanımı talep edilebilir.
Kuruluş, işlediği kişisel verileri korumak için hangi durumlarda kriptografi kullandığı hususunda
müşteriye bilgi vermelidir. Kuruluş, müşterinin kendi kriptografik korumasını uygulamasına yardımcı
olacak konularda da müşteriye bilgi vermelidir.
6.7.1.2 Anahtar yönetimi
ISO/IEC 27002:2013 10.1.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8 Fiziksel ve Çevresel Güvenlik
6.8.1 Güvenli alanlar
6.8.1.1 Fiziksel güvenlik sınırı
ISO/IEC 27002:2013 11.1.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.1.2 Fiziksel giriş kontrolleri
ISO/IEC 27002:2013 11.1.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.1.3 Ofislerin, odaların ve tesislerin güvenliğinin sağlanması
ISO/IEC 27002:2013 11.1.3’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.1.4 Dış ve çevresel tehditlere karşı koruma
ISO/IEC 27002:2013 11.1.4’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.1.5 Güvenli alanlarda çalışma
ISO/IEC 27002:2013 11.1.5’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.1.6 Teslimat ve yükleme alanları
ISO/IEC 27002:2013 11.1.6’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.2 Teçhizat
6.8.2.1 Teçhizat yerleştirme ve koruma
ISO/IEC 27002:2013 11.2.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.2.2 Destekleyici altyapı hizmetleri
ISO/IEC 27002:2013 11.2.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.2.3 Kablo güvenliği
ISO/IEC 27002:2013 11.2.3’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.2.4 Teçhizat bakımı
ISO/IEC 27002:2013 11.2.4’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.2.5 Varlıkların taşınması
ISO/IEC 27002:2013 11.2.5’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.2.6 Kuruluş dışındaki teçhizat ve varlıkların güvenliği
ISO/IEC 27002:2013 11.2.6’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.2.7 Teçhizatın güvenli yok edilmesi veya tekrar kullanımı
ISO/IEC 27002:2013 11.2.7’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 11.2.7 Teçhizatın güvenli yok edilmesi veya tekrar kullanımı için ek
uygulama kılavuz bilgileri:
Kuruluş, yeniden kullanıma aldığı her depolama alanı için, depolama alanında önceden yazılmış tüm
kişisel verilerin erişilemez olmasını sağlamalıdır.
Bir bilgi sisteminde tutulan kişisel verilerin silinmesi durumunda yaşanacak performans sorunları bu
kişisel verilerin tamamen silinmesinin uygulanabilir olmayacağını gösterebilir. Bu durum da, kişisel
verilere başka bir kullanıcının erişebilmesi riskini doğurur. Bu gibi risklerden, özel teknik önlemlere
başvurularak kaçınılmalıdır.
Kuruluş, güvenli yok etme veya tekrar kullanım için kişisel veri bulunabilecek tüm depolama ortamlarını
kişisel veri içeriyormuş gibi ele almalıdır.
6.8.2.8 Gözetimsiz kullanıcı teçhizatı
ISO/IEC 27002:2013 11.2.8’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.8.2.9 Temiz masa temiz ekran politikası
ISO/IEC 27002:2013 11.2.9’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 11.2.9 Temiz masa temiz ekran politikası için ek uygulama kılavuz bilgileri:
Kuruluş, belirlenmiş kişisel veri işleme amaçlarının sağlanması için gereken basılı kopya kullanımını
asgari seviyede tutmayı sağlayacak önlemleri ele almalıdır.
6.9 İşletim güvenliği
6.9.1 İşletim prosedürleri ve sorumlulukları
6.9.1.1 Yazılı işletim prosedürleri
ISO/IEC 27002:2013 12.1.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
verilmiştir. Yedekleme ve geri getirme işlemleri için fiziksel ortam aktarımlarının da söz konusu olduğu
durumlar ise bu dokümanın 6.10.2.1 maddesinde ele alınmıştır.
6.9.4 Kaydetme ve izleme
6.9.4.1 Olay Kaydetme
ISO/IEC 27002:2013 12.4.1’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 12.4.1 Olay kaydetme için ek uygulama kılavuz bilgileri:
Olay günlüklerinin sürekli, otomatik izleme ve alarm süreçleri kullanılarak veya manuel yöntemlerle
gözden geçirilmesi için bir süreç tanımlanmalı, bu gözden geçirme eylemi düzensizlikleri tanımlamak ve
telafi girişimleri önermek üzere belirlenmiş ve dokümante edilmiş bir zaman aralığında uygulanmalıdır.
Kuruluş, (mümkünse) erişilen kişisel verilerin hangi gerçek kişiye ilişkin olduğunu, kim tarafından, ne
zaman erişildiğini ve varsa yapılan değişiklikleri (ekleme, değiştirme, silme) olay günlüklerinde
kaydetmelidir.
Birden fazla hizmet sağlayıcısının hizmet sunmaya dâhil olması durumunda, bu kılavuzun
uygulanmasında çeşitli veya paylaşılan roller bulunabilir. Bu roller açıkça tanımlanmalı ve dokümante
edilmiş bilgilere dâhil edilmeli ve bu bilgilerde sağlayıcılar arasında yapılmış günlük erişimi anlaşmaları
ele alınmalıdır.
Veri İşleyenler için kılavuz:
Kuruluş; müşterisine günlük kayıtlarını hangi durumda, ne zaman ve nasıl açabileceğine ilişkin kriterler
tanımlamalıdır. Bu kriterler müşteriye verilmelidir.
Kuruluş; müşterisine kontrolü altındaki günlük kayıtlarına erişim verdiği durumlar için müşterilerin
sadece kendi aktivitelerine erişmesini, diğer müşterilere ait kayıtlara erişememesi ve herhangi bir
şekilde günlük kayıtlarını değiştirememesini sağlayacak kontroller uygulamalıdır.
6.9.4.2 Kayıt bilgilerinin korunması
ISO/IEC 27002:2013 12.4.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 12.4.2 Kayıt bilgisinin korunması için ek uygulama kılavuz bilgileri:
Örneğin, güvenlik izleme ve operasyonel tanılama için kaydedilen günlük bilgileri kişisel veriler içerebilir.
Günlüğe kaydedilen bilgilerin yalnızca amaçlandığı gibi kullanılmasını sağlamak için erişim kontrolü (bk.
ISO/IEC 27002:2013, 9.2.3) gibi önlemler alınmalıdır.
Günlüğe kaydedilen bilgilerin tutma planında belirtildiği gibi silinmesini veya anonim hâle getirilmesini
sağlamak için tercihen otomatik bir prosedür uygulanmalıdır (bk. 7.4.7).
6.9.4.3 Yönetici ve operatör kayıtları
ISO/IEC 27002:2013 12.4.3’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.9.4.4 Saat senkronizasyonu
ISO/IEC 27002:2013 12.4.4’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.9.5 İşletimsel yazılımın kontrolü
6.9.5.1 İşletimsel sistemler üzerine yazılım kurulumu
ISO/IEC 27002:2013 12.5.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
ihlal olayı sebebiyle kişisel verilerin erişilemez olması, kaybolması, ifşa edilmesi veya değiştirilmesi
gibi durumlar.
Kişisel verinin de dâhil olduğu bir ihlalin meydana gelmesi durumunda söz konusu kayıt, biliniyorsa, ele
geçirilen kişisel verilerin açıklamasını ve bildirimler yapılmışsa, kişisel veri sahiplerini, düzenleyici
kurumları veya müşterileri bilgilendirmek için atılan adımları da içermelidir.
Veri işleyenler için uygulama kılavuz bilgileri
Kişisel verileri içeren bir ihlalin bildirilmesini kapsayan hükümler, kuruluş ve müşteri arasındaki
sözleşmede yer almalıdır. Sözleşme, kuruluşun müşterinin ilgili otoriteleri bilgilendirme yükümlülüğünü
yerine getirmesi için gerekli bilgileri nasıl sağlayacağını belirtmelidir. Bu bildirim yükümlülüğüne,
müşterinin veya kişisel veri sahibinin veya sorumlu oldukları sistem bileşenlerinin neden olduğu ihlaller
dâhil değildir. Sözleşme ek olarak, bildirim yanıt süreleri için beklenen ve haricî olarak zorunlu kılınmış
sınırları da tanımlamalıdır.
Bazı yetki alanlarında, kişisel veri işleyen bir ihlali gecikmeksizin kişisel veri sorumlusuna, kişisel veri
sorumlusunun uygun önlemleri alabilmesi için tercihen keşfedilir keşfedilmez (mümkün olacak en hızlı
şekilde) bildirmelidir.
Kişisel verinin de dâhil olduğu bir ihlal meydana geldiğinde, düzenleyici ve/veya adlî amaçlarla
kullanılmak üzere bir rapor sunulabilmesi için aşağıdakilerin de dâhil olduğu, yeterli miktarda bilgi
içeren bir kayıt tutulmalı ve sürdürülmelidir:
ihlal olayının açıklaması;
geçen süre;
ihlal olayının sonuçları;
raporlayan kişinin adı;
ihlal olayının kime raporlandığı;
ihlal olayını çözmek için atılan adımlar (sorumlu kişi ve kurtarılan veriler dâhil);
ihlal olayı sebebiyle kişisel verilerin erişilemez olması, kaybolması, ifşa edilmesi veya değiştirilmesi
gibi durumlar.
Kişisel verinin de dâhil olduğu bir ihlalin meydana gelmesi durumunda söz konusu kayıt, biliniyorsa, ele
geçirilen kişisel verilerin açıklamasını ve bildirimler yapılmışsa, müşterileri ve/veya düzenleyici
kurumları bilgilendirmek için atılan adımları da içermelidir.
Bazı yetki alanlarında ilgili mevzuat ve/veya düzenlemeler, kuruluşun kişisel verilerin dâhil olduğu bir
ihlali uygun düzenleyici otoritelere (ör. kişisel veri koruma otoritesi) doğrudan bildirmesini
gerektirebilir.
6.13.1.6 Bilgi güvenliği ihlal olaylarından ders çıkarma
ISO/IEC 27002:2013 16.1.6’da verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.13.1.7 Kanıt toplama
ISO/IEC 27002:2013 16.1.7’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.14 İş sürekliliği yönetiminin bilgi güvenliği hususları
6.14.1 Bilgi güvenliği sürekliliği
6.14.1.1 Bilgi güvenliği sürekliliğinin planlanması
ISO/IEC 27002:2013 17.1.1’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
ISO/IEC 27001:2013, 18.2.1 Bilgi güvenliğinin bağımsız gözden geçirmesi için ek uygulama
kılavuz bilgiler:
Kuruluşun veri işleyen olarak hizmet verdiği ve her müşterinin kişisel veri ile ilgili denetim yapmasının
mümkün olamadığı veya güvenlik riskini artırdığı durumlarda kuruluş müşterilerine karşı, sözleşme
öncesi veya sözleşme süresi boyunca bilgi güvenliğinin oluşturulduğu ve kuruluşun politika ve
prosedürlerine göre yürütüldüğüne ilişkin bağımsız kanıt sunmalıdır. Kuruluş tarafından seçilen ilgili bir
bağımsız denetim, normalde önceden bilgilendirilmiş olan kullanıcıların ihtiyaçlarını karşılaması ve
sonuçların yeterince şeffaf bir şekilde sunulması durumunda, müşterilerin kuruluşun veri işleme
operasyonlarını gözden geçirme konusundaki ilgisini karşılamak için kabul edilebilir bir yöntem
olacaktır.
6.15.2.2 Güvenlik politikaları ve standartlarına uygunluk
ISO/IEC 27002:2013 18.2.2’de verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler geçerlidir.
6.15.2.3 Teknik uygunluk gözden geçirmesi
ISO/IEC 27002:2013 18.2.3’te verilen kontrol, uygulama kılavuz bilgileri ve ek bilgiler ile birlikte
aşağıdaki ek kılavuz bilgiler geçerlidir:
ISO/IEC 27001:2013, 18.2.3 Teknik uyum gözden geçirmesi için ek uygulama kılavuz bilgileri:
Güvenlik politikaları ve standartlarına uygunluk için yapılan teknik gözden geçirmelerinin bir parçası
olarak kuruluş, kişisel verilerin işlenmesi ile ilgili bu araçları ve bileşenleri gözden geçirme yöntemlerini
dâhil etmelidir. İçeriğe aşağıdakiler de eklenebilir:
yalnızca izin verilen veri işlemenin yapıldığını doğrulamak için sürekli izleme ve/veya
özel sızma veya güvenlik açığı testleri (ör. anonim hâle getirilmiş) veri kümeleri, anonim hâle getirme
yöntemlerinin kuruluş gerekliliklerine uygunluğunu doğrulamak amacıyla güdülenmiş bir davetsiz
misafir testine tabi tutulabilir).
Ek Bilgiler
Bulut bilişim hizmetlerinin etkinleştirilmesinde, ISO / IEC 19944'teki sınıflandırma ve tanımlar kişisel
verilerin işlenmesinin amacını tanımlamak için terimler sağlamada yardımcı olabilir.
7.2.2 Yasal dayanağın tanımlanması
Kontrol
Kuruluş, kişisel verilerin işlenmesi için tanımlanmış amaçlar doğrultusunda ilgili yasal dayanağı
belirlemeli, dokümante etmeli ve bu dayanağa uygun hareket etmelidir.
Uygulama kılavuz bilgileri
Bazı yetki alanlarında, kuruluşun, işlemenin yasallığının işlemeye başlanmadan önce usulüne uygun
olarak oluşturulduğunu göstermesi talep edilir.
Kişisel verilerin işlenmesinin yasal dayanağı şunları içerebilir:
kişisel veri sahiplerinin rızası;
bir sözleşmenin ifası;
yasal bir yükümlülüğe uyma;
kişisel veri sahiplerinin hayati çıkarlarının korunması;
kamu yararına yürütülen bir görevin gerçekleştirilmesi;
kişisel veri sorumlusunun meşru menfaatleri.
Kuruluş, her bir kişisel veri işleme faaliyeti için bu dayanağı dokümante etmelidir (bk. 7.2.8).
Kuruluşun meşru menfaatleri, örneğin, bilgi güvenliği hedeflerini içerebilir; bu hedefler özel hayatın
korunmasına ilişkin kişisel veri sahiplerine karşı yükümlülükler gözetilerek dengelenmelidir. Hassas
kişisel veri kategorileri, ya kişisel verinin niteliği (örneğin sağlık bilgileri) ya da ilgili kişisel veri sahipleri
(örneğin çocuklarla ilgili kişisel veri) tarafından tanımlandığında, kuruluş bu kişisel veri kategorilerini
sınıflandırma şemalarına dâhil etmelidir.
Bu kategorilere giren kişisel verilerin sınıflandırması bir yetki alanından diğerine göre, farklı iş türleri
içinse geçerli olan farklı düzenleyici otoritelere göre değişebilir, bu nedenle kuruluşun kişisel verilerin
işlenmesi için geçerli olan sınıflandırmalardan haberdar olması gerekir.
Hassas kişisel veri kategorilerinin kullanımı da daha sıkı denetimlere tabi olabilir.
Kişisel verilerin işlenme amaçlarının değiştirilmesi veya genişletilmesi, yasal dayanağın güncellenmesini
ve/veya revizyonunu gerektirebilir. Ayrıca kişisel veri sahibinden ek rıza alınması da gerekebilir
7.2.3 Rızanın ne zaman ve nasıl alınacağının belirlenmesi
Kontrol
Kuruluş, veri sahiplerinden verilerin işlenmesi için rızanın alınıp alınmadığını, alındıysa ne zaman ve
nasıl alındığını gösterebilen bir süreç belirlemeli ve dokümante etmelidir.
Uygulama kılavuz bilgileri
Diğer yasal gerekçeler geçerli olmadıkça, kişisel bilgilerin işlenmesi için rıza alınması gerekebilir.
Kuruluş, ne zaman rıza alınması gerektiğini ve rıza almak için gereklilikleri açıkça dokümante etmelidir.
İşlemenin amacını/amaçlarını, rızanın alınıp alınmadığı ve nasıl alındığı hakkında bilgi ile ilişkilendirmek
yararlı olabilir.
Bazı yetki alanlarında rızaların nasıl toplanacağı ve kaydedileceği konusunda belirli gereklilikler vardır
(ör. diğer sözleşmelerle birlikte ele alınmaması gibi). Ayrıca, belirli veri toplama türleri (ör. bilimsel
araştırmalar için) ve çocuklar gibi belirli kişisel veri sahipleri, ek gerekliliklere tabi olabilir.
Kuruluş bu tür gereklilikleri dikkate almalı ve rıza alma mekanizmalarının bu gereklilikleri nasıl
karşıladığını dokümante etmelidir.
7.2.4 Rızanın alması ve kaydedilmesi
Kontrol
Kuruluş, kişisel veri sahiplerinden rıza almayı ve bu rızaları kaydetmeyi dokümante edilmiş süreçlere
uygun şekilde gerçekleştirmelidir.
Uygulama kılavuz bilgileri
Kuruluş, kişisel veri sahiplerinin rızasını talep edildiğinde ayrıntılarını (örneğin rızanın ne zaman
verildiği, kişisel veri sahibinin kimliği ve rıza beyanı) sağlayabilecek şekilde almalı ve kaydetmelidir.
Rıza sürecinden önce kişisel veri sahibine iletilen bilgiler, 7.3.3'teki kılavuz bilgilere uygun olmalıdır.
Rıza:
baskı altında olmadan verilmiş;
işleme amacıyla sınırlı;
açık ve net olmalıdır.
7.2.5 Gizlilik etki değerlendirmesi
Kontrol
Kuruluş, yeni kişisel veriler işlendiğinde ve kişisel verilerin mevcut işlenmesinde değişiklikler
planlandığında Gizlilik Etki Değerlendirmesi (GED) ihtiyacını değerlendirmeli ve gerekli durumlarda bu
değerlendirmeyi yapmalıdır.
Uygulama kılavuz bilgileri
Kişisel verilerin işlenmesi, kişisel veri sahipleri için riskler oluşturur. Bu riskler, bir gizlilik etki
değerlendirmesi (GED) ile değerlendirilmelidir. Bazı yetki alanlarında, gizlilik etki değerlendirmesinin
zorunlu tutulduğu vakalar tanımlanır. Kriterler, kişisel veri sahipleri üzerinde yasal sonuçlar doğuran
otomatik karar verme, hassas kişisel veri kategorilerinin büyük ölçekli işlenmesi (örneğin sağlıkla ilgili
bilgiler, ırk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar, sendika üyeliği, genetik veriler
veya biyometrik veriler) veya halka açık bir alanın sistematik olarak geniş ölçekli olarak izlenmesi gibi
hususları içerebilir.
Kuruluş, gizlilik etki değerlendirmesinin tamamlanması için gerekli unsurları belirlemelidir. Bunlar;
işlenen kişisel veri türlerinin bir listesini, kişisel verilerin nerede depolandığını ve nereye
aktarılabileceğini içerebilir. Veri akış şemaları ve veri haritaları da bu bağlamda yardımcı olabilir (gizlilik
etki veya diğer risk değerlendirmeleri hakkında bilgi içerebilen kişisel verinin işlenmesi ile ilgili
kayıtların ayrıntıları için bk. 7.2.8).
Ek Bilgiler
Kişisel verilerin işlenmesiyle ilgili gizlilik etki değerlendirmelerine ilişkin kılavuz bilgileri ISO / IEC
29134'te bulunabilir.
Kuruluş, bir kişisel veri sahibine sağlanan kişisel veri kopyalarının özel olarak bu kişisel veri sahibi ile
ilgili olduğundan emin olmalıdır.
Talep edilen kişisel verilerin tutma ve yok etme politikasına (7.4.7'de açıklandığı gibi) göre silinmiş
olması durumunda, kişisel veri sorumlusu, kişisel veri sahibine talep edilen kişisel verinin silindiğini
bildirmelidir.
Kuruluşun kişisel veri sahibini artık tanımlayamadığı durumlarda (ör. anonim hâle getirme sürecinin bir
sonucu olarak), kuruluş sadece bu kontrolü uygulamak için kişisel veri sahiplerini (yeniden)
tanımlamaya çalışmamalıdır. Bununla birlikte, bazı yetki alanlarında, meşru talepler, yeniden
tanımlamayı ve daha sonra ifşa etmeyi sağlamak için kişisel veri sahibinden ek bilgilerin talep edilmesini
gerektirebilir.
Teknik olarak mümkün olduğunda, kişisel verilerin bir kopyasını, kişisel veri sahibinin talebi üzerine bir
kuruluştan doğrudan başka bir kuruluşa aktarmak mümkün olmalıdır.
7.3.9 Taleplerin ele alınması
Kontrol
Kuruluş, veri sahiplerinden gelen meşru talepleri ele almak ve bu taleplere cevap vermek için politika ve
prosedürleri belirleyerek dokümante etmelidir.
Uygulama kılavuz bilgileri
Meşru talepler, işlenen kişisel verilerin bir kopyasını veya bir şikâyette bulunma talebini içerebilir.
Bazı yetki alanlarında, kuruluşun belirli durumlarda bir ücret almasına izin verilir (örneğin, aşırı veya
tekrarlanan taleplerde).
Talepler, uygun tanımlanmış yanıt süreleri içinde ele alınmalıdır.
Bazı yetki alanlarında, yanıt süreleri taleplerin karmaşıklığına, sayısına ve ayrıca kişisel veri sahiplerini
herhangi bir gecikme konusunda bilgilendirme gerekliliklerine bağlı olarak tanımlanır. Uygun yanıt
süreleri gizlilik politikasında tanımlanmalıdır.
7.3.10 Otomatikleştirilmiş karar verme
Kontrol
Kuruluş, kişisel verilerin yalnızca otomatik işlenmesi sonucu kişisel veri sahipleriyle ilgili olarak verilen
kararlardan kaynaklanan kişisel veri sahiplerine karşı yükümlülükleri, yasal yükümlülükler dâhil
tanımlamalı ve yerine getirmelidir.
Uygulama kılavuz bilgileri
Bazı yetki alanlarında, kişisel verilerin yalnızca otomatikleştirilmiş olarak işlenmesine dayalı olarak
alınan bir karar kişisel veri sahiplerini önemli ölçüde etkilediğinde, kişisel veri sahiplerine karşı,
otomatikleştirilmiş karar vermenin varlığını bildirmek, kişisel veri sahiplerinin bu tür kararlara itiraz
etmesine izin vermek ve/veya insan müdahalesine izin vermek gibi belirli yükümlülükler tanımlanır.
NOT Bazı yetki alanlarında, kişisel verilerin bazı işlemeleri tam olarak otomatikleştirilemez.
Bu yetki alanlarında faaliyet gösteren kuruluşlar bu yükümlülüklere uymayı dikkate almalıdır.
7.4 Tasarım gereği gizlilik ve varsayılan olarak gizlilik
Hedef: Süreçlerin ve sistemlerin, toplama ve işlemenin (kullanım, ifşa etme, tutma, aktarma ve yok etme
dâhil) tanımlanmış amaç için gerekli olanla sınırlandırılacak şekilde tasarlanması sağlamak.
Ek Bilgiler
Bilgi sistemleri, normal işleyiş seyrinde geçici dosyalar oluşturabilir. Bu tür dosyalar sisteme veya
uygulamaya özgüdür, ancak veri tabanlarının güncellenmesi ve diğer uygulama yazılımlarının
çalıştırılmasıyla ilişkili dosya sistemi geri alma izleri ve geçici dosyaları içerebilir. İlgili bilgi işleme görevi
tamamlandıktan sonra geçici dosyalara gerek yoktur, ancak silinemedikleri durumlar vardır. Bu
dosyaların kullanımda kaldığı süre her zaman belirlenemez, ancak bir “çöp toplama” prosedürü ilgili
dosyaları tanımlamalı ve son kullanıldıklarından bu yana ne kadar zaman geçtiğini belirlemelidir.
7.4.7 Tutma
Kontrol
Kuruluş, kişisel verileri işlenme amacından daha uzun süre tutmamalıdır.
Uygulama kılavuz bilgileri
Kuruluş, kişisel verileri gereğinden uzun süre tutmama ilkesini göz önünde bulundurarak, tuttuğu bilgiler
için saklama planları geliştirmeli ve sürdürmelidir. Bu tür planlar yasal, düzenleyici ve işle ilgili
gereklilikleri dikkate almalıdır. Bu tür gerekliliklerin çeliştiği durumlarda, kurumsal bir kararın alınması
(bir risk değerlendirmesine dayalı olarak) ve uygun planda dokümante edilmesi gerekir.
7.4.8 Yok etme
Kontrol
Kuruluş, kişisel verilerin yok edilmesi için dokümante edilmiş politika, prosedür ve mekanizmalara sahip
olmalıdır.
Uygulama kılavuz bilgileri
Kişisel verileri yok etme tekniklerinin seçimi, yok etme teknikleri özellikleri ve sonuçları açısından
(örneğin, elde edilen fiziksel medyanın tanecik yapısı veya elektronik ortamda silinen bilgileri kurtarma
becerisinde) farklılık gösterdiğinden, bir dizi kritere bağlıdır. Uygun bir yok etme tekniği seçerken
dikkate alınması gereken kriterler, (bunlarla sınırlı olmamak üzere) kişisel veri ile ilişkili meta veriler
olup olmadığı, yok edilecek kişisel verilerin niteliği ile kapsamı ve kişisel verilerin depolandığı ortamın
fiziksel özelliklerini içerir.
7.4.9 Kişisel veri aktarım kontrolleri
Kontrol
Kuruluş, bir veri aktarım ağı üzerinden aktarılan kişisel verilere, istenen hedefe ulaşmasını sağlamak için
tasarlanmış uygun kontroller uygulamalıdır.
Uygulama kılavuz bilgileri
Kişisel veri aktarımının, tipik olarak yalnızca yetkili kişilerin aktarım sistemlerine erişmesini sağlayarak
ve kişisel verilerin başkaları tarafından ele geçirilmeden doğru alıcılara aktarılmasını sağlamak için
uygun süreçleri (denetim izlerinin tutulması dâhil) takip ederek kontrol edilmesi gerekir.
7.5 Kişisel verileri paylaşma, aktarma ve ifşa etme
Hedef: Kişisel verilerin paylaşılıp paylaşılmadığını, diğer yetki alanlarına veya üçüncü taraflara aktarılıp
aktarılmadığını ve/veya geçerli yükümlülüklere uygun olarak ifşa edilip edilmediğini belirlemek ve
dokümante etmek.
7.5.1 Yetki alanları arası kişisel veri aktarımı için dayanağın tanımlanması
Kontrol
Kuruluş, kişisel verilerin yetki alanları arasında aktarımı için ilgili dayanağı tanımlamalı ve dokümante
etmelidir.
Uygulama kılavuz bilgileri
Kişisel verilerin aktarımı, verilerin aktarılacağı (ve kaynaklandığı) yetki alanına veya uluslararası
kuruluşa bağlı olarak mevzuata ve/veya düzenlemeye tabi olabilir. Kuruluş, aktarımın dayanağını teşkil
eden bu gerekliliklere uyulduğunu dokümante etmelidir.
Bazı yetki alanlarında, bilgi aktarım anlaşmalarının belirlenmiş bir denetim makamı tarafından gözden
geçirilmesi gerekebilir. Bu gibi yetki alanlarında faaliyet gösteren kuruluşlar, bu tür gerekliliklerin
farkında olmalıdır.
NOT Aktarımların belirli bir yetki alanı içinde gerçekleşmesi durumunda, yürürlükteki mevzuat ve/veya
düzenlemeler gönderen ve alıcı için aynıdır.
7.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar
Kontrol
Kuruluş, kişisel verilerin aktarılabileceği ülke veya uluslararası kuruluşları belirlemeli ve dokümante
etmelidir.
Uygulama kılavuz bilgileri
Kişisel verilerin normal faaliyetlerde aktarılabileceği ülkelerin ve uluslararası kuruluşların isimleri
müşterilere bildirilmelidir. Kişisel verilerin işlenmesi için alt yüklenici kullanımından kaynaklanan
ülkelerin isimleri de buna dâhil edilmelidir. Ülke listesi belirlenirken 7.5.1’de değerlendirilmelidir.
Normal faaliyetlerin dışında, kanun uygulayıcı bir makamın talebi üzerine, ülkelerin kimliğinin önceden
belirtilemediği veya ilgili otoriteler tarafından bir kolluk soruşturmasının gizliliğini korumak için
yasaklandığı aktarma vakaları olabilir (bk. 7.5.1, 8.5.4 ve 8.5.5).
7.5.3 Kişisel veri aktarımının kayıtları
Kontrol
Kuruluş, üçüncü taraflara ya da üçüncü taraflardan aktarılan kişisel verileri kaydetmeli ve veri
sahiplerine karşı yükümlülüklerden doğabilecek talepler için de söz konusu üçüncü taraflarla işbirliğini
sağlamalıdır.
Uygulama kılavuz bilgileri
Kayıtlar, kişisel veri sorumlularının yükümlülüklerini yönetmesi nedeniyle değiştirilmiş kişisel verilerin
üçüncü taraflardan yapılan aktarımları veya kişisel verileri silme talepleri de dâhil olmak üzere kişisel
veri sahiplerinden gelen meşru talepleri uygulamak için üçüncü taraflara aktarımları içerebilir (ör.
rızanın geri çekilmesinden sonra).
Kuruluşun bu kayıtların tutulma süresini tanımlayan bir politikası olmalıdır.
Kuruluş, verileri en aza indirme ilkesini, yalnızca kesin olarak gerekli bilgileri tutarak aktarım kayıtlarına
uygulamalıdır.
7.5.4 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları
Kontrol
Kuruluş, üçüncü taraflara yaptığı kişisel veri ifşalarının, hangi kişisel verinin, kime, ne zaman ifşa edildiği
bilgileri ile birlikte kaydını tutmalıdır.
Müşterinin amacını gerçekleştirmek için, müşterinin genel talimatları ile tutarlı olan, ancak müşterinin
açık uygulama talimatına uymayan kişisel veri işleme yöntemini belirlemesinin kuruluş için uygun
olmasının teknik nedenleri olabilir. Örneğin, ağ kapasitesini veya işleme kapasitesini verimli bir şekilde
kullanmak için, kişisel veri sahibinin belirli özelliklerine bağlı olarak belirli işleme kaynaklarının tahsis
edilmesi gerekebilir.
Kuruluş, müşterinin kuruluşun tanımlanan amaca ve sınırlama ilkelerine uyduğunu doğrulamasına izin
vermelidir. Bu aynı zamanda, kuruluşun ya da alt yüklenicilerinin, hiçbir kişisel veriyi, müşterinin
dokümante edilmiş talimatlarında ifade edilenlerden başka amaçlarla işlememesini sağlar.
8.2.3 Pazarlama ve reklam kullanımı
Kontrol
Kuruluş, bir sözleşme kapsamında işlenmiş kişisel veriyi, uygun veri sahibinden önceden rıza
alındığından emin olmadan pazarlama ve reklam amacıyla kullanmamalıdır.
Kuruluş, söz konusu rızanın verilmesini hizmetin alınmasının şartı olarak belirtmemelidir.
Uygulama kılavuz bilgileri
Kişisel veri işleyenlerin, özellikle pazarlama ve/veya reklam kullanımın planlandığı durumlarda,
müşterinin sözleşmeden kaynaklanan gerekliliklere uyduğu dokümante edilmelidir.
Kuruluşlar, kişisel veri sahiplerinden açık rızanın uygun şekilde alınmadığı durumlarda pazarlama
ve/veya reklam kullanımlarının dâhil edilmesi konusunda ısrar etmemelidir.
NOT Bu kontrol, 8.2.2'deki daha genel kontrole yapılan eklemedir ve onun yerine geçmez veya yerini almaz.
8.2.4 İhlale sebep olan talimatlar
Kontrol
Kuruluş, verilen bir veri işlemesi talimatının ilgili mevzuat veya düzenlemeyi ihlal ettiğini düşünüyorsa
müşteriye bu durumu bildirmelidir.
Uygulama kılavuz bilgileri
Kuruluşun, talimatın mevzuat ve/veya düzenlemeyi ihlal edip etmediğini doğrulama becerisi teknolojik
duruma, talimatın kendisine ve kuruluş ile müşteri arasındaki sözleşmeye bağlı olabilir.
8.2.5 Müşteri yükümlülükleri
Kontrol
Kuruluş, yükümlülüklerine uyduğunu gösterebilmesi için müşteriye gerekli bilgileri sağlamalıdır.
Uygulama kılavuz bilgileri
Müşteri tarafından ihtiyaç duyulan bilgilere örnek olarak, müşteri tarafından yapılan veya müşteriye
zorunlu kılınan veya müşterinin kabul ettiği başka bir denetçi tarafından yapılan denetimlere izin verip
vermediği ve katkıda bulunup bulunmadığı bilgisi gösterilebilir.
8.2.6 Kişisel verilerin işlenmesine ilişkin kayıtlar
Kontrol
Kuruluş, müşteri adına gerçekleştirdiği veri işlemeye ilişkin yükümlülüklerini (ilgili sözleşmede
belirtildiği şekliyle) yerine getirdiğini göstermek amacıyla gerekli kayıtları belirlemeli ve sürdürmelidir.
Uygulama kılavuz bilgileri
Bazı yetki alanlarında kuruluşun örneğin, aşağıdaki gibi bilgileri kaydetmesi gerekebilir:
her müşteri adına gerçekleştirilen işleme kategorileri;
38 © TSE - Tüm hakları saklıdır.
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iSTANBUL ATLAS ÜNiVERSiTESi'A VERiLMiSTiR. BASILMA TARiHi: 19.02.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
Kuruluş, kişisel verilerin güvenli bir şekilde iadesi, aktarılması ve/veya yok edilmesine ilişkin politikasını
müşterisine iletmelidir.
Uygulama kılavuz bilgileri
Bir noktada, kişisel verilerin bir şekilde yok edilmesi gerekebilir. Bu yok etme, kişisel verileri müşteriye
iade etmeyi, başka bir kuruluşa veya bir kişisel veri sorumlusuna (örneğin birleşme sonucunda)
aktarmayı, silmeyi veya başka bir şekilde yok etmeyi, anonim hâle getirmeyi veya arşivlemeyi içerebilir.
Kişisel verilerin iadesi, aktarılması ve/veya yok edilmesi güvenli bir şekilde yönetilmelidir.
Kuruluş, müşterinin bir sözleşme kapsamında işlenen kişisel verilerin, müşterinin tanımlanmış amaçları
için gerekli olmadığı andan itibaren (kuruluş ve alt yüklenicileri tarafından) yedekleme ve iş sürekliliği
dâhil olmak üzere depolandığı yerden en kısa sürede silindiğinden emin olması için gerekli güvenceyi
sağlamalıdır.
Kuruluş, kişisel verilerin yok edilmesine ilişkin bir politika geliştirerek uygulamalı ve talep edildiğinde
bu politikayı müşteriye sunmalıdır.
Politika, bir sözleşmenin sonlanmasının ardından, müşterinin sözleşmeyi yanlışlıkla bitirmesi nedeniyle
kişisel verileri kaybetmesini önlemek için, yok etmeden önce kişisel veriler için tutma süresini
kapsamalıdır.
NOT Bu kontrol ve kılavuz bilgisi tutma ilkesi kapsamında da geçerlidir (bk. 7.4.7).
8.4.3 Kişisel veri aktarım kontrolleri
Kontrol
Kuruluş, bir veri aktarım ağı üzerinden aktarılan kişisel veriye, istenilen hedefe ulaşmasını sağlamak için
tasarlanmış uygun kontroller uygulamalıdır.
Uygulama kılavuz bilgileri
Kişisel veri aktarımının, tipik olarak yalnızca yetkili kişilerin aktarım sistemlerine erişmesini sağlayarak
ve kişisel verilerin başkaları tarafından ele geçirilmeden doğru alıcılara aktarılmasını sağlamak için
uygun süreçleri (denetim izlerinin tutulması dâhil) takip ederek kontrol edilmesi gerekir. Aktarım
kontrolleri için gereklilikler kişisel veri işleyen - müşteri sözleşmesine dâhil edilebilir.
Aktarmayla ilgili sözleşmede herhangi bir gereklilik bulunmadığında, aktarımdan önce müşteriden
tavsiye almak uygun olabilir.
8.5 Kişisel verileri paylaşma, aktarma ve ifşa etme
Hedef: Kişisel verilerin paylaşılıp paylaşılmadığını, diğer yetki alanlarına veya üçüncü taraflara aktarılıp
aktarılmadığını ve/veya geçerli yükümlülüklere uygun olarak ifşa edilip edilmediğini belirlemek ve
dokümante etmek.
8.5.1 Yetki alanları arası kişisel veri aktarımına ilişkin dayanak
Kontrol
Kuruluş, yetki alanları arasındaki kişisel veri aktarımının dayanağı ve bu dayanakta yapılması planlanan
değişiklikler hakkında müşteriyi zamanında bilgilendirmeli, bu şekilde müşterinin değişikliklere itiraz
edebilmesini veya sözleşmeyi feshedebilmesini sağlamalıdır.
Uygulama kılavuz bilgileri
Yetki alanları arasındaki kişisel verilerin aktarımı, kişisel verilerin aktarılacağı (ve kaynaklandığı) yetki
alanına veya kuruluşa bağlı olarak mevzuata ve/veya düzenlemeye tabi olabilir. Kuruluş, aktarımın
dayanağını teşkil eden bu gerekliliklere uyulduğunu dokümante etmelidir. Kuruluş, aşağıdakilere yapılan
aktarımlar da dâhil olmak üzere, kişisel verilerin herhangi bir aktarımı konusunda müşteriyi
bilgilendirmelidir:
tedarikçiler;
diğer taraflar;
diğer ülkeler veya uluslararası kuruluşlar.
Değişiklik olması durumunda, kuruluş, kararlaştırılan bir zaman dilimine uygun olarak müşteriyi
önceden bilgilendirmelidir, böylece müşteri bu değişikliklere itiraz edebilir veya sözleşmeyi feshedebilir.
Kuruluş ve müşteri arasındaki anlaşma, kuruluşun müşteriyi bilgilendirmeden değişiklikleri
uygulayabileceği maddeler içerebilir. Bu durumlarda, bu iznin sınırları belirlenmelidir (ör. kuruluş
müşteriyi bilgilendirmeden tedarikçileri değiştirebilir, ancak kişisel verileri diğer ülkelere aktaramaz).
Kişisel verilerin uluslararası aktarımı durumunda, Model Sözleşme Maddeleri, Bağlayıcı Kurumsal
Kurallar veya Sınır Ötesi Gizlilik Kuralları gibi anlaşmalar, ilgili ülkeler ve bu anlaşmaların geçerli olduğu
koşullar tanımlanmalıdır.
8.5.2 Kişisel verilerin aktarılabileceği ülkeler ve uluslararası kuruluşlar
Kontrol
Kuruluş, kişisel verilerin aktarılabileceği ülke veya uluslararası kuruluşları belirlemeli ve dokümante
etmelidir.
Uygulama kılavuz bilgileri
Kişisel verilerin normal faaliyetlerde aktarılabileceği ülkelerin ve uluslararası kuruluşların isimleri
müşterilere bildirilmelidir. Kişisel verilerin işlenmesi için alt yüklenici kullanımından kaynaklanan
ülkelerin isimleri de buna dâhil edilmelidir. Ülke listesi belirlenirken 8.5.1 de değerlendirilmelidir.
Normal faaliyetlerin dışında, kanun uygulayıcı bir makamın talebi üzerine, ülkelerin kimliğinin önceden
belirtilemediği veya ilgili yargı makamları tarafından bir kolluk soruşturmasının gizliliğini korumak için
yasaklandığı aktarma vakaları olabilir (bk. 7.5.1, 8.5.4 ve 8.5.5).
8.5.3 Üçüncü taraflara yapılan kişisel veri ifşalarının kayıtları
Kontrol
Kuruluş, üçüncü taraflara yaptığı kişisel veri ifşalarının, hangi kişisel verinin, kime, ne zaman ifşa edildiği
bilgileri ile birlikte kaydını tutmalıdır.
Uygulama kılavuz bilgileri
Kişisel veriler, normal faaliyetler sırasında ifşa edilebilir. Bu ifşalar kaydedilmelidir.
Yasal soruşturmalar veya dış denetimlerden kaynaklanan ifşalar gibi üçüncü taraflara yapılacak ek ifşalar
da kaydedilmelidir. Kayıtlar, ifşanın kaynağını ve ifşa etme yetkisinin kaynağını içermelidir.
8.5.4 Kişisel veri ifşa taleplerinin bildirimi
Kontrol
Kuruluş, yasal olarak bağlayıcı olan kişisel verilerin ifşa edilmesi taleplerini müşterisine bildirmelidir.
Uygulama kılavuz bilgileri
Kuruluş, kişisel verilerin ifşa edilmesi için yasal olarak bağlayıcı talepler alabilir (ör. emniyet
yetkililerinden). Bu durumlarda, kuruluş, kabul edilen zaman dilimleri içinde ve üzerinde anlaşılan bir
prosedüre göre (müşteri sözleşmesine dâhil edilebilecek) bu tür bir talebi müşteriye bildirmelidir.
Bazı durumlarda, yasal olarak bağlayıcı talepler, kuruluşun olay hakkında kimseyi bilgilendirmemesini
gerektirir (ifşa ile ilgili olası bir yasaklamaya bir örnek, bir kolluk soruşturmasının gizliliğini korumak
için ceza yasası kapsamında bir yasak olabilir).
8.5.5 Yasal olarak bağlayıcı kişisel veri ifşaları
Kontrol
Kuruluş, yasal olarak bağlayıcılığı olmayan bütün kişisel veri ifşalarını reddetmeli, herhangi bir kişisel
veriyi ifşa etmeden ve ilgili müşteri tarafından izin verilmiş kişisel veri ifşaları için sözleşmeye bağlı
olarak kararlaştırılmış bütün talepleri kabul etmeden önce ilgili müşteriye danışmalıdır.
Uygulama kılavuz bilgileri
Kontrolün uygulanmasına ilişkin detaylar müşteri sözleşmesine dâhil edilebilir.
Bu tür talepler mahkemeler ve idari makamlar da dâhil olmak üzere çeşitli kaynaklardan gelebilir.
Herhangi bir yetki alanından gelebilirler.
8.5.6 Kişisel veri işleme için kullanılan alt yüklenicilerin ifşa edilmesi
Kontrol
Kuruluş, veri işleme için kullanacağı bütün alt yüklenicileri veri işleme başlamadan önce müşterisine
bildirmelidir.
Uygulama kılavuz bilgileri
Kişisel veri işlemek için alt yüklenicilerin kullanımına ilişkin hükümler müşteri sözleşmesine dâhil
edilmelidir.
Açıklanan bilgiler, alt yüklenici kullanıldığı gerçeğini ve ilgili alt yüklenicileri adlarını kapsamalıdır.
Açıklanan bilgiler, alt yüklenicilerin veri aktarabilecekleri ülkeleri ve uluslararası kuruluşları (bk. 8.5.2)
ve alt yüklenicilerin kuruluşun yükümlülüklerini karşılamak veya aşmakla yükümlü oldukları araçları
(bk. 8.5.7) içermelidir.
Alt yüklenici bilgilerinin kamuya açıklanmasının güvenlik riskini kabul edilebilir sınırların ötesine
taşıdığı değerlendirildiğinde, açıklama gizlilik sözleşmesi ve/veya müşterinin talebi üzerine yapılmalıdır.
Müşteri, bilgilerin mevcut olduğu konusunda bilgilendirilmelidir.
Bu, kişisel verilerin aktarılabileceği ülkelerin listesini ilgilendirmez. Bu liste, her durumda müşteriye,
ilgili kişisel veri sahiplerini bildirmelerini sağlayacak şekilde açıklanmalıdır.
8.5.7 Kişisel verilerin işlenmesi için alt yüklenici kullanımı
Kontrol
Kuruluş; verilerin işlenmesi için bir alt yükleniciyi, sadece müşteri sözleşmesine uygun şekilde
kullanmalıdır.
Uygulama kılavuz bilgileri
Kuruluş, söz konusu kişisel verilerin işlenmesinin bir kısmını veya tamamını başka bir kuruluşa
verdiğinde, kişisel verilerin alt yüklenici tarafından işlenmesinden önce müşteriden yazılı izin alınması
gerekir.
Bu izin, müşteri sözleşmesinde uygun maddeler şeklinde veya özel bir "bir defalık" sözleşme şeklinde
olabilir.
Kuruluş, kendi adına kişisel verilerin işlenmesi için kullandığı bütün alt yüklenicilerle yazılı bir sözleşme
yapmalı ve alt yüklenicilerle olan sözleşmelerinin Ek B'deki uygun kontrollerin uygulanmasını ele
almasını sağlamalıdır.
Kuruluş ile kuruluş adına kişisel verileri işleyen bir alt yüklenici arasındaki sözleşme, alt yüklenicinin,
bilgi güvenliği risk değerlendirme sürecini (bk. 5.4.1.2) ve kişisel veri işleyen tarafından gerçekleştirilen
kişisel verilerin işlemesinin kapsamını (bkz. 6.12) dikkate alarak Ek B'de belirtilen uygun kontrolleri
uygulamasını gerektirmelidir.
Varsayılan olarak, Ek B'de belirtilen tüm kontroller ilgili kabul edilmelidir. Kuruluş, alt yüklenicinin Ek
B'deki bir kontrolü uygulamasına gerek olmadığına karar verirse, bu kontrolün hariç tutulmasını
gerekçelendirmelidir.
Bir sözleşme, her bir tarafın sorumluluklarını farklı şekilde tanımlayabilir ancak bu dokümanla tutarlı
olması için tüm kontroller dikkate alınmalı ve dokümante edilmiş bilgilere dâhil edilmelidir.
8.5.8 Kişisel veri işleme için kullanılan alt yüklenicinin değiştirilmesi
Kontrol
Kuruluş, konuyla ilgili yazılı olarak alınmış genel bir izne sahip olduğu durumlarda, kişisel veri işleme
için kullanılan alt yüklenicilerin artırılması veya değiştirilmesine yönelik her türlü değişiklik niyetini
müşteriye bildirmeli, bu sayede müşteriye değişikliklere itiraz etme şansı sağlamalıdır.
Uygulama kılavuz bilgileri
Kuruluş, söz konusu kişisel verilerin işlenmesinin bir kısmını veya tamamını alt yüklenicilerine verdiği
kuruluşu değiştirdiğinde, kişisel verilerin yeni alt yüklenici tarafından işlenmesinden önce değişiklik için
müşteriden yazılı izin alınması gerekir. Bu izin, müşteri sözleşmesinde uygun maddeler şeklinde veya
özel bir "bir defalık" sözleşme şeklinde olabilir.
Ek A
(bağlayıcı)
Bu ek, kişisel veri işleyeni olsun veya olmasın, kişisel veri sorumlusu olarak hareket eden
kuruluşlar tarafından kullanılması içindir. ISO/IEC 27001:2013 Ek A'yı genişletir.
Çizelge A.1'de listelenen ek veya değiştirilmiş kontrol hedefleri ve kontrolleri doğrudan bu
belgede tanımlananlardan türetilmiş ve bunlarla uyumludur ve 5.4.1.3'te belirtildiği gibi ISO/IEC
27001:2013, 6.1.3 bağlamında kullanılmalıdır.
Bu ekte listelenen tüm kontrol hedefleri ve kontrollerinin KVYS kurulumuna dâhil edilmesi
gerekmez. Herhangi bir kontrol hedefinin hariç tutulmasına yönelik bir gerekçe, Uygulanabilirlik
Beyanı’nda yer alacaktır (bk. 5.4.1.3). Hariç tutma gerekçesi, kontrollerin risk değerlendirmesi
tarafından gerekli görülmediği ve geçerli mevzuat ve/veya yönetmelik tarafından gerekli
olmadığı (veya istisnalara tabi olduğu) yerleri içerebilir.
NOT Bu ekteki madde numaraları, Madde 7'deki alt madde numaraları ile ilgilidir.
Çizelge A.1 — Kontrol hedefleri ve kontrolleri
A.7.2.1 Toplama ve işleme koşulları
Hedef:
Kişisel veri işlemesinin yasal olduğunu, ilgili yargı otoritesi nezdinde yasal dayanağa sahip olduğunu ve açıkça
tanımlanmış ve meşru amaçlar taşıdığını belirlemek ve dokümante etmek.
A.7.2.1 Amacın tanımlanması ve Kontrol
dokümante edilmesi
Kuruluş, kişisel verilerin işlenme sebebi olan özel amaçları
tanımlamalı ve dokümante etmelidir.
A.7.2.2 Yasal dayanağın Kontrol
tanımlanması
Kuruluş, kişisel verilerin işlenmesi için tanımlanmış amaçlar
doğrultusunda ilgili yasal dayanağı belirlemeli, dokümante etmeli
ve bu dayanağa uygun hareket etmelidir.
A.7.2.3 Rızanın ne zaman ve Kontrol
nasıl alınacağının
Kuruluş, veri sahiplerinden verilerin işlenmesi için rızanın alınıp
belirlenmesi
alınmadığını, alındıysa ne zaman ve nasıl alındığını gösterebilen bir
süreci belirlemeli ve dokümante etmelidir.
A.7.2.4 Rızanın alınması ve Kontrol
kaydedilmesi
Kuruluş, kişisel veri sahiplerinden rıza almayı ve bu rızaları
kaydetmeyi dokümante edilmiş süreçlere uygun şekilde
gerçekleştirmelidir.
A.7.2.5 Gizlilik etki Kontrol
değerlendirmesi
Kuruluş, yeni kişisel veriler işlendiğinde ve kişisel verilerin mevcut
işlenmesinde değişiklikler planlandığında Gizlilik Etki
Ek B
(bağlayıcı)
Bu ek, kişisel veri alt yüklenicisi olsun veya olmasın, kişisel veri işleyen olarak görev yapan kuruluşlar
tarafından kullanılması içindir. Ek B, ISO/IEC 27001:2013, Ek A'yı daha da detaylandırır.
Çizelge B.1'de listelenen ek veya değiştirilmiş kontrol hedefleri ve kontrolleri, doğrudan bu dokümanda
tanımlananlardan türetilmiştir ve bunlarla uyumludur ve 5.4.1.3 ile geliştirilmiş olan ISO/IEC
27001:2013, 6.1.3 ile aynı bağlamda kullanılmalıdır.
Bu ekte listelenen tüm kontrol hedefleri ve kontrollerinin KVYS uygulamasına dâhil edilmesi gerekmez.
Herhangi bir kontrol hedefinin hariç tutulmasına yönelik bir gerekçe, Uygulanabilirlik Beyanı’nda yer
almalıdır (bk. 5.4.1.3). Hariç tutma gerekçesinde, kontrollerin risk değerlendirmesi tarafından gerekli
görülmediği ve geçerli mevzuat ve/veya düzenlemeler tarafından gerekli olmadığı (veya istisnalara tabi
olduğu) hususlar belirtilebilir.
NOT Bu ekteki madde numaraları, Madde 8'de verilen alt madde numaraları ile ilgilidir.
Çizelge B.1 — Kontrol hedefleri ve kontroller
B.8.2 Toplama ve işleme koşulları
Hedef:
Kişisel veri işlemesinin yasal olduğunu, geçerli otoriteler nezdinde yasal dayanağa sahip olduğunu ve
açıkça tanımlanmış ve meşru amaçları olduğunu belirlemek ve dokümante etmek.
B.8.2.1 Müşteri Anlaşması Kontrol
Kuruluş, mümkün olan durumlarda, kişisel veri işleme için
yapılan anlaşmalarda kuruluş rolünün, müşterinin
yükümlülüklerine yardım edecek (veri işlemenin yapısını ve
kuruluşa sağlanan bilgiyi göz önünde tutarak) şekilde yer
almasını sağlamalıdır.
B.8.2.2 Kuruluşun amaçları Kontrol:
Kuruluş, müşteri adına işlenen kişisel verilerin yalnızca,
müşterinin dokümante edilmiş talimatlarında belirttiği
amaçlara uygun şekilde işlenmesini sağlamalıdır.
B.8.2.3 Pazarlama ve Kontrol:
reklam kullanımı
Kuruluş, bir sözleşme kapsamında işlenmiş kişisel veriyi, uygun
veri sahibinden önceden rıza alındığından emin olmadan
pazarlama ve reklam amacıyla kullanmamalıdır.
Kuruluş, söz konusu rızanın verilmesini hizmetin alınmasının
şartı olarak belirtmemelidir.
B.8.2.4 İhlale sebep olan Kontrol
talimatlar
Kuruluş verilen bir veri işlemesi talimatının, ilgili mevzuat veya
düzenlemeyi ihlal ettiğini düşünüyorsa müşteriye bu durumu
bildirmelidir.
Ek C
(bilgi için)
Çizelge C.1 ve C.2, bu dokümanın hükümleri ile ISO/IEC 29100’de verilen gizlilik ilkeleri arasında
açıklayıcı bir eşleştirme sunmaktadır. Söz konusu çizelge, bu dokümanın gereklilikleri ve kontrollerinin
ISO/IEC 29100’de verilen gizlilik ilkeleriyle nasıl ilişkilendirilebileceğini göstermektedir.
Çizelge C.1 — Kişisel veri sorumlularına ilişkin kontrollerle ISO/IEC 29100’ün eşleştirilmesi
8. Bireysel katılım ve erişim A.7.3.1 Veri sahiplerine karşı yükümlülüklerin belirlenmesi ve yerine
getirilmesi
A.7.3.3 İşlenen kişisel verilerin kopyasının sağlanması
A.7.3.6 Erişim, düzeltme ve/veya silme
A.7.3.8 İşlenen kişisel verilerin kopyasının sağlanması
A.7.3.9 Taleplerin ele alınması
Çizelge C.2 — Kişisel veri işleyenlere ilişkin kontrollerle ISO/IEC 29100’ün eşleştirilmesi
ISO/IEC 29100’de verilen gizlilik Kişisel veri işleyenler için ilgili kontroller
ilkeleri
1. Rıza ve seçim B.8.2.5 Müşteri yükümlülükleri
2. Amacın meşruiyeti ve açıklaması B.8.2.1 Müşteri anlaşması
B.8.2.2 Kuruluşun amaçları
B.8.2.3 Pazarlama ve reklam kullanımı
B.8.2.4 İhlale sebep olan talimatlar
B.8.3.1 Veri sahiplerine karşı yükümlülükler
3. Toplamanın sınırlandırılması —
6. Doğruluk ve nitelik —
ISO/IEC 29100’de verilen gizlilik Kişisel veri işleyenler için ilgili kontroller
ilkeleri
7. Açıklık, şeffaflık ve bilgilendirme B.8.5.6 Kişisel veri işleme için kullanılan alt yüklenicilerin ifşa
edilmesi
B.8.5.7 Kişisel verilerin işlenmesi için alt yüklenici kullanımı
B.8.5.8 Kişisel veri işleme için kullanılan alt yüklenicinin
değiştirilmesi
Ek D
(bilgi için)
Bu ek, bu dokümanın hükümleri ile Avrupa Birliği Genel Veri Koruma Tüzüğü, Madde 5 ila 49’da (Madde
43 hariç) verilen hükümler arasında açıklayıcı bir eşleştirme sunmaktadır. Ek D, bu dokümanın
gerekliliklerine ve kontrollerine uygunluğun, GDPR'nin yükümlülüklerinin karşılanmasıyla ne derece
ilişkilendirilebileceğini göstermektedir.
Ancak bu ekte verilenler tamamen açıklayıcı niteliktedir ve bu doküman uyarınca, tabi olduğu yasal
yükümlülükleri değerlendirmek ve bunlara nasıl uyacağına karar vermek kuruluşun sorumluluğundadır.
Çizelge D.1 —ISO/IEC 27701 yapısı ile GDPR maddeleri
arasında eşleştirme
Bu dokümanın alt GDPR maddesi
maddesi
5.2.1 (24)(3), (25)(3), (28)(5), (28)(6), (28)(10), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)
(c), (40)(2)(d), (40)(2)(e), (40)(2)(f ), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)
(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1),
(41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)
(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
5.2.2 (31), (35)(9), (36)(1), (36)(2), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e),
(36)(3)(f ), (36)(5)
5.2.3 (32)(2)
5.2.4 (32)(2)
5.4.1.2 (32)(1)(b), (32)(2)
5.4.1.3 (32)(1)(b), (32)(2)
6.2.1.1 (24)(2)
6.3.1.1 (27)(1), (27)(2)(a), (27)(2)(b), (27)(3), (27)(4), (27)(5), (37)(1)(a), (37)(1)(b), (37)(1)(c),
(37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)
(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
6.3.2.1 (5)(1)(f )
6.4.2.2 (39)(1)(b)
6.5.2.1 (5)(1)(f ), (32)(2)
6.5.2.2 (5)(1)(f )
6.5.3.1 (5)(1)(f ), (32)(1)(a)
6.5.3.2 (5)(1)(f )
6.5.3.3 (5)(1)(f ), (32)(1)(a)
6.6.2.1 (5)(1)(f )
6.6.2.2 (5)(1)(f )
6.6.4.2 (5)(1)(f )
6.7.1.1 (32)(1)(a)
6.8.2.7 (5)(1)(f )
6.8.2.9 (5)(1)(f )
6.9.3.1 (5)(1)(f ), (32)(1)(c)
6.9.4.1 (5)(1)(f )
6.9.4.2 (5)(1)(f )
Ek E
(bilgi için)
ISO/IEC 27018, kişisel veri işleyen olarak görev yapan ve genel bulut hizmetleri sağlayan kuruluşlar için
ayrıntılı bilgiler içerir. ISO/IEC 29151, kişisel veri sorumlusu tarafından işlenen kişisel veriler için ek
kontroller ve kılavuz bilgiler sağlar.
Çizelge E.1, bu dokümanın hükümleri ile ISO/IEC 27018 ve ISO/IEC 29151’de verilen hükümler
arasında açıklayıcı bir eşleştirme sunmaktadır. Söz konusu çizelge, bu dokümanın gereklilikleri ve
kontrollerinin ISO/IEC 27018 ve/veya ISO/IEC 29151 hükümleri ile nasıl ilişkilendirilebileceğini
göstermektedir.
Verilen çizelge tamamen açıklayıcı niteliktedir, dolayısıyla hükümler arasında yapılan eşleştirmenin bir
denklik olarak yorumlanmaması gerekir.
Çizelge E.1 —ISO/IEC 27701 ile ISO/IEC 27018 ve ISO/IEC 29151 arasında
Eşleştirme
Bu dokümanın alt ISO/IEC 27018’in alt ISO/IEC 29151’in alt
maddesi maddesi maddesi
5.2 — —
5.3 — —
5.4 — 4.2
5.5 — 7.2.3
5.6 — —
5.7 — —
5.8 — —
6.1 — —
6.2 5.1.1 5
6.3 6.1.1 —
6.4 7.2.2 —
6.5.1 — 8.1
6.5.2 — 8.2
6.5.3 A.11.4, A.11.5 8.3
6.6.1 — —
6.6.2 9.2.1, A.11.8, A,11,9, A.11.10 9.2
6.6.3 — 9.3
6.6.4 7.2.2, 9.4.2 9.4
6.7 10.1.1 —
6.8.1 — 11.1
6.8.2 11.2.7, A.11.2, A.11.13 —
6.9.1 — 12.1
6.9.2 — 12.2
6.9.3 — 12.3
6.9.4 12.4.1, 12.4.2 12.4
6.9.5 — —
6.9.6 — —
6.9.7 — —
6.10.1 — 13.1
6.10.2 13.2.1, A.11.1 13.2
6.11.1 A.11.6 —
6.11.2 — —
6.11.3 12.1.4 —
6.12.1 A.11.11 —
6.12.2 — —
6.13 16.1.1, A.10.1 —
6.14 — —
6.15.1 A.10.2 —
6.15.2 18.2.1 18.2
7.2.1 — A.4
7.2.2 — A.4.1
7.2.3 — —
7.2.4 — A.3.1
7.2.5 — A.11.2
7.2.6 — A.11.3
7.2.7 — —
7.2.8 — —
7.3.1 — A.10
7.3.2 — —
7.3.3 — A.9
7.3.4 — —
7.3.5 — —
7.3.6 — A.10.1
7.3.7 — —
7.3.8 — —
7.3.9 — —
7.3.10 — —
7.4.1 — A.5
7.4.2 — —
7.4.3 — A.8
7.4.4 — —
7.4.5 — A.7.1
7.4.6 — A.7.2
7.4.7 — A.7.1
7.4.8 — —
7.4.9 — —
7.5.1 — A.13.2
7.5.2 — A.13.2
7.5.3 — A.13.2
7.5.4 — A.7.4
8.2.1 — —
58 © TSE - Tüm hakları saklıdır.
TÜRK STANDARDLARININ TELiF HAKKI TSE'YE AiTTiR. STANDARDIN BU NÜSHASININ KULLANIM iZNi TSE TARAFINDAN
iSTANBUL ATLAS ÜNiVERSiTESi'A VERiLMiSTiR. BASILMA TARiHi: 19.02.2021
TSE'DEN iZiN ALINMADAN STANDARDIN BiR BÖLÜMÜ/TAMAMI iKTiBAS EDiLEMEZ, ÇOGALTILAMAZ.
ISO/IEC 27701:2019 TS ISO/IEC 27701:2019
8.2.2 A.3.1 —
8.2.3 A.3.2 —
8.2.4 — —
8.2.5 — —
8.2.6 — —
8.3.1 A.2.1 —
8.4.1 A.5.1 —
8.4.2 A.10.3 —
8.4.3 A.12.2 —
8.5.1 — —
8.5.2 A.12.1 —
8.5.3 A.6.2 —
8.5.4 A.6.1 —
8.5.5 A.6.1 —
8.5.6 A.8.1 A.7.5
8.5.7 A.8.1 —
8.5.8 A.8.1 —
Ek F
(bilgi için)
Temel olarak, kişisel veriler işlenirken kişisel veri sahiplerinin gizliliğinin korunmasında bu dokümanın
uygulanması için üç durum vardır:
1) Güvenlik standartlarının mevcut hâliyle uygulanması: Atıfta bulunulan standartlar, yukarıda
listelenen terimlerin uzatılmış biçimleriyle birlikte olduğu gibi geçerlidir. Bu nedenle, atıfta
bulunulan standart tekrarlanmaz, sadece ilgili maddelerde atıfta bulunulur.
2) Güvenlik standartlarına eklemeler yapılması: Atıfta bulunulan standartlar, gizliliğe özgü ek
gereklilikler veya uygulama kılavuz bilgileri ile birlikte geçerlidir.
3) Güvenlik standartlarının iyileştirilmesi: Atıfta bulunulan standartlar, gizliliğe özgü gereklilikler veya
uygulama kılavuz bilgileriyle geliştirilir.
Kaynaklar
[1] ISO/IEC 19944, Information technology — Cloud computing — Cloud services and devices: Data
flow, data categories and data use
[2] ISO/IEC 20889, Privacy enhancing data de-identification terminology and classification of
techniques
[3] ISO/IEC 27005, Information technology — Security techniques — Information security risk
management
[4] ISO/IEC 27018, Information technology — Security techniques — Code of practice for protection of
personally identifiable information (PII) in public clouds acting as PII processors
[5] ISO/IEC 27035-1, Information technology — Security techniques — Information security incident
management — Part 1: Principles of incident management
[6] ISO/IEC 29101, Information technology — Security techniques — Privacy architecture framework
[7] ISO/IEC 29134, Information technology — Security techniques — Guidelines for privacy impact
assessment
[8] ISO/IEC 29151, Information technology — Security techniques — Code of practice for personally
identifiable information protection
[9] ISO/IEC/DIS 29184, Information technology — Security techniques — Guidelines for online privacy
notices and consent