ISO 27701’de Veri İşleyen ile Veri Sorumlusu Arasındaki Farklar (2025 PIMS Uyum Rehberi)
Kişisel veri güvenliği söz konusu olduğunda, "kimin sorumlu olduğu" sorusu hem hukuki hem de operasyonel açıdan kritik öneme sahiptir.
ISO/IEC 27701, bilgi güvenliği yönetimi (ISO 27001) üzerine kurulu bir gizlilik uzantısıdır ve bu kapsamda en temel ayrımı net olarak tanımlar:
Veri Sorumlusu (Data Controller)
Veri İşleyen (Data Processor)
Bu iki rol, hem KVKK hem de GDPR kapsamında farklı yükümlülükler taşır ve ISO 27701, bu farkları belgeleyen bir çerçeve sunar.
Tanımlar: Veri Sorumlusu vs. Veri İşleyen
| Rol | Tanımı | Örnek |
|---|---|---|
| Veri Sorumlusu | Kişisel verilerin işlenme amaç ve vasıtalarını belirleyen kişi veya kuruluştur. | Hastane yönetimi, e-ticaret firması |
| Veri İşleyen | Veri sorumlusunun talimatları doğrultusunda verileri işleyen, ancak amaç ve vasıta belirlemeyen taraf | Bulut hizmeti sağlayıcı, çağrı merkezi firması |
ISO 27701 bu ayrımı “Privacy Information Management System (PIMS)” kapsamında belgelemeyi ve yönetmeyi zorunlu tutar.
KVKK ve GDPR Karşılaştırması
| Kriter | KVKK | GDPR |
|---|---|---|
| Tanım | md.3/ı ve md.4 | Madde 4.7 ve 4.8 |
| Doğrudan sorumlu | Sadece veri sorumlusu | Hem veri sorumlusu hem işleyen |
| Sözleşme zorunluluğu | Belirsizdir | Veri sorumlusu ile işleyen arasında sözleşme şarttır |
| Cezai sorumluluk | Genellikle veri sorumlusuna aittir | Her iki tarafa da olabilir |
ISO 27701, her iki sistemle de uyumlu olacak şekilde tasarlanmıştır.
ISO 27701’de Roller Nasıl Yönetilir?
1. Roller Net Tanımlanmalı
Her iş biriminde hangi tarafın hangi rolü üstlendiği yazılı olarak tanımlanmalıdır.
Örn: Çağrı merkezi hizmeti veren firma = “Veri İşleyen”
2. Sözleşmeler ve Taahhütnameler
Veri sorumlusu ile veri işleyen arasında imzalanacak sözleşmelerde şu maddeler yer almalıdır:
-
Veri sadece belirtilen amaçla işlenir
-
Alt yüklenici kullanımı önceden onaya tabidir
-
İhlal durumunda bildirim yükümlülüğü vardır
-
Silme, düzeltme taleplerine uyum sağlanır
-
Denetim hakkı veri sorumlusundadır
3. Kayıtlar ve Kanıtlar
-
Rıza kayıtları kimde tutuluyor?
-
Kimin hangi veriye erişimi var?
-
Hangi platformda hangi veri işleniyor?
Tüm bu bilgiler Varlık Envanteri ve PIMS Roller Matrisi içinde tanımlanmalıdır.
4. Risk Bazlı Yaklaşım
-
Veri sorumlusu risk analizini daha geniş perspektifte yapar
-
Veri işleyen daha dar kapsamlı, operasyonel riskleri yönetir
ISO 27701 Uyumlu Doküman Önerileri
-
PIMS Sorumluluk Matrisi
-
Veri İşleyen Taahhütnamesi
-
Veri İşleme Sözleşmesi Şablonu (DPA)
-
Veri Sorumlusu Politikası
-
Denetim Check-listi
Denetimlerde Sık Sorulan Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Kim veri sorumlusu, kim işleyen? | Roller matrisi, sözleşmeler |
| Veri işleyen ile sözleşme var mı? | DPA veya SLA |
| Denetim hakkı tanımlanmış mı? | Sözleşme maddesi |
| Veri işleyen verileri nasıl koruyor? | Güvenlik politikaları |
| Veriler ne zaman siliniyor? | Saklama ve imha politikası |
YYS Danışmanlık Olarak Neler Sunuyoruz?
YYS olarak, ISO 27701 uyumluluğu için:
-
Veri sorumlusu & işleyen ayrımı analizi
-
Sözleşme şablonlarının hazırlanması
-
PIMS rol tanımları ve organizasyon yapısı
-
KVKK + ISO 27701 uyum senaryoları
-
İç denetim desteği ve sistem kurulumu
hizmetlerini sunuyoruz.
Sonuç:
Sağlam bir veri işleme yapısı, ancak doğru rol dağılımı ve güçlü sözleşmelerle mümkün olur.