policy ISO 27701 PIMS Policy Pack

Πολιτική Διαχείρισης Συγκατάθεσης και Προτιμήσεων

Πολιτική συγκατάθεσης ISO 27701 για νόμιμη λήψη συγκατάθεσης, αλλαγές προτιμήσεων, χειρισμό ανάκλησης, αρχεία τεκμηρίων και ετοιμότητα για έλεγχο στη διακυβέρνηση PIMS.

Επισκόπηση

Η παρούσα πολιτική διέπει τη νόμιμη διαχείριση συγκατάθεσης και τη διαχείριση προτιμήσεων σε πλαίσια υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία, από κοινού υπευθύνου επεξεργασίας και υπεργολάβου επεξεργασίας. Ορίζει πώς ζητείται η συγκατάθεση, πώς καταγράφεται στο REG05, πώς συνδέεται με το REG02 και το REG07, πώς ανακαλείται, ανανεώνεται, προστατεύεται, μετράται, ελέγχεται και διορθώνεται.

Ελέγξιμα τεκμήρια συγκατάθεσης

Ορίζει το REG05 ως έγκυρη καταχώριση για την κατάσταση συγκατάθεσης, τη διατύπωση, την έκδοση ειδοποίησης, τις χρονοσημάνσεις, τις μεθόδους και το ιστορικό.

Ελεγχόμενος χειρισμός ανάκλησης

Απαιτεί οι ανακλήσεις και οι αλλαγές προτιμήσεων να καταγράφονται και να υλοποιούνται εντός καθορισμένων επιχειρησιακών χρονικών πλαισίων ή χρονικών πλαισίων εντολής πελάτη.

Ευθυγράμμιση με τη νομική βάση

Διασφαλίζει ότι η συγκατάθεση χρησιμοποιείται μόνο όπου ενδείκνυται και συνδέεται με τους σκοπούς επεξεργασίας του REG02 και τις εκδόσεις ειδοποίησης ιδιωτικότητας του REG07.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική Διαχείρισης Συγκατάθεσης και Προτιμήσεων ορίζει υποχρεωτικές απαιτήσεις για τον καθορισμό του πότε απαιτείται συγκατάθεση, την αίτηση συγκατάθεσης, τη λήψη τεκμηρίων συγκατάθεσης, τη διαχείριση προτιμήσεων, την επεξεργασία ανακλήσεων, τη διατήρηση αρχείων συγκατάθεσης και την ανασκόπηση μηχανισμών συγκατάθεσης. Εφαρμόζεται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα όταν η συγκατάθεση επιλέγεται ή απαιτείται ως νομική βάση, όταν απαιτείται ρητή συγκατάθεση, όταν συλλέγονται προτιμήσεις συγκατάθεσης ή όταν ο οργανισμός διαχειρίζεται αρχεία συγκατάθεσης για λογαριασμό υπευθύνου επεξεργασίας. Η πολιτική καλύπτει πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, διευκρινίζοντας παράλληλα ότι οι υποχρεώσεις εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας εφαρμόζονται μόνο όταν τα αρχεία συγκατάθεσης, οι καταστάσεις προτιμήσεων ή οι οδηγίες ανάκλησης διαχειρίζονται βάσει τεκμηριωμένων εντολών υπευθύνου επεξεργασίας ή εντολών πελάτη. Κεντρική αρχή της πολιτικής είναι ότι η συγκατάθεση δεν αποτελεί την προεπιλεγμένη νομική βάση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Προτού μια νέα ή ουσιωδώς τροποποιημένη δραστηριότητα επεξεργασίας βασιστεί στη συγκατάθεση, ο Ιδιοκτήτης Διεργασίας ή ο Ιδιοκτήτης της Επιχείρησης πρέπει να καταγράφει στο REG02 αν η συγκατάθεση απαιτείται ή επιλέγεται, και ο Επικεφαλής Ιδιωτικότητας ή ο Υπεύθυνος PIMS πρέπει να επαληθεύει στο REG02 και στο REG05 ότι η συγκατάθεση δεν έχει επιλεγεί ως προεπιλογή. Όταν η επεξεργασία περιλαμβάνει ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, υπηρεσίες που απευθύνονται σε παιδιά, επεξεργασία υψηλού κινδύνου ή ανισορροπία μεταξύ του οργανισμού και του υποκειμένου των δεδομένων προσωπικού χαρακτήρα, ο Υπεύθυνος Προστασίας Δεδομένων ή ο Σύμβουλος Ιδιωτικότητας πρέπει να ανασκοπεί τη βάση συγκατάθεσης στο REG04 πριν από τη θέση σε λειτουργία. Για δραστηριότητες από κοινού υπευθύνου επεξεργασίας, η ευθύνη για τη λήψη, καταγραφή, ανανέωση και τήρηση της συγκατάθεσης πρέπει να τεκμηριώνεται πριν από την έναρξη της επεξεργασίας. Η πολιτική θέτει λεπτομερείς επιχειρησιακές απαιτήσεις για την αίτηση και τη λήψη συγκατάθεσης. Τα αιτήματα συγκατάθεσης πρέπει να είναι ειδικά ως προς τον σκοπό και να συνδέονται με την εφαρμοστέα έκδοση ειδοποίησης ιδιωτικότητας του REG07 πριν παρουσιαστούν στο υποκείμενο των δεδομένων προσωπικού χαρακτήρα. Τα συστήματα πρέπει να απαιτούν θετική ενέργεια όταν απαιτείται ρητή συγκατάθεση ή συγκατάθεση opt-in και πρέπει να αποτρέπουν τη συνέχιση επεξεργασίας που βασίζεται σε συγκατάθεση, εκτός εάν το REG05 εμφανίζει ενεργή κατάσταση συγκατάθεσης για τον σχετικό σκοπό. Το REG05 πρέπει να καταγράφει την αναφορά του υποκειμένου των δεδομένων προσωπικού χαρακτήρα, τον σκοπό, την κατηγορία δεδομένων προσωπικού χαρακτήρα, τη διατύπωση ή την έκδοση συγκατάθεσης, την έκδοση ειδοποίησης ιδιωτικότητας, τον δίαυλο λήψης, τη χρονοσήμανση, τη μέθοδο, την κατάσταση και την εφαρμοστέα περίοδο ισχύος. Όταν εφαρμόζεται συγκατάθεση σε υπηρεσίες που απευθύνονται σε παιδιά ή ρητή συγκατάθεση, ενεργοποιούνται πρόσθετες απαιτήσεις λογικής, σήμανσης και ανασκόπησης. Η διαχείριση προτιμήσεων και ανακλήσεων διέπεται επίσης μέσω του REG05 και, όπου εφαρμόζεται, του REG08. Ένας μηχανισμός ανάκλησης ή αλλαγής προτιμήσεων πρέπει να είναι διαθέσιμος το αργότερο στο σημείο όπου ζητείται η συγκατάθεση. Οι ανακλήσεις και οι αλλαγές προτιμήσεων πρέπει να καταγράφονται εντός πέντε εργάσιμων ημερών από την παραλαβή τους ή εντός συντομότερου χρονικού πλαισίου που έχει οριστεί για τη δραστηριότητα επεξεργασίας. Τα επηρεαζόμενα συστήματα, οι καταστάσεις καταστολής ή οι σημαίες προτιμήσεων πρέπει να επικαιροποιούνται πριν συνεχιστεί περαιτέρω επεξεργασία για τον ανακληθέντα ή περιορισμένο σκοπό. Οι εκτελούντες την επεξεργασία πρέπει να διαβιβάζουν ή να υλοποιούν εντολές πελάτη εντός του χρονικού πλαισίου που έχει ορίσει ο πελάτης, και οι υπεργολάβοι επεξεργασίας πρέπει να επαληθεύονται μέσω του REG08 έναντι συμβατικών ή δοθέντων χρονικών πλαισίων. Η πολιτική καλύπτει επίσης τον έλεγχο αλλαγών, την προστασία αρχείων, τη διακυβέρνηση, την εφαρμογή, τις μετρικές, τις εξαιρέσεις, την εφαρμογή της πολιτικής και τη συντήρηση. Η συγκατάθεση πρέπει να επαναξιολογείται πριν συνεχιστεί η επεξεργασία όταν μεταβάλλονται ουσιωδώς ο σκοπός, οι κατηγορίες δεδομένων προσωπικού χαρακτήρα, η ταυτότητα του υπευθύνου επεξεργασίας, η διατύπωση ειδοποίησης, η διατήρηση, η κατηγορία αποδεκτών ή η μέθοδος επεξεργασίας. Η διατύπωση συγκατάθεσης, η διαμόρφωση μηχανισμού, οι αναφορές ειδοποιήσεων και τα σχήματα αρχείων συγκατάθεσης πρέπει να ελέγχονται ως προς την έκδοση. Τα αρχεία REG05 πρέπει να προστατεύονται από μη εξουσιοδοτημένη μεταβολή, και πρέπει να διατηρούνται τεκμήρια διαδρομής ελέγχου. Οι μετρικές περιλαμβάνουν τριμηνιαίους ελέγχους σύνδεσης μεταξύ REG05, REG02 και REG07, μηνιαία μέτρηση ολοκλήρωσης ανακλήσεων όπου είναι ενεργή επεξεργασία βάσει συγκατάθεσης, και αναφορά ελέγχου στο REG12. Οι εξαιρέσεις πρέπει να εγκρίνονται πριν από την υλοποίηση, και οι μη συμμορφώσεις που αφορούν ελλιπή, άκυρα, μη συνδεδεμένα ή μη αξιόπιστα τεκμήρια συγκατάθεσης πρέπει να καταγράφονται εντός πέντε εργάσιμων ημερών.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που παρουσιάζει την ανασκόπηση εφαρμοσιμότητας συγκατάθεσης, την επιβεβαίωση νομικής βάσης, τη σύνδεση ειδοποίησης, τη λήψη συγκατάθεσης στο REG05, τις επικαιροποιήσεις προτιμήσεων ή ανακλήσεων, την προστασία τεκμηρίων, τις μετρικές, την ανασκόπηση ελέγχου, τις εξαιρέσεις και τη διορθωτική ενέργεια.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Εφαρμοσιμότητα συγκατάθεσης και νομική βάση

Αίτηση και λήψη συγκατάθεσης

Διαχείριση προτιμήσεων και ανακλήσεων

Αλλαγή, ανανέωση και έλεγχος εκδόσεων συγκατάθεσης

Αρχεία, απόδειξη και προστασία

Μετρικές, εξαιρέσεις και εφαρμογή της πολιτικής

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Σχετικές πολιτικές

Πολιτική Απογραφής Επεξεργασίας και Νομικής Βάσης

Οι αποφάσεις συγκατάθεσης εξαρτώνται από τα αρχεία νομικής βάσης του REG02 και τη σύνδεση με την απογραφή επεξεργασίας σε επίπεδο σκοπού.

Πολιτική Ειδοποίησης Ιδιωτικότητας και Διαφάνειας

Τα αιτήματα συγκατάθεσης πρέπει να συνδέονται με την εφαρμοστέα έκδοση ειδοποίησης ιδιωτικότητας του REG07 πριν από την παρουσίασή τους.

Πολιτική Διαχείρισης Δικαιωμάτων Υποκειμένου Δεδομένων Προσωπικού Χαρακτήρα

Ο χειρισμός ανακλήσεων και αλλαγών προτιμήσεων υποστηρίζει την ευρύτερη διαχείριση των δικαιωμάτων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα.

Πολιτική Αξιολόγησης Κινδύνου Ιδιωτικότητας και DPIA

Απαιτείται ανασκόπηση REG04 για εναύσματα υψηλού κινδύνου, όπως ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα, υπηρεσίες που απευθύνονται σε παιδιά ή ανισορροπία.

Πολιτική Διαχείρισης Ιδιωτικότητας Εκτελούντων την Επεξεργασία, Υπεργολάβων Επεξεργασίας και Τρίτων Μερών

Οι υποχρεώσεις των εκτελούντων την επεξεργασία, των υπεργολάβων επεξεργασίας και των προμηθευτών, καθώς και οι εντολές πελάτη, διαχειρίζονται μέσω συνδέσεων REG08.

Πολιτική Διαχείρισης Τεκμηριωμένων Πληροφοριών και Τεκμηρίων PIMS

Η διακυβέρνηση συγκατάθεσης βασίζεται σε ελεγχόμενα αντικείμενα τεκμηρίων, ιδίως αρχεία REG05 και εξαιρέσεις ή ευρήματα REG12.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική Διαχείρισης Συγκατάθεσης και Προτιμήσεων

Η παρούσα πολιτική θεσπίζει επιχειρησιακή διακυβέρνηση για τη διαχείριση συγκατάθεσης και προτιμήσεων εντός του PIMS. Ορίζει πότε μπορεί να χρησιμοποιείται η συγκατάθεση, πώς πρέπει να παρουσιάζονται τα αιτήματα συγκατάθεσης, ποια τεκμήρια πρέπει να συλλέγονται, πώς γίνεται ο χειρισμός αλλαγών προτιμήσεων και ανακλήσεων, και πώς τα αρχεία ανασκοπούνται, προστατεύονται, διορθώνονται και διατηρούνται. Η πολιτική ανήκει στον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS, εγκρίνεται από την Ανώτατη Διοίκηση και εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας, όπου εμπλέκονται αρχεία συγκατάθεσης, καταστάσεις προτιμήσεων ή οδηγίες ανάκλησης.

Η συγκατάθεση όχι ως προεπιλογή

Απαιτεί ελέγχους REG02 και REG05 ώστε η συγκατάθεση να χρησιμοποιείται μόνο όπου ενδείκνυται για τη δραστηριότητα επεξεργασίας.

Σύνδεση έκδοσης ειδοποίησης

Συνδέει τα αιτήματα και τα αρχεία συγκατάθεσης με την εφαρμοστέα έκδοση ειδοποίησης ιδιωτικότητας του REG07 πριν από την έναρξη της επεξεργασίας.

Εκπλήρωση ανακλήσεων

Ορίζει καθήκοντα καταγραφής και επικαιροποίησης συστημάτων για ανακλήσεις και αλλαγές προτιμήσεων εντός των απαιτούμενων χρονικών πλαισίων.

Προστατευμένα αρχεία

Απαιτεί τα τεκμήρια συγκατάθεσης του REG05 να προστατεύονται από μη εξουσιοδοτημένη μεταβολή με τεκμήρια διαδρομής ελέγχου.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Γραφείο DPO

🏷️ Θεματική κάλυψη

Διαχείριση πληροφοριών ιδιωτικότητας επεξεργασία δεδομένων προσωπικού χαρακτήρα συγκατάθεση και νομική βάση αρχεία επεξεργασίας αρμοδιότητες υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία διαχείριση τρίτων μερών παρακολούθηση και μέτρηση
€69

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
Consent and Preference Management Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 5