“Veriyi yönetmek sorumluluktur. Kişisel veriyi yönetmek ise sorumluluğun etik sınavıdır.”

Bu Yazıda Neyi Konuşacağız?

ISO 27701’in 7. maddesi, kişisel verilerin kontrolünü elinde tutan taraf, yani ‘veri sorumlusu’ için detaylı gereklilikler sunar. Bu gereklilikler, özellikle rıza, şeffaflık, bildirim ve birey haklarına odaklanır. GDPR, KVKK gibi regülasyonlarla da birebir örtüşür.

Madde 7 Kapsamında Veri Sorumlularının Yükümlülükleri:

- Kişisel verilerin hangi amaçla işlendiğini açıkça belirtmelidir.

- Veri sahibi bireye açık, anlaşılır ve zamanında bilgilendirme yapmalıdır.

- Gerekli durumlarda rıza almalı ve bunu ispatlayabilmelidir.

- Birey haklarına hızlı ve etkin cevap vermelidir. (erişim, düzeltme, silme, itiraz)

- Veri aktarımı ve üçüncü taraf ilişkilerinde şeffaf olmalıdır.

- Gizlilik etki değerlendirmesi (PIA) gibi önleyici süreçler yürütmelidir.

Tavsiyeler:

- Aydınlatma metinlerinizi sade, kolay erişilebilir ve güncel tutun.

- Her sistemde veri işleme faaliyetinin hukuki dayanağını belirleyin.

- KVKK, GDPR gibi yasal dayanaklara göre veri kategorilerini sınıflandırın.

- PIA (Privacy Impact Assessment - Gizlilik Etki Değerlendirmesi) süreçlerini proje yönetim döngüsüne entegre edin.

Son Söz:

Veri sorumlusu olmak, sadece süreç yönetmek değil, bireyin mahremiyetine sahip çıkmaktır. ISO 27701’in Madde 7’si, bunu nasıl sistemli ve sürdürülebilir yapacağınızı gösterir. Ve unutmayın: veri bir emanet, siz de emanetçisiniz.