“Bilgi güvenliğinde teknik kavramlar kadar, doğru tanımlar da hayati önem taşır.”

Bu Yazıda Neyi Konuşacağız?

ISO 27701’in temeli; verinin kimin tarafından, hangi amaçla, nasıl işlendiğini tanımlamakla başlar. Bunun için standardın kritik kavramlarını ve rolleri netleştirmemiz gerekir. Özellikle ‘veri sorumlusu’ ve ‘veri işleyen’ ayrımı, gizlilik yükümlülüklerini doğrudan etkiler.

Anahtar Terimler:

- **Kişisel Olarak Tanımlanabilir Bilgi (PII): Bir bireyin doğrudan ya da dolaylı olarak tanımlanmasını sağlayan her türlü veri.

- **KVYS: Kişisel Veri Yönetim Sistemi, bilgi güvenliği sistemi (BGYS) üzerine kuruludur ama gizlilik odaklıdır.

- **Veri Sahibi: PII’nin sahibi olan gerçek kişi. ISO 27701 onun adına bir hak savunması sistemidir.

Temel Roller:

- **Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve yöntemlerini belirleyen kurum ya da kişi. Hukuki olarak en büyük yükümlülük ona aittir.

- **Veri İşleyen: Veri sorumlusu adına kişisel verileri işleyen hizmet sağlayıcıdır. Sorumlulukları sınırlı ama yükümlülükleri nettir.

- **Ortak Veri Sorumlusu: İşleme amacı ve araçlarında birlikte karar veren iki kurumdur. Paylaşılan sorumluluk ve hesap verebilirlik taşır.

Tavsiyeler:

- Tüm tarafların rolünü netleştirin: sözleşmelerde açıkça belirtin.

- Veri sorumlusuysanız, işleme amacı, yasal dayanak ve veri konusu kişiye açıklamalarınız eksiksiz olmalı.

- İşleyen rolündeyseniz, sadece talimatla işleyin; veri üzerinde bağımsız işlem yapmayın.

Son Söz:

ISO 27701, gizliliği yönetmek isteyenlere sadece teknoloji değil, doğru tanımlar ve net roller de sunar. Yanlış rol tanımı, en büyük uyum riskidir. Kavramları ne kadar doğru anlarsanız, sisteminiz o kadar sağlam olur.