policy ISO 27701 PIMS Policy Pack

Politika správy souhlasu a preferencí

Politika souhlasu podle ISO 27701 pro zákonné získávání souhlasu, změny preferencí, řešení odvolání souhlasu, záznamy důkazů a správu PIMS připravenou na audit.

Přehled

Tato politika řídí zákonný souhlas a správu preferencí v kontextech správce, zpracovatele, společného správce a dílčího zpracovatele. Definuje, jak se souhlas vyžaduje, zaznamenává v REG05, propojuje s REG02 a REG07, odvolává, obnovuje, chrání, měří, audituje a opravuje.

Auditovatelné důkazy o souhlasu

Definuje REG05 jako autoritativní záznam pro stav souhlasu, znění, verzi oznámení, časová razítka, metody a historii.

Řízené řešení odvolání souhlasu

Vyžaduje, aby odvolání souhlasu a změny preferencí byly zaznamenány a zpracovány ve stanovených provozních lhůtách nebo lhůtách podle pokynu zákazníka.

Sladění s právním základem

Zajišťuje, že souhlas je používán pouze tam, kde je vhodný, a je propojen s účely zpracování v REG02 a verzemi oznámení o ochraně osobních údajů v REG07.

Přečíst celý přehled (click to expand)
Politika správy souhlasu a preferencí definuje povinné požadavky pro určení, kdy je souhlas vyžadován, pro vyžadování souhlasu, zachycení důkazů o souhlasu, správu preferencí, zpracování odvolání souhlasu, vedení záznamů o souhlasu a přezkum mechanismů souhlasu. Vztahuje se na zpracování PII, kde je souhlas zvolen nebo vyžadován jako právní základ, kde je vyžadován výslovný souhlas, kde jsou zachycovány preference souhlasu nebo kde organizace spravuje záznamy o souhlasu jménem správce. Politika pokrývá kontexty správce, společného správce, zpracovatele a dílčího zpracovatele a současně jasně stanoví, že povinnosti zpracovatele a dílčího zpracovatele se použijí pouze tam, kde jsou záznamy o souhlasu, stavy preferencí nebo pokyny k odvolání souhlasu spravovány podle dokumentovaných pokynů správce nebo pokynů zákazníka. Ústřední zásadou této politiky je, že souhlas není výchozím právním základem pro zpracování PII. Než se nová nebo významně změněná činnost zpracování začne opírat o souhlas, vlastník procesu nebo vlastník společnosti musí v REG02 zaznamenat, zda je souhlas vyžadován nebo zvolen, a vedoucí ochrany soukromí nebo manažer PIMS musí v REG02 a REG05 ověřit, že souhlas nebyl zvolen jako výchozí možnost. Pokud zpracování zahrnuje zvláštní kategorie PII, služby určené dětem, vysoce rizikové zpracování nebo nerovnováhu mezi organizací a subjektem PII, pověřenec pro ochranu osobních údajů nebo poradce pro ochranu soukromí musí před spuštěním přezkoumat základ souhlasu v REG04. U činností společného správce musí být odpovědnost za získání, zaznamenání, obnovení a respektování souhlasu dokumentována před zahájením zpracování. Politika stanoví podrobné provozní požadavky na žádost o souhlas a jeho zachycení. Žádosti o souhlas musí být specifické pro účel a před předložením subjektu PII propojené s příslušnou verzí oznámení o ochraně osobních údajů v REG07. Systémy musí vyžadovat potvrzující úkon tam, kde je vyžadován výslovný souhlas nebo opt-in souhlas, a musí zabránit tomu, aby zpracování založené na souhlasu pokračovalo, pokud REG05 neuvádí aktivní stav souhlasu pro příslušný účel. REG05 musí zachycovat referenci subjektu PII, účel, kategorii PII, znění nebo verzi souhlasu, verzi oznámení o ochraně osobních údajů, kanál zachycení, časové razítko, metodu, stav a použitelnou dobu platnosti. Pokud se uplatní souhlas určený dětem nebo výslovný souhlas, spouštějí se další požadavky na logiku, označení a přezkum. Správa preferencí a odvolání souhlasu je rovněž řízena prostřednictvím REG05 a případně REG08. Mechanismus odvolání souhlasu nebo změny preferencí musí být dostupný nejpozději v okamžiku, kdy je souhlas vyžadován. Odvolání souhlasu a změny preferencí musí být zaznamenány do pěti pracovních dnů od přijetí nebo v kratší lhůtě stanovené pro danou činnost zpracování. Dotčené systémy, stavy potlačení nebo příznaky preferencí musí být aktualizovány předtím, než bude pokračovat další zpracování pro účel, u něhož byl souhlas odvolán nebo který byl omezen. Zpracovatelé musí předat nebo provést pokyny zákazníka ve lhůtě stanovené zákazníkem a u dílčích zpracovatelů musí být prostřednictvím REG08 ověřen soulad se smluvními nebo instruovanými lhůtami. Politika se také zabývá řízením změn, ochranou záznamů, správou a řízením, implementací, metrikami, výjimkami, prosazováním požadavků a údržbou. Souhlas musí být znovu posouzen před pokračováním zpracování, pokud se významně změní účel, kategorie PII, totožnost správce, znění oznámení, uchovávání, kategorie příjemců nebo metoda zpracování. Znění souhlasu, konfigurace mechanismu, odkazy na oznámení a schémata záznamů o souhlasu musí být verzovány. Záznamy REG05 musí být chráněny proti neoprávněné změně a musí být udržovány důkazy auditní stopy. Metriky zahrnují čtvrtletní kontroly propojení mezi REG05, REG02 a REG07, měsíční měření dokončení odvolání souhlasu tam, kde je aktivní zpracování založené na souhlasu, a auditní vykazování v REG12. Výjimky musí být schváleny před implementací a neshody zahrnující chybějící, neplatné, nepropojené nebo nespolehlivé důkazy o souhlasu musí být zaznamenány do pěti pracovních dnů.

Diagram politiky

Diagram toku procesu znázorňující přezkum použitelnosti souhlasu, potvrzení právního základu, propojení s oznámením, zachycení souhlasu v REG05, aktualizaci preferencí nebo odvolání souhlasu, ochranu důkazů, metriky, auditní přezkum, výjimky a nápravná opatření.

Klikněte na diagram pro zobrazení v plné velikosti

Obsah

Použitelnost souhlasu a právní základ

Žádost o souhlas a jeho zachycení

Správa preferencí a odvolání souhlasu

Změna, obnovení a verzování souhlasu

Záznamy, důkazy a ochrana

Metriky, výjimky a prosazování požadavků

Soulad s rámcem

🛡️ Podporované standardy a rámce

Tento produkt je v souladu s následujícími rámci dodržování předpisů s podrobnými mapováními doložek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Související zásady

Politika evidence činností zpracování a právního základu

Rozhodnutí o souhlasu závisí na záznamech právního základu v REG02 a propojení s evidencí činností zpracování na úrovni účelu.

Politika oznámení o ochraně osobních údajů a transparentnosti

Žádosti o souhlas musí být před předložením propojeny s příslušnou verzí oznámení o ochraně osobních údajů v REG07.

Politika správy práv subjektů PII

Řešení odvolání souhlasu a změn preferencí podporuje širší správu práv subjektů PII.

Politika posouzení rizik pro soukromí a DPIA

Přezkum REG04 je vyžadován u vysoce rizikových spouštěčů, jako jsou zvláštní kategorie PII, služby určené dětem nebo nerovnováha.

Politika správy zpracovatelů, dílčích zpracovatelů a třetích stran v oblasti ochrany soukromí

Povinnosti zpracovatele, dílčího zpracovatele, dodavatele a pokyny zákazníka jsou řízeny prostřednictvím propojení REG08.

Politika správy dokumentovaných informací a důkazů PIMS

Správa a řízení souhlasu se opírá o řízené důkazní objekty, zejména záznamy REG05 a výjimky nebo zjištění REG12.

O politikách Clarysec - Politika správy souhlasu a preferencí

Tato politika zavádí provozní správu a řízení pro správu souhlasu a preferencí v rámci PIMS. Definuje, kdy lze souhlas použít, jak musí být žádosti o souhlas prezentovány, jaké důkazy musí být zachyceny, jak se řeší změny preferencí a odvolání souhlasu a jak se záznamy přezkoumávají, chrání, opravují a uchovávají. Vlastníkem politiky je vedoucí ochrany soukromí / manažer PIMS, schvaluje ji vrcholové vedení a politika se vztahuje na kontexty správce, společného správce, zpracovatele a dílčího zpracovatele, kde jsou zapojeny záznamy o souhlasu, stavy preferencí nebo pokyny k odvolání souhlasu.

Souhlas není výchozí možností

Vyžaduje kontroly REG02 a REG05, aby byl souhlas použit pouze tam, kde je pro činnost zpracování vhodný.

Propojení s verzí oznámení

Propojuje žádosti o souhlas a záznamy s příslušnou verzí oznámení o ochraně osobních údajů v REG07 před zahájením zpracování.

Splnění odvolání souhlasu

Definuje povinnosti zaznamenání a aktualizace systémů pro odvolání souhlasu a změny preferencí v požadovaných lhůtách.

Chráněné záznamy

Vyžaduje, aby důkazy o souhlasu v REG05 byly chráněny před neoprávněnou změnou prostřednictvím důkazů auditní stopy.

Nejčastější dotazy

Vytvořeno pro lídry, lídry

Tato politika byla vypracována bezpečnostním lídrem s více než 25 lety zkušeností s implementací a auditem rámců ISMS v globálních organizacích. Není navržena pouze jako dokument, ale jako obhajitelný rámec, který obstojí při auditu.

Vypracováno odborníkem s následujícími kvalifikacemi:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytí a témata

🏢 Cílová oddělení

ochrana soukromí právní oddělení soulad bezpečnost IT kancelář pověřence pro ochranu osobních údajů

🏷️ Tematické pokrytí

systém řízení informací o soukromí zpracování osobních údajů souhlas a právní základ záznamy o činnostech zpracování odpovědnosti správce a zpracovatele správa třetích stran monitorování a měření
€69

Jednorázový nákup

Okamžité stažení
Doživotní aktualizace

Tato politika je 1 z 25 v kompletním balíčku ISO/IEC 27701 PIMS

Ušetřete 52%

Získejte všech 25 politik PIMS, kompletní sadu registrů a podrobný implementační plán za €799 místo €1 675 při samostatném nákupu.

Zobrazit kompletní balíček 27701 →
Consent and Preference Management Policy

Podrobnosti o produktu

Typ: policy
Kategorie: ISO 27701 PIMS Policy Pack
Normy: 5