ISO 27701’de Kişisel Veri Paylaşımı Süreci Nasıl Yönetilir?
Kişisel verilerin kurum dışındaki üçüncü taraflarla paylaşılması, KVKK ve GDPR gibi veri koruma yasalarının en hassas denetim noktalarından biridir.
ISO/IEC 27701:2019 standardı ise, bu paylaşımların şeffaf, sözleşmesel ve denetlenebilir şekilde yapılmasını zorunlu kılar.
Veri paylaşımı bir hak değil, istisnai bir durumdur. Denetlenebilir süreçler olmadan, kişisel veri paylaşımı kurumun yasal riskini artırır.
ISO 27701’de Kapsanan Paylaşım İlkeleri
ISO 27701, veri paylaşımını yöneten kurumlar için iki rol tanımlar:
| Rol | Açıklama |
|---|---|
| Veri Sorumlusu (Controller) | Verinin neden ve nasıl işlendiğine karar veren kurum |
| Veri İşleyen (Processor) | Veri sorumlusu adına veri işleyen üçüncü taraf (örneğin dış IT firması, bordro firması) |
Kişisel Veri Paylaşım Süreci Nasıl Yönetilmeli?
1. Paylaşımın Gerekçesi Belirlenmeli
-
Paylaşım yasal bir yükümlülük mü?
-
Sözleşmeye dayalı bir iş süreci mi?
-
İlgili kişinin rızası var mı?
Gerekçesiz veri paylaşımı hem KVKK hem GDPR kapsamında ihlaldir.
2. Veri Envanteri Üzerinden Paylaşım Analizi
Veri envanteri üzerinde, hangi verilerin kimlerle ve neden paylaşıldığı belirlenmeli.
| Veri Türü | Paylaşılan Taraf | Hukuki Dayanak |
|---|---|---|
| Personel maaş verisi | Bordro şirketi | Sözleşme + KVKK Md.5/2 |
| Kamera kayıtları | Güvenlik firması | Meşru menfaat |
| Ziyaretçi kayıtları | Denetim firması | Yasal yükümlülük |
3. Sözleşme ve Taahhütname Süreci
Her veri paylaşımı için mutlaka şu belgeler hazırlanmalı:
-
Veri İşleme Sözleşmesi (Processor sözleşmesi – ISO 27701 A.7.2.1)
-
Gizlilik Taahhütnamesi
-
Alt işleyicilerle paylaşım yetkisi – açıkça belirtilmeli
-
Yedekleme / imha süreleri – sözleşmede tanımlanmalı
4. Paylaşım Öncesi Açık Rıza Gerekliliği Analizi
-
Eğer paylaşım yasal yükümlülük değilse → Açık rıza alınmalı
-
Rıza; bilgilendirme + özgür irade + istenildiğinde geri alma hakkını içermeli
-
KVKK Md.10 ve GDPR Mad.13/14’e uygun aydınlatma metni hazırlanmalı
5. Paylaşımın İzlenmesi ve Denetlenmesi
ISO 27701, sadece sözleşme yapmakla kalmayıp, gerçekten uygun işlenip işlenmediğini denetlemenizi ister:
| Kontrol Alanı | İzleme Örneği |
|---|---|
| Sözleşme süresi doldu mu? | İmza tarih kontrolü |
| Silme/imha taahhütlerine uyuluyor mu? | İmha tutanakları |
| Alt işleyici kullanıldı mı? | Bilgilendirme kanıtı |
| Log erişim kontrolleri | IP kayıtları |
Önerilen Dokümanlar
-
Kişisel Veri Paylaşım Prosedürü
-
Üçüncü Taraf Risk Değerlendirme Formu
-
Veri İşleme Sözleşmesi Şablonu
-
KVKK Aydınlatma Metni
-
Açık Rıza Onay Formu
-
Paylaşım Takip Tablosu (Excel)
Denetimlerde Sıkça Sorulan Sorular
| Soru | Beklenen Kanıt |
|---|---|
| Veriler kimlerle paylaşılmaktadır? | Paylaşım envanteri |
| Hangi hukuki dayanakla paylaşılıyor? | Paylaşım tablosu + rıza |
| Sözleşmeler güncel mi? | İmzalı kopya ve revizyon tarihi |
| Paylaşım yapılan taraflar denetleniyor mu? | İç denetim raporu |
| Paylaşım sonrası imha süreçleri tanımlı mı? | İmha planı / taahhütler |
YYS Danışmanlık ile Ne Sağlıyoruz?
-
Paylaşım prosedür ve politikalarının kurulması
-
Veri işleme sözleşmelerinin hazırlanması
-
Dış kaynaklara yönelik risk değerlendirmesi
-
Açık rıza süreçlerinin KVKK ve GDPR ile uyumlu hale getirilmesi
-
Denetim belgelerinin oluşturulması
Sonuç:
Kişisel veri paylaşımı, izinsiz gerçekleştiğinde sadece güven kaybına değil, ciddi idari para cezalarına da yol açar.
ISO 27701 ile sistemli bir paylaşım yönetimi, bu riski minimize eder.
Onaylarsanız sıradaki içeriği hazırlamaya geçebilirim. Alternatif başlık isterseniz hemen liste sunabilirim.