1. GİRİŞ: DİJİTAL DÜNYADA VERİ GİZLİLİĞİNİN YENİ GERÇEĞİ

Dijital dönüşüm, şirketlerin çalışma biçimini kökten değiştirmiştir. Artık işletmeler sadece ürün veya hizmet üretmiyor; aynı zamanda büyük miktarda kişisel veri işliyor.

Müşteri adı, e-posta adresi, IP bilgisi, konum verisi, satın alma geçmişi ve davranış analizleri gibi veriler her gün milyonlarca kez toplanıyor.

Bu durum beraberinde ciddi bir sorunu getiriyor:

“Bu kadar kişisel veri nasıl güvenli şekilde yönetilecek?”

İşte bu sorunun cevabı ISO 27701 Kişisel Veri Yönetim Sistemi (PIMS) standardıdır.

ISO 27701:

• Kişisel verilerin nasıl yönetileceğini tanımlar
• Veri gizliliği süreçlerini standardize eder
• KVKK ve GDPR uyumunu sağlar
• Kurumlara uluslararası güven kazandırır

---

2. ISO 27701 KİŞİSEL VERİ YÖNETİM SİSTEMİ (PIMS) NEDİR?

ISO 27701, İngilizce adıyla:

Privacy Information Management System (PIMS)

yani Kişisel Veri Yönetim Sistemi standardıdır.

Bu sistem, kuruluşların:

• Hangi verileri topladığını
• Bu verileri nasıl işlediğini
• Kimlerle paylaştığını
• Ne kadar süre sakladığını
• Nasıl koruduğunu

sistematik olarak yönetmesini sağlar.

---

2.1 ISO 27701’İN TEMEL AMACI

ISO 27701’in amacı sadece “veri korumak” değildir.

Asıl amaç:

• Kişisel veriyi yaşam döngüsü içinde yönetmek
• Yasal düzenlemelere uyum sağlamak
• Veri ihlallerini önlemek
• Kurumsal şeffaflık oluşturmak

---

2.2 ISO 27701 HANGİ PROBLEMİ ÇÖZER?

Günümüzde şirketlerin en büyük sorunları:

• Veri sızıntıları
• KVKK cezaları
• GDPR yaptırımları
• Siber saldırılar
• Müşteri güven kaybı

ISO 27701 bu riskleri azaltmak için geliştirilmiştir.

---

3. ISO 27701 NEDEN GELİŞTİRİLDİ?

Dünya genelinde veri ihlali vakaları artmıştır.

Örneğin:

• Milyonlarca kullanıcı verisinin çalınması
• Sosyal medya platformlarında veri sızıntıları
• E-ticaret sitelerinde müşteri bilgilerinin ifşası

Bu durum şu ihtiyacı doğurdu:

“Kişisel veri yönetimi için ayrı bir uluslararası standart gerekir.”

ISO 27701 bu nedenle oluşturulmuştur.

---

4. ISO 27701 VE ISO 27001 İLİŞKİSİ

ISO 27701 tek başına bir sistem değildir.

Mutlaka:

ISO 27001 Bilgi Güvenliği Yönetim Sistemi üzerine kuruludur.

---

4.1 ISO 27001 NEDİR?

ISO 27001:

• Bilgi güvenliğini yönetir
• Sistem güvenliği sağlar
• Siber riskleri azaltır

---

4.2 ISO 27701 NE EKLER?

ISO 27701, ISO 27001’e şu katmanları ekler:

• Kişisel veri yönetimi
• Gizlilik politikaları
• Veri işleme prosedürleri
• Veri sahibi hakları
• GDPR/KVKK uyumu

---

4.3 FARKI NET ANLATIM

Konu	ISO 27001	ISO 27701
Odak	Bilgi güvenliği	Kişisel veri gizliliği
Kapsam	Sistem	İnsan verisi
Regülasyon	Genel güvenlik	KVKK / GDPR

---

5. PIMS (KİŞİSEL VERİ YÖNETİM SİSTEMİ) MANTIĞI

PIMS, yani ISO 27701 sistemi aslında bir yaşam döngüsü modelidir.

5.1 VERİ YAŞAM DÖNGÜSÜ

1. Veri Toplama
2. Veri İşleme
3. Veri Saklama
4. Veri Paylaşımı
5. Veri Silme

---

5.2 HER AŞAMA NEDEN ÖNEMLİ?

Çünkü veri güvenliği sadece “koruma” değil, süreç yönetimidir.

Örnek:

• Gereksiz veri toplamak = risk
• Süresiz veri saklamak = risk
• Kontrolsüz paylaşım = büyük risk

---

6. ISO 27701 KAPSAMINA GİRİŞ

ISO 27701 şu alanları kapsar:

6.1 KİŞİSEL VERİ TANIMI

• Ad soyad
• Telefon
• E-posta
• IP adresi
• Konum

6.2 VERİ SINIFLANDIRMA

• Kritik veri
• Hassas veri
• Genel veri

6.3 VERİ İŞLEME KURALLARI

• Kim erişebilir
• Ne zaman erişebilir
• Neden erişebilir

---

7. ISO 27701 NEDEN BU KADAR ÖNEMLİ?

Modern dünyada veri = para + güç

Bu yüzden:

• Şirketler saldırı hedefidir
• Müşteri verisi çok değerlidir
• Regülasyonlar sertleşmiştir

---

7.1 İŞLETMELER İÇİN RİSKLER

ISO 27701 yoksa:

• KVKK cezası
• GDPR cezası
• Marka itibarı kaybı
• Müşteri kaybı
• Hukuki süreçler

---

8. ISO 27701 KİMLER İÇİN GEREKLİ?

Aşağıdaki sektörlerde zorunlu seviyeye gelmiştir:

• Yazılım şirketleri
• E-ticaret
• Bankacılık
• Sigorta
• Sağlık
• Telekom
• Bulut servisleri

---

9. SONUÇ 

ISO 27701 Kişisel Veri Yönetim Sistemi:

• Veri gizliliğini yönetir
• ISO 27001’e entegre çalışır
• KVKK ve GDPR uyumu sağlar
• Kurumlara güven kazandırır

 

10. ISO 27701 KURULUM SÜRECİNE GENEL BAKIŞ

ISO 27701 Kişisel Veri Yönetim Sistemi kurulumu, sadece teknik bir süreç değildir. Aynı zamanda organizasyonel bir dönüşüm modelidir.

Bu sistemin kurulumu şu temel prensiplere dayanır:

• Süreç bazlı yönetim
• Risk odaklı yaklaşım
• Yasal uyumluluk (KVKK / GDPR)
• Sürekli iyileştirme

---

10.1 KURULUMUN TEMEL AŞAMALARI

ISO 27701 kurulumu 7 ana fazda gerçekleştirilir:

1. Mevcut durum analizi
2. ISO 27001 altyapısının kontrolü
3. Veri envanteri çıkarılması
4. Risk analizi yapılması
5. PIMS dokümantasyonunun hazırlanması
6. Sistem uygulaması
7. İç denetim ve iyileştirme

---

11. MEVCUT DURUM ANALİZİ (GAP ANALİZİ)

ISO 27701 sürecinin ilk adımı mevcut durumun analiz edilmesidir.

Bu aşamada şu sorular cevaplanır:

• Şirket hangi kişisel verileri topluyor?
• Bu veriler nerede saklanıyor?
• Kimler erişebiliyor?
• Mevcut güvenlik seviyesi nedir?
• KVKK uyumu var mı?

---

11.1 GAP ANALİZİ NEDEN KRİTİK?

Çünkü:

• Eksikler belirlenmeden sistem kurulamaz
• Riskler görünmez kalırsa sistem başarısız olur
• ISO 27701 denetiminde en çok burası incelenir

---

12. ISO 27001 ALTYAPISININ ÖNEMİ

ISO 27701, ISO 27001 olmadan kurulamaz.

12.1 NEDEN?

Çünkü ISO 27001:

• Bilgi güvenliği altyapısını sağlar
• Teknik güvenlik kontrollerini içerir
• ISO 27701’in temelini oluşturur

---

12.2 ENTEGRASYON MANTIĞI

ISO 27701 = ISO 27001 + Gizlilik Katmanı

Bu nedenle:

• Firewall
• Access control
• Log kayıtları
• Şifreleme

gibi yapılar zaten ISO 27001’den gelir.

---

13. VERİ ENVANTERİ OLUŞTURMA 

ISO 27701’in kalbi:

Veri envanteridir

---

13.1 VERİ ENVANTERİ NEDİR?

Şirketin elindeki tüm kişisel verilerin listelenmesidir.

---

13.2 VERİ ENVANTERİ ÖRNEĞİ

• Müşteri adı
• Telefon numarası
• E-posta
• Satın alma geçmişi
• IP adresi
• Lokasyon

---

13.3 NEDEN ÖNEMLİ?

Çünkü:

• Hangi verinin nerede olduğu bilinmeden koruma yapılamaz
• KVKK bunu zorunlu tutar
• GDPR veri şeffaflığı ister

---

14. RİSK ANALİZİ 

Risk analizi, sistemin en teknik bölümüdür.

---

14.1 RİSK NEDİR?

Kişisel verinin:

• Çalınması
• Kaybolması
• Yetkisiz erişilmesi
• Yanlış kullanılması

olasılığıdır.

---

14.2 RİSK TÜRLERİ

1. Teknik Riskler

• Siber saldırılar
• Malware
• SQL injection

2. İnsan Kaynaklı Riskler

• Çalışan hataları
• Yetkisiz erişim

3. Fiziksel Riskler

• Sunucu arızası
• Donanım kaybı

---

14.3 RİSK DEĞERLENDİRME MATRİSİ

Riskler şu şekilde sınıflandırılır:

• Düşük
• Orta
• Yüksek
• Kritik

---

15. PIMS DOKÜMANTASYON SİSTEMİ

ISO 27701’in en önemli bölümlerinden biri dokümantasyondur.

---

15.1 ZORUNLU DOKÜMANLAR

• Gizlilik politikası
• Veri işleme prosedürü
• Veri saklama politikası
• Erişim kontrol politikası
• İhlal bildirim prosedürü

---

15.2 DOKÜMANTASYON NEDEN GEREKLİ?

Çünkü:

• Denetimlerin kanıtıdır
• Yasal zorunluluktur
• Süreçlerin standardizasyonunu sağlar

---

16. VERİ İŞLEME POLİTİKALARI

ISO 27701’in en kritik bölümlerinden biridir.

---

16.1 VERİ İŞLEME NE DEMEKTİR?

Verinin:

• Toplanması
• Kullanılması
• Analiz edilmesi
• Saklanması

sürecidir.

---

16.2 TEMEL KURAL

“Amaç olmadan veri işlenemez”

---

16.3 ÖRNEK

Yanlış:

• Her veriyi toplamak

Doğru:

• Sadece gerekli veriyi toplamak

---

17. VERİ SAKLAMA POLİTİKASI

ISO 27701’e göre veri:

• Süresiz saklanamaz
• Amaç bitince silinmelidir

---

17.1 VERİ SAKLAMA SÜRELERİ

• Müşteri verisi: 2-5 yıl
• Finansal veri: 10 yıl
• Log kayıtları: 1-2 yıl

---

17.2 NEDEN ÖNEMLİ?

• KVKK “gereksiz veri tutma”yı yasaklar
• GDPR “right to be forgotten” sağlar

---

18. VERİ PAYLAŞIM YÖNETİMİ

ISO 27701’in kritik alanlarından biridir.

---

18.1 VERİ KİMLE PAYLAŞILIR?

• Tedarikçiler
• Yazılım firmaları
• Bulut sağlayıcıları

---

18.2 KURALLAR

• Açık rıza olmalı
• Sözleşme yapılmalı
• Güvenlik kontrolü olmalı

---

19. İÇ DENETİM SİSTEMİ

ISO 27701 sisteminin çalışıp çalışmadığını kontrol eder.

---

19.1 İÇ DENETİM NE YAPAR?

• Süreçleri test eder
• Hataları bulur
• İyileştirme önerir

---

19.2 NEDEN GEREKLİ?

Çünkü:

“Denetlenmeyen sistem sürdürülebilir değildir”

---

20. ISO 27701’DE KVKK VE GDPR UYUM MANTIĞI

ISO 27701’in en güçlü tarafı, sadece teknik bir standart olmaması, aynı zamanda hukuki uyum sistemi olmasıdır.

Bu sistem özellikle iki büyük regülasyonla doğrudan ilişkilidir:

• KVKK (Türkiye)
• GDPR (Avrupa Birliği)

---

20.1 KVKK NEDİR?

KVKK (Kişisel Verileri Koruma Kanunu), Türkiye’de kişisel verilerin işlenmesini düzenleyen yasal çerçevedir.

Temel amaç:

• Kişisel verilerin korunması
• Şeffaf veri işleme
• Veri sahibinin haklarının korunması

---

20.2 GDPR NEDİR?

GDPR (General Data Protection Regulation), Avrupa Birliği’nin veri koruma yasasıdır.

Özellikleri:

• Çok sıkı kurallar içerir
• Yüksek para cezaları vardır
• Global şirketleri etkiler

---

20.3 ISO 27701’İN ROLÜ

ISO 27701:

• KVKK uyumunu sistematik hale getirir
• GDPR gerekliliklerini süreçlere entegre eder
• Denetimlerde kanıt üretir

---

21. KVKK & GDPR UYUM HARİTASI

ISO 27701, iki regülasyonu şu şekilde eşleştirir:

21.1 VERİ ŞEFFAFLIĞI

• KVKK: Aydınlatma yükümlülüğü
• GDPR: Transparency principle

ISO 27701:

• Veri toplama anında bilgilendirme zorunluluğu getirir

---

21.2 AÇIK RIZA

• KVKK: Açık rıza zorunlu
• GDPR: Consent management

ISO 27701:

• Rıza kayıtlarının tutulmasını zorunlu kılar

---

21.3 VERİ SİLME HAKKI

• KVKK: Silme talebi
• GDPR: Right to be forgotten

ISO 27701:

• Veri silme prosedürü oluşturur

---

21.4 VERİ İHLAL BİLDİRİMİ

• KVKK: 72 saat içinde bildirim
• GDPR: 72 saat kuralı

ISO 27701:

• İhlal yönetim süreci tanımlar

---

22. ISO 27701 DENETİM SÜRECİ

ISO 27701 belgesi almak için en kritik aşama denetimdir.

---

22.1 DENETİM TİPLERİ

1. Aşama Denetimi (Dokümantasyon)

• Belgeler incelenir
• Sistem hazır mı kontrol edilir

2. Aşama Denetimi (Uygulama)

• Sistem sahada test edilir
• Personel görüşmeleri yapılır

---

22.2 DENETİMDE NE İNCELENİR?

Denetçiler şunlara bakar:

• Veri envanteri var mı?
• Risk analizi yapılmış mı?
• KVKK uyumu sağlanmış mı?
• ISO 27001 altyapısı aktif mi?
• PIMS dokümanları eksiksiz mi?

---

22.3 DENETİM SORULARI (GERÇEK ÖRNEKLER)

Denetimlerde sık sorulan sorular:

• Kişisel verileri nasıl sınıflandırıyorsunuz?
• Veri silme süreci nasıl işliyor?
• Yetkisiz erişimi nasıl engelliyorsunuz?
• Veri ihlali olursa ne yaparsınız?

---

23. ISO 27701 BELGELENDİRME SÜRECİ

ISO 27701 sertifikası almak için süreç aşağıdaki gibidir:

---

23.1 BAŞVURU

Firma bir belgelendirme kuruluşuna başvurur.

---

23.2 ÖN İNCELEME

• Dokümanlar kontrol edilir
• Eksikler belirlenir

---

23.3 SİSTEM KURULUMU

• PIMS aktif hale getirilir
• ISO 27001 entegrasyonu tamamlanır

---

23.4 DENETİM

• Aşama 1 ve 2 denetimleri yapılır
• Uygunluk kontrol edilir

---

23.5 BELGE VERİLMESİ

Başarılı olursa:

ISO 27701 sertifikası yayınlanır

---

24. ISO 27701 BELGESİNİN GEÇERLİLİĞİ

• Süre: 3 yıl
• Her yıl gözetim denetimi yapılır
• Sistem sürekli güncellenmelidir

---

25. DENETİMDE EN SIK RED SEBEPLERİ

ISO 27701 başvurularının reddedilme sebepleri:

25.1 EKSİK VERİ ENVANTERİ

En yaygın hatadır.

---

25.2 ISO 27001 EKSİKLİĞİ

ISO 27001 yoksa ISO 27701 alınamaz.

---

25.3 DOKÜMANTASYON EKSİKLİĞİ

• Politikalar eksik
• Prosedürler yazılmamış

---

25.4 PERSONEL EĞİTİMİ EKSİĞİ

Çalışanlar sistemi bilmiyorsa red riski yüksektir.

---

26. ISO 27701 UYGULAMASINDA KRİTİK BAŞARI FAKTÖRLERİ

Başarılı bir sistem için:

• Yönetim desteği
• Güncel dokümantasyon
• Risk bazlı yaklaşım
• Sürekli iyileştirme

---

27. ISO 27701 İLE REKABET AVANTAJI

ISO 27701 belgesi olan firmalar:

• Daha güvenilir görünür
• Uluslararası projelere girer
• Kurumsal ihalelerde avantaj sağlar

28. ISO 27701’İN İŞLETMELERE SAĞLADIĞI STRATEJİK AVANTAJLAR

ISO 27701 sadece bir “belge” değil, aynı zamanda kurumsal veri yönetimi stratejisidir.

Bu sistemin işletmelere sağladığı avantajlar çok katmanlıdır.

---

28.1 YASAL GÜVENLİK AVANTAJI

ISO 27701 ile işletmeler:

• KVKK uyumunu sağlar
• GDPR risklerini azaltır
• Hukuki cezaları önler

Özellikle veri ihlallerinde oluşabilecek milyonlarca liralık cezalar bu sistem ile minimize edilir.

---

28.2 MÜŞTERİ GÜVENİ

Günümüzde müşteriler artık sadece ürün değil, güvenilirlik satın alır.

ISO 27701 olan firmalar:

• Daha güvenilir algılanır
• Daha fazla müşteri kazanır
• Kurumsal sadakati artırır

---

28.3 ULUSLARARASI REKABET GÜCÜ

ISO 27701:

• Avrupa projelerinde avantaj sağlar
• Global firmalarla çalışma imkânı sunar
• İhale ve tender süreçlerinde kritik rol oynar

---

28.4 VERİ YÖNETİM VERİMLİLİĞİ

Sistem sayesinde:

• Veri karmaşası ortadan kalkar
• Süreçler standartlaşır
• Operasyonel verim artar

---

29. ISO 27701’İN SEKTÖREL KULLANIM ALANLARI

ISO 27701 neredeyse tüm veri işleyen sektörler için uygundur.

---

29.1 YAZILIM VE TEKNOLOJİ ŞİRKETLERİ

• SaaS platformları
• Mobil uygulamalar
• ERP sistemleri

Bu firmalar büyük veri işlediği için en kritik sektördür.

---

29.2 E-TİCARET SEKTÖRÜ

• Müşteri verisi
• Ödeme bilgileri
• Satın alma geçmişi

ISO 27701 burada zorunlu seviyeye yaklaşmıştır.

---

29.3 BANKACILIK VE FİNANS

• Hesap bilgileri
• Kredi verileri
• Finansal geçmiş

Bu sektör en yüksek veri riskine sahiptir.

---

29.4 SAĞLIK SEKTÖRÜ

• Hasta kayıtları
• Tıbbi veriler
• Genetik bilgiler

Bu veriler “en hassas veri” kategorisindedir.

---

29.5 TELEKOMÜNİKASYON

• Çağrı kayıtları
• Konum verileri
• Kullanım analizleri

---

29.6 LOJİSTİK VE TAŞIMACILIK

• Adres bilgileri
• Teslimat verileri
• Müşteri profilleri

---

30. ISO 27701 VE DİJİTAL DÖNÜŞÜM

ISO 27701, dijital dönüşümün merkezinde yer alır.

---

30.1 VERİ ODAKLI ŞİRKETLER

Günümüzde şirketler:

“Veri ile karar alan organizasyonlara dönüşmüştür”

ISO 27701 bu dönüşümü güvenli hale getirir.

---

30.2 BULUT SİSTEMLERİN YÜKSELİŞİ

Cloud sistemlerde veri sürekli hareket halindedir.

ISO 27701:

• Bulut veri güvenliğini düzenler
• Erişim kontrolü sağlar

---

30.3 YAPAY ZEKA VE VERİ

AI sistemleri büyük veri ile çalışır.

ISO 27701:

• Veri kullanım sınırlarını belirler
• Etik veri yönetimini sağlar

---

31. ISO 27701 GELECEK TRENDLERİ (2026 VE SONRASI)

ISO 27701 gelecekte daha da kritik hale gelecektir.

---

31.1 VERİ GİZLİLİĞİ ZORUNLU HALE GELECEK

Birçok ülkede:

• Veri gizliliği artık opsiyon değil
• Yasal zorunluluk haline geliyor

---

31.2 GLOBAL STANDART OLMA YOLUNDA

ISO 27701:

• ISO 27001 kadar yaygınlaşacak
• Tüm büyük firmalarda standart olacak

---

31.3 YAPAY ZEKA REGÜLASYONU İLE ENTEGRASYON

AI sistemleri veri kullandığı için:

• ISO 27701 + AI governance birlikte çalışacak

---

31.4 SIFIR VERİ İHLALİ HEDEFİ

Gelecek hedef:

“Zero data breach organizations”

---

32. ISO 27701 ALMANIN İŞLETMEYE ETKİSİ

ISO 27701 alan şirketlerde:

• Operasyonel güven artar
• Marka değeri yükselir
• Müşteri kaybı azalır
• İhale kazanma oranı artar

---

33. ISO 27701 NEDEN ARTIK ZORUNLULUK GİBİ GÖRÜLÜYOR?

Eskiden ISO belgeleri “prestij” idi.

Şimdi ise:

“Veri yönetmeyen şirket ayakta kalamaz”

---

34. SONUÇ: ISO 27701 BİR BELGE DEĞİL, BİR YÖNETİM MODELİDİR

ISO 27701 Kişisel Veri Yönetim Sistemi:

• Sadece teknik bir standart değildir
• Kurumsal veri stratejisidir
• Yasal uyum aracıdır
• Güvenlik çerçevesidir

Günümüz dijital dünyasında:

Veri = Güç
Veri güvenliği = Sürdürülebilirlik

ISO 27701 ise bu gücü güvenli şekilde yönetmenin yoludur.

---

SNG KALİTE İLETİŞİM

ISO 27701 Kişisel Veri Yönetim Sistemi danışmanlığı ve belgelendirme:

SNG Kalite Danışmanlık

📧 info@sngkalite.com.tr
📞 0533 558 38 28