Politik for samtykke- og præferencestyring

Politik for samtykke- og præferencestyring definerer obligatoriske krav til at fastlægge, hvornår samtykke kræves, anmode om samtykke, indsamle dokumentation for samtykke, administrere præferencer, behandle tilbagetrækninger, vedligeholde samtykkeregistreringer og gennemgå samtykkemekanismer. Den gælder for PII-behandling, hvor samtykke vælges eller kræves som behandlingsgrundlag, hvor udtrykkeligt samtykke kræves, hvor samtykkepræferencer indhentes, eller hvor organisationen administrerer samtykkeregistreringer på vegne af en dataansvarlig. Politikken dækker kontekster med dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler, samtidig med at den præciserer, at forpligtelser for databehandler og underdatabehandler kun gælder, hvor samtykkeregistreringer, præferencestatusser eller instrukser om tilbagetrækning administreres efter dokumenterede instrukser fra den dataansvarlige eller kunden. Et centralt princip i politikken er, at samtykke ikke er standardbehandlingsgrundlaget for PII-behandling. Før en ny eller væsentligt ændret behandlingsaktivitet baseres på samtykke, skal procesejeren eller forretningsejeren registrere i REG02, om samtykke kræves eller er valgt, og den ansvarlige for databeskyttelse eller PIMS-ansvarlige skal verificere i REG02 og REG05, at samtykke ikke er valgt som standard. Hvor behandling omfatter særlige kategorier af personoplysninger, børnerettede tjenester, højrisikobehandling eller en ubalance mellem organisationen og den registrerede, skal databeskyttelsesrådgiveren (DPO) eller rådgiveren inden for databeskyttelse gennemgå samtykkegrundlaget i REG04 før lancering. For aktiviteter med fælles dataansvarlige skal ansvaret for at indhente, registrere, opdatere og respektere samtykke dokumenteres, før behandlingen påbegyndes. Politikken fastsætter detaljerede driftskrav til anmodning om og indhentning af samtykke. Samtykkeanmodninger skal være formålsspecifikke og koblet til den relevante REG07-version af privatlivsmeddelelse, før de præsenteres for en registreret. Systemer skal kræve en bekræftende handling, hvor udtrykkeligt samtykke eller opt-in-samtykke kræves, og skal forhindre behandling, der baseres på samtykke, i at fortsætte, medmindre REG05 viser en aktiv samtykkestatus for det relevante formål. REG05 skal registrere reference til den registrerede, formål, PII-kategori, samtykkeordlyd eller -version, version af privatlivsmeddelelse, indhentningskanal, tidsstempel, metode, status og relevant gyldighedsperiode. Hvor børnerettet samtykke eller udtrykkeligt samtykke gælder, udløses yderligere krav til logik, markering og gennemgang. Præference- og tilbagetrækningsstyring reguleres også gennem REG05 og, hvor relevant, REG08. En mekanisme til tilbagetrækning eller præferenceændring skal være tilgængelig senest på det tidspunkt, hvor der anmodes om samtykke. Tilbagetrækninger og præferenceændringer skal registreres senest fem arbejdsdage efter modtagelse eller inden for en kortere frist, der er fastsat for behandlingsaktiviteten. Berørte systemer, undertrykkelsesstatusser eller præferencemarkeringer skal opdateres, før yderligere behandling fortsætter for et tilbagetrukket eller begrænset formål. Databehandlere skal videresende eller gennemføre kundens instrukser inden for den kundefastsatte frist, og underdatabehandlere skal verificeres gennem REG08 i forhold til kontraktlige eller instruerede frister. Politikken omhandler også ændringsstyring, beskyttelse af registreringer, styring, implementering, målinger, undtagelser, håndhævelse og vedligeholdelse. Samtykke skal revurderes, før behandlingen fortsætter, hvor formålet, PII-kategorierne, den dataansvarliges identitet, meddelelsens ordlyd, opbevaring, modtagerkategori eller behandlingsmetode ændres væsentligt. Samtykkeordlyd, mekanismekonfiguration, henvisninger til privatlivsmeddelelser og skemaer for samtykkeregistreringer skal versionsstyres. REG05-registreringer skal beskyttes mod uautoriseret ændring, og bevismateriale i revisionsspor skal opretholdes. Målinger omfatter kvartalsvise koblingskontroller mellem REG05, REG02 og REG07, månedlig måling af fuldførte tilbagetrækninger, hvor samtykkebaseret behandling er aktiv, samt revisionsrapportering i REG12. Undtagelser skal godkendes før implementering, og afvigelser, der omfatter manglende, ugyldig, ikke-koblet eller upålidelig dokumentation for samtykke, skal registreres senest fem arbejdsdage efter konstatering.