policy ISO 27701 PIMS Policy Pack

Nõusoleku ja eelistuste haldamise poliitika

ISO 27701 nõusolekupoliitika seadusliku nõusoleku kogumiseks, eelistuste muudatuste, nõusoleku tagasivõtmise käsitlemise, tõendusmaterjali kirjete ja auditivalmis PIMS-i juhtimise jaoks.

Ülevaade

See poliitika reguleerib seaduslikku nõusolekut ja eelistuste haldamist vastutava töötleja, volitatud töötleja, kaasvastutava töötleja ja alltöötleja kontekstides. See määratleb, kuidas nõusolekut taotletakse, registreeritakse REG05-s, seotakse REG02 ja REG07-ga, võetakse tagasi, värskendatakse, kaitstakse, mõõdetakse, auditeeritakse ja parandatakse.

Auditeeritav nõusoleku tõendusmaterjal

Määratleb REG05 autoriteetse kirjendina nõusoleku staatuse, sõnastuse, privaatsusteate versiooni, ajatemplite, meetodite ja ajaloo jaoks.

Kontrollitud nõusoleku tagasivõtmise käsitlemine

Nõuab, et nõusoleku tagasivõtmine ja eelistuste muudatused registreeritakse ning nende alusel tegutsetakse määratletud operatiivsete või kliendi juhistes määratud tähtaegade jooksul.

Kooskõla õigusliku alusega

Tagab, et nõusolekut kasutatakse ainult asjakohasel juhul ning see seotakse REG02 töötlemise eesmärkide ja REG07 privaatsusteate versioonidega.

Loe täielikku ülevaadet (click to expand)
Nõusoleku ja eelistuste haldamise poliitika määratleb kohustuslikud nõuded selle kindlaksmääramiseks, millal nõusolek on nõutav, nõusoleku taotlemiseks, nõusoleku tõendusmaterjali kogumiseks, eelistuste haldamiseks, nõusoleku tagasivõtmise töötlemiseks, nõusolekukirjete säilitamiseks ja nõusolekumehhanismide läbivaatamiseks. Seda kohaldatakse isikut tuvastava teabe töötlemisele, kui nõusolek on valitud või nõutav õigusliku alusena, kui nõutav on sõnaselge nõusolek, kui kogutakse nõusolekuga seotud eelistusi või kui organisatsioon haldab nõusolekukirjeid vastutava töötleja nimel. Poliitika hõlmab vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekste, täpsustades, et volitatud töötleja ja alltöötleja kohustused kehtivad ainult juhul, kui nõusolekukirjeid, eelistuste olekuid või nõusoleku tagasivõtmise juhiseid hallatakse dokumenteeritud vastutava töötleja või kliendi juhiste alusel. Poliitika keskne põhimõte on, et nõusolek ei ole isikut tuvastava teabe töötlemise vaikimisi õiguslik alus. Enne kui uus või oluliselt muudetud töötlemistoiming tugineb nõusolekule, peab protsessiomanik või ettevõtte omanik registreerima REG02-s, kas nõusolek on nõutav või valitud, ning andmekaitsejuht või PIMS-i juht peab REG02-s ja REG05-s kontrollima, et nõusolekut ei ole valitud vaikimisi. Kui töötlemine hõlmab isikut tuvastava teabe eriliike, lastele suunatud teenuseid, kõrge riskiga töötlemist või tasakaalustamatust organisatsiooni ja isikuandmesubjekti vahel, peab andmekaitseametnik või andmekaitsenõustaja enne kasutuselevõttu REG04-s nõusoleku aluse läbi vaatama. Kaasvastutava töötleja tegevuste puhul tuleb vastutus nõusoleku hankimise, registreerimise, värskendamise ja järgimise eest dokumenteerida enne töötlemise algust. Poliitika sätestab üksikasjalikud operatiivsed nõuded nõusoleku taotlemisele ja kogumisele. Nõusolekutaotlused peavad olema eesmärgipõhised ja seotud kohaldatava REG07 privaatsusteate versiooniga enne nende esitamist isikuandmesubjektile. Süsteemid peavad nõudma kinnitavat tegevust, kui nõutav on sõnaselge nõusolek või opt-in-nõusolek, ning peavad takistama nõusolekule tugineva töötlemise jätkumist, kui REG05 ei näita asjaomase eesmärgi jaoks aktiivset nõusoleku staatust. REG05 peab hõlmama isikuandmesubjekti viidet, eesmärki, isikut tuvastava teabe kategooriat, nõusoleku sõnastust või versiooni, privaatsusteate versiooni, kogumiskanalit, ajatemplit, meetodit, staatust ja kohaldatavat kehtivusperioodi. Kui kohaldub lastele suunatud nõusolek või sõnaselge nõusolek, käivituvad täiendavad loogika-, märgistamis- ja läbivaatamisnõuded. Eelistuste ja nõusoleku tagasivõtmise haldamist reguleeritakse samuti REG05 ja vajaduse korral REG08 kaudu. Nõusoleku tagasivõtmise või eelistuste muutmise mehhanism peab olema kättesaadav hiljemalt hetkel, mil nõusolekut taotletakse. Nõusoleku tagasivõtmised ja eelistuste muudatused tuleb registreerida viie tööpäeva jooksul alates kättesaamisest või töötlemistoimingu jaoks määratletud lühema tähtaja jooksul. Mõjutatud süsteeme, blokeerimisolekuid või eelistuste tähiseid tuleb ajakohastada enne edasise töötlemise jätkamist tagasivõetud või piiratud eesmärgil. Volitatud töötlejad peavad kliendi juhised edastama või rakendama kliendi määratletud tähtaja jooksul ning alltöötlejaid tuleb REG08 kaudu kontrollida lepinguliste või juhistes määratud tähtaegade suhtes. Poliitika käsitleb ka muudatuste ohjet, kirjete kaitset, juhtimist, rakendamist, mõõdikuid, erandeid, rakendamist ja hooldust. Nõusolek tuleb enne töötlemise jätkamist uuesti hinnata, kui eesmärk, isikut tuvastava teabe kategooriad, vastutava töötleja identiteet, privaatsusteate sõnastus, säilitamine, vastuvõtja kategooria või töötlemismeetod oluliselt muutub. Nõusoleku sõnastus, mehhanismi konfiguratsioon, privaatsusteate viited ja nõusolekukirjete skeemid peavad olema versioonitud. REG05 kirjeid tuleb kaitsta loata muutmise eest ning auditijälje tõendusmaterjal tuleb säilitada. Mõõdikud hõlmavad REG05, REG02 ja REG07 vaheliste seoste kvartaalset kontrolli, igakuist nõusoleku tagasivõtmise lõpetamise mõõtmist juhul, kui nõusolekupõhine töötlemine on aktiivne, ning auditiaruandlust REG12-s. Erandid tuleb heaks kiita enne rakendamist ning puuduvast, kehtetust, sidumata või ebausaldusväärsest nõusoleku tõendusmaterjalist tulenevad mittevastavused tuleb registreerida viie tööpäeva jooksul.

Poliitika diagramm

Protsessivoo skeem, mis näitab nõusoleku kohaldatavuse läbivaatamist, õigusliku aluse kinnitamist, privaatsusteate seostamist, nõusoleku kogumist REG05-s, eelistuste või nõusoleku tagasivõtmise ajakohastamist, tõendusmaterjali kaitset, mõõdikuid, auditi läbivaatamist, erandeid ja parandusmeetmeid.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Nõusoleku kohaldatavus ja õiguslik alus

Nõusoleku taotlemine ja kogumine

Eelistuste ja nõusoleku tagasivõtmise haldamine

Nõusoleku muutmine, värskendamine ja versioonimine

Kirjed, tõendusmaterjal ja kaitse

Mõõdikud, erandid ja rakendamine

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Seotud poliitikad

Töötlemisregistri ja õigusliku aluse poliitika

Nõusolekuotsused sõltuvad REG02 õigusliku aluse kirjetest ja töötlemisregistri eesmärgitaseme seostest.

Privaatsusteate ja läbipaistvuse poliitika

Nõusolekutaotlused tuleb enne esitamist siduda kohaldatava REG07 privaatsusteate versiooniga.

Isikuandmesubjekti õiguste haldamise poliitika

Nõusoleku tagasivõtmise ja eelistuste muutmise käsitlemine toetab isikuandmesubjekti õiguste laiemat haldamist.

Privaatsusriskide hindamise ja DPIA poliitika

REG04 läbivaatus on nõutav kõrge riskiga käivitajate puhul, nagu eriliiki isikut tuvastav teave, lastele suunatud teenused või tasakaalustamatus.

Volitatud töötleja, alltöötleja ja kolmandate osapoolte privaatsuse haldamise poliitika

Volitatud töötleja, alltöötleja, tarnija ja kliendi juhise kohustusi hallatakse REG08 seoste kaudu.

PIMS-i dokumenteeritud teabe ja tõendusmaterjali haldamise poliitika

Nõusoleku juhtimine tugineb kontrollitud tõendusobjektidele, eelkõige REG05 kirjetele ning REG12 eranditele või leidudele.

Claryseci poliitikate kohta - Nõusoleku ja eelistuste haldamise poliitika

See poliitika kehtestab PIMS-i raames nõusoleku ja eelistuste haldamise operatiivse juhtimise. See määratleb, millal nõusolekut võib kasutada, kuidas nõusolekutaotlusi tuleb esitada, milline tõendusmaterjal tuleb koguda, kuidas käsitletakse eelistuste muudatusi ja nõusoleku tagasivõtmisi ning kuidas kirjeid läbi vaadatakse, kaitstakse, parandatakse ja säilitatakse. Poliitika omanik on andmekaitsejuht / PIMS-i juht, selle kinnitab tippjuhtkond ning seda kohaldatakse vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides, kus on seotud nõusolekukirjed, eelistuste olekud või nõusoleku tagasivõtmise juhised.

Nõusolek ei ole vaikimisi

Nõuab REG02 ja REG05 kontrolle, et nõusolekut kasutataks ainult siis, kui see on töötlemistoimingu jaoks asjakohane.

Privaatsusteate versiooni seos

Seob nõusolekutaotlused ja kirjed kohaldatava REG07 privaatsusteate versiooniga enne töötlemise algust.

Nõusoleku tagasivõtmise täitmine

Määratleb nõusoleku tagasivõtmiste ja eelistuste muudatuste registreerimise ning süsteemide ajakohastamise kohustused nõutud tähtaegade jooksul.

Kaitstud kirjed

Nõuab, et REG05 nõusoleku tõendusmaterjal oleks kaitstud loata muutmise eest koos auditijälje tõendusmaterjaliga.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Andmekaitse õigus vastavus IT-turve DPO büroo

🏷️ Temaatiline katvus

Privaatsusteabe haldussüsteem isikuandmete töötlemine nõusolek ja õiguslik alus töötlemistoimingute kirjed vastutava töötleja ja volitatud töötleja vastutused kolmanda osapoole haldus seire ja mõõtmine
€69

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Consent and Preference Management Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 5