“Veriyi başkası adına işlemek, sorumluluğu ortadan kaldırmaz. Hatta daha netleştirir.”

Bu Yazıda Neyi Konuşacağız?

ISO 27701’in 8. maddesi, ‘veri işleyen’ rolüne özel rehberlik sunar. Yani bir başkası adına kişisel veriyi işleyen kurum ya da hizmet sağlayıcının, gizlilik kurallarına nasıl uyması gerektiğini açıklar.

Veri İşleyenlerin Uyması Gereken Temel Gereklilikler:

- Veri yalnızca veri sorumlusunun talimatları doğrultusunda işlenmelidir.

- Sözleşmeler açık, kapsamlı ve gizlilik yükümlülüklerini kapsayıcı olmalıdır.

- Alt yüklenicilerle yapılan paylaşımlarda da aynı gizlilik düzeyi sağlanmalıdır.

- Erişim kontrolleri, loglama ve şifreleme mekanizmaları uygulanmalıdır.

- Veri sahibi hak talepleri veri sorumlusuna hızlıca iletilmelidir.

- Süreçler izlenebilir, kayıt altına alınabilir ve denetlenebilir olmalıdır.

Tavsiyeler:

- Müşteri (veri sorumlusu) ile yapılan sözleşmelerde hangi veriye hangi personelin erişebileceği tanımlansın

- Alt yüklenicilerle de ISO 27701 uyumlu gizlilik maddeleri içeren sözleşmeler yapılmalı

- Talimat dışında veri işleme faaliyetleri kesinlikle yasaklanmalı ve sistematik olarak izlenmelidir.

Son Söz:

Veri işleyen olmak, görünmeyen ama yüksek sorumluluk demektir. ISO 27701 Madde 8, bu rolü şeffaf, ölçülebilir ve güvenilir hale getirir. Unutmayın: veri işlemek, veri sahibine dokunmaktır. İzinle, güvenle ve kayıtla çalışın.