ISO 27701’de Açık Rıza ve Aydınlatma Metni Nasıl Hazırlanır? (2025 KVKK Uyum Rehberi)
Kişisel verilerin korunması, 2025 yılında kurumlar için yalnızca bir yükümlülük değil, aynı zamanda kurumsal güvenin temel taşı haline gelmiştir.
ISO/IEC 27701 standardı, ISO 27001 üzerine inşa edilen bir “Gizlilik Bilgisi Yönetim Sistemi (PIMS)” standardıdır ve özellikle KVKK ve GDPR gibi regülasyonlara uyumu sağlamayı hedefler.
Bu kapsamda en kritik uygulamalardan biri:
Açık Rıza Beyanı
Aydınlatma Metni
Peki bu iki belge nasıl hazırlanır? ISO 27701'e ve KVKK’ya göre nelere dikkat edilmelidir?
Açık Rıza ve Aydınlatma Metni Nedir?
| Belge | Tanımı |
|---|---|
| Aydınlatma Metni | İlgili kişiye, verilerinin kim tarafından, hangi amaçla ve hangi hukuki dayanakla işlendiğini bildiren metindir. (KVKK md.10) |
| Açık Rıza | Belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay beyanıdır. (KVKK md.5/1) |
Not: Açık rıza, yalnızca zorunlu olmayan veri işleme faaliyetlerinde istenir. Mevzuat gereği işlenen veriler için aydınlatma yeterlidir.
ISO 27701’e Göre Açık Rıza Süreci
ISO 27701, GDPR ile uyumlu olarak açık rıza sürecini şu şekilde tanımlar:
- Rıza, ayrıştırılabilir, özgür iradeye dayalı ve kanıtlanabilir olmalıdır.
- Kişi, verdiği rızayı dilediği zaman geri alabilmelidir.
- Rıza metni basit, anlaşılır ve karmaşıklıktan uzak olmalıdır.
Aydınlatma Metni Nasıl Hazırlanır? (Adım Adım)
1. Veri Sorumlusunu Tanımlayın
-
Unvan, adres, iletişim bilgileri
2. Hangi Kişisel Verilerin İşlendiğini Belirtin
-
Kimlik, iletişim, özlük, sağlık, konum vs. (Kategorilere ayırın)
3. İşleme Amaçlarını Açıklayın
-
Personel yönetimi, müşteri ilişkileri, pazarlama, güvenlik, sözleşme yönetimi vb.
4. Hukuki Dayanakları Yazın
-
Açık rıza
-
Sözleşmenin ifası
-
Kanuni yükümlülük
-
Meşru menfaat vb.
5. Verilerin Kimlerle Paylaşıldığını Belirtin
-
Grup şirketleri, kamu kurumları, üçüncü taraf hizmet sağlayıcılar
6. Veri Sahibinin Haklarını Ekleyin
-
Bilgi alma, düzeltme, silme, itiraz, şikayet vb.
7. Başvuru Yolu Gösterin
-
KVKK başvuru e-posta adresi veya başvuru formu
Açık Rıza Beyanı Örneği
"Kişisel verilerimin, [işleme amacı] doğrultusunda işlenmesine ve belirtilen taraflarla paylaşılmasına açık rıza gösterdiğimi beyan ederim."
Not: Her bir veri işleme amacı için ayrı rıza alınmalı. (örn. pazarlama, kamera kaydı, yurtdışı aktarım)
ISO 27701 Uyumlu Uygulama Önerileri
-
Rıza ve aydınlatma metinleri versiyonlanmalı (revizyon kayıtları)
-
Dijital rıza süreçlerinde IP adresi, tarih-saat gibi kanıtlar saklanmalı
-
Rıza geri çekme süreci açıkça tanımlanmalı (form, e-posta, portal)
-
Rıza kayıtları BGYS dokümantasyonunda erişilebilir olmalı
-
Periyodik denetimlerde kontrol edilerek güncellenmeli
Denetimlerde Sık Sorulan Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Açık rıza metinleri ayrı mı tutuluyor? | Rıza kayıtları, loglar |
| Hangi veri işleme faaliyetlerinde rıza isteniyor? | Amaç bazlı liste |
| Kişiler rızasını nasıl geri çekebiliyor? | Süreç akışı, başvuru formu |
| Aydınlatma metni hangi kanallarda sunuluyor? | Web sitesi, e-posta, fiziksel form |
| Kim sorumlu? | PIMS yöneticisi veya Veri Sorumlusu Temsilcisi (DPO) |
???????? YYS Danışmanlık Olarak Ne Sağlıyoruz?
YYS olarak, ISO 27701 kapsamında:
-
KVKK ve GDPR uyumlu açık rıza ve aydınlatma metinleri
-
Rıza süreçlerinin sistematik kurulumu
-
ISO 27001 ile entegre gizlilik politikaları
-
PIMS organizasyon yapısının kurulması
-
İç denetim, risk değerlendirmesi ve veri envanteri desteği
sunuyoruz.
Unutmayın:
Kanuna uygun metinler sizi yalnızca bugünden değil, gelecekteki cezai risklerden de korur.