Политика за управление на съгласието и предпочитанията

Политиката за управление на съгласието и предпочитанията определя задължителни изисквания за определяне кога се изисква съгласие, искане на съгласие, събиране на доказателства за съгласие, управление на предпочитания, обработване на оттегляния, поддържане на записи за съгласие и преглед на механизмите за даване на съгласие. Тя се прилага за обработване на лични данни, при което съгласието е избрано или се изисква като правно основание, когато се изисква изрично съгласие, когато се събират предпочитания за съгласие или когато организацията управлява записи за съгласие от името на администратор. Политиката обхваща контексти на администратор, съвместен администратор, обработващ лични данни и подизпълнител по обработване, като изяснява, че задълженията на обработващия лични данни и подизпълнителя по обработване се прилагат само когато записите за съгласие, състоянията на предпочитанията или указанията за оттегляне се управляват съгласно документирани указания на администратора или нареждане на клиента. Основен принцип на политиката е, че съгласието не е правното основание по подразбиране за обработване на лични данни. Преди нова или съществено променена дейност по обработване да се основава на съгласие, собственикът на процеса или собственикът на бизнеса трябва да запише в REG02 дали съгласието се изисква или е избрано, а ръководителят по поверителност или мениджърът на СУНЛИ трябва да провери в REG02 и REG05, че съгласието не е избрано по подразбиране. Когато обработването включва специални категории лични данни, услуги, насочени към деца, високорисково обработване или дисбаланс между организацията и субекта на данни, длъжностното лице по защита на данните или съветникът по поверителност трябва да прегледа основанието за съгласие в REG04 преди стартиране. За дейности на съвместен администратор отговорността за получаване, записване, обновяване и спазване на съгласието трябва да бъде документирана преди започване на обработването. Политиката задава подробни оперативни изисквания за искане и събиране на съгласие. Исканията за съгласие трябва да бъдат специфични за целта и свързани с приложимата версия на уведомлението за поверителност в REG07, преди да бъдат представени на субект на данни. Системите трябва да изискват утвърдително действие, когато се изисква изрично съгласие или съгласие чрез включване, и трябва да предотвратяват продължаването на обработването, което се основава на съгласие, освен ако REG05 не показва активен статус на съгласието за съответната цел. REG05 трябва да обхваща референция към субекта на данни, цел, категория лични данни, формулировка или версия на съгласието, версия на уведомлението за поверителност, канал за събиране, времеви маркер, метод, статус и приложим срок на валидност. Когато се прилага съгласие, насочено към деца, или изрично съгласие, се задействат допълнителни изисквания за логика, маркиране и преглед. Управлението на предпочитанията и оттеглянията също се урежда чрез REG05 и, когато е приложимо, REG08. Механизъм за оттегляне или промяна на предпочитанията трябва да бъде наличен най-късно в момента, в който се иска съгласие. Оттеглянията и промените в предпочитанията трябва да бъдат записани в срок до пет работни дни от получаването или в по-кратък срок, определен за дейността по обработване. Засегнатите системи, състояния на потискане или индикатори за предпочитания трябва да бъдат актуализирани, преди да продължи последващо обработване за оттеглена или ограничена цел. Обработващите лични данни трябва да препращат или изпълняват нареждането на клиента в определения от клиента срок, а подизпълнителите по обработване трябва да бъдат проверявани чрез REG08 спрямо договорни или указани срокове. Политиката разглежда също контрол на промените, защита на записите, управление, прилагане, показатели, изключения, спазване и поддръжка. Съгласието трябва да бъде повторно оценено, преди обработването да продължи, когато целта, категориите лични данни, самоличността на администратора, формулировката на уведомлението, срокът за съхранение, категорията получатели или методът на обработване се променят съществено. Формулировката на съгласието, конфигурацията на механизма, препратките към уведомления и схемите на записите за съгласие трябва да бъдат под управление на версиите. Записите в REG05 трябва да бъдат защитени от неоторизирано изменение, а доказателства за одитна следа трябва да се поддържат. Показателите включват тримесечни проверки на връзките между REG05, REG02 и REG07; месечно измерване на завършването на оттеглянията, когато е активно обработване въз основа на съгласие; и докладване за одит в REG12. Изключенията трябва да бъдат одобрени преди внедряване, а несъответствията, включващи липсващи, невалидни, несвързани или ненадеждни доказателства за съгласие, трябва да бъдат записани в срок до пет работни дни.