policy ISO 27701 PIMS Policy Pack

Suostumuksen ja valinta-asetusten hallintapolitiikka

ISO 27701 -suostumuspolitiikka lainmukaiseen suostumuksen keräämiseen, valinta-asetusten muutoksiin, suostumuksen peruuttamisen käsittelyyn, todentavan aineiston tallenteisiin ja valmiuteen auditointia varten PIMS-hallinnoinnissa.

Yleiskatsaus

Tämä politiikka ohjaa lainmukaista suostumusta ja valinta-asetusten hallintaa rekisterinpitäjän, henkilötietojen käsittelijän, yhteisrekisterinpitäjän ja alikäsittelijän toimintaympäristöissä. Se määrittää, miten suostumusta pyydetään, kirjataan REG05:een, liitetään REG02:een ja REG07:ään, peruutetaan, päivitetään, suojataan, mitataan, auditoidaan ja korjataan.

Auditoitavissa oleva suostumusnäyttö

Määrittää REG05:n ajantasaiseksi rekisteriksi suostumuksen tilasta, sanamuodosta, tietosuojaselosteen versiosta, aikaleimoista, menetelmistä ja historiasta.

Hallittu suostumuksen peruuttamisen käsittely

Edellyttää, että suostumuksen peruuttaminen ja valinta-asetusten muutokset kirjataan ja toteutetaan määritellyissä operatiivisissa tai asiakkaan ohjeen mukaisissa määräajoissa.

Yhdenmukaisuus oikeusperusteen kanssa

Varmistaa, että suostumusta käytetään vain soveltuvissa tilanteissa ja että se liitetään REG02:n käsittelytarkoituksiin ja REG07:n tietosuojaselosteen versioihin.

Lue koko yleiskatsaus (click to expand)
Suostumuksen ja valinta-asetusten hallintapolitiikka määrittää pakolliset vaatimukset sen määrittämiseen, milloin suostumusta edellytetään, suostumuksen pyytämiseen, suostumusnäytön keräämiseen, valinta-asetusten hallintaan, suostumuksen peruuttamisten käsittelyyn, suostumustallenteiden ylläpitoon ja suostumusmekanismien katselmointiin. Sitä sovelletaan henkilötietojen käsittelyyn, jossa suostumus valitaan tai sitä edellytetään oikeusperusteena, jossa nimenomaista suostumusta edellytetään, jossa suostumukseen liittyviä valinta-asetuksia kerätään tai jossa organisaatio hallinnoi suostumustallenteita rekisterinpitäjän puolesta. Politiikka kattaa rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toimintaympäristöt ja selventää samalla, että henkilötietojen käsittelijän ja alikäsittelijän velvoitteita sovelletaan vain, kun suostumustallenteita, valinta-asetusten tiloja tai suostumuksen peruuttamisohjeita hallinnoidaan dokumentoitujen rekisterinpitäjän tai asiakkaan ohjeiden perusteella. Politiikan keskeinen periaate on, ettei suostumus ole henkilötietojen käsittelyn oletusarvoinen oikeusperuste. Ennen kuin uusi tai olennaisesti muuttunut käsittelytoimi perustuu suostumukseen, prosessin omistajan tai liiketoimintavastaavan tulee kirjata REG02:een, edellytetäänkö tai valitaanko suostumus. Tietosuojavastaavan tai PIMS-päällikön tulee varmistaa REG02:ssa ja REG05:ssä, ettei suostumusta ole valittu oletusarvoisesti. Kun käsittely sisältää erityisiä henkilötietoryhmiä, lapsille suunnattuja palveluja, korkean riskin käsittelyä tai epätasapainon organisaation ja rekisteröidyn välillä, tietosuojavastaavan tai tietosuojaneuvonantajan tulee katselmoida suostumusperuste REG04:ssä ennen käyttöönottoa. Yhteisrekisterinpitäjien toiminnassa vastuu suostumuksen hankkimisesta, kirjaamisesta, päivittämisestä ja noudattamisesta tulee dokumentoida ennen käsittelyn aloittamista. Politiikka asettaa yksityiskohtaiset operatiiviset vaatimukset suostumuksen pyytämiselle ja keräämiselle. Suostumuspyyntöjen tulee olla tarkoituskohtaisia, ja ne tulee liittää sovellettavaan REG07:n tietosuojaselosteen versioon ennen niiden esittämistä rekisteröidylle. Järjestelmien tulee edellyttää aktiivista toimenpidettä, kun nimenomaista tai opt-in-suostumusta vaaditaan, ja niiden tulee estää suostumukseen perustuvan käsittelyn eteneminen, ellei REG05 osoita aktiivista suostumustilaa kyseiseen tarkoitukseen. REG05:n tulee tallentaa rekisteröidyn viite, tarkoitus, henkilötietoluokka, suostumuksen sanamuoto tai versio, tietosuojaselosteen versio, keräyskanava, aikaleima, menetelmä, tila ja sovellettava voimassaoloaika. Kun kyse on lapsille suunnatusta suostumuksesta tai nimenomaisesta suostumuksesta, sovelletaan lisälogiikkaa, merkintöjä ja katselmointivaatimuksia. Valinta-asetusten ja suostumuksen peruuttamisen hallintaa ohjataan myös REG05:n ja soveltuvin osin REG08:n kautta. Suostumuksen peruuttamista tai valinta-asetuksen muuttamista koskevan mekanismin tulee olla käytettävissä viimeistään siinä vaiheessa, kun suostumusta pyydetään. Suostumuksen peruuttamiset ja valinta-asetusten muutokset tulee kirjata viiden työpäivän kuluessa vastaanottamisesta tai käsittelytoimelle määritellyssä lyhyemmässä määräajassa. Vaikutuksen kohteena olevat järjestelmät, estolistaustilat tai valinta-asetusten merkinnät tulee päivittää ennen kuin jatkokäsittelyä jatketaan peruutetun tai rajoitetun tarkoituksen osalta. Henkilötietojen käsittelijöiden tulee välittää tai toteuttaa asiakkaan ohjeet asiakkaan määrittämässä määräajassa, ja alikäsittelijät tulee varmentaa REG08:n kautta sopimusperusteisia tai ohjeistettuja määräaikoja vasten. Politiikka käsittelee myös muutoksenhallintaa, tallenteiden suojausta, hallinnointia, toteutusta, mittareita, poikkeuksia, soveltamista ja ylläpitoa. Suostumus tulee arvioida uudelleen ennen käsittelyn jatkamista, jos tarkoitus, henkilötietoluokat, rekisterinpitäjän identiteetti, tietosuojaselosteen sanamuoto, säilytys, vastaanottajaluokka tai käsittelymenetelmä muuttuu olennaisesti. Suostumuksen sanamuoto, mekanismin konfiguraatio, tietosuojaselosteen viittaukset ja suostumustallenteiden skeemat tulee versioida. REG05-tallenteet tulee suojata luvattomalta muuttamiselta, ja auditointijäljen näyttö tulee ylläpitää. Mittareihin kuuluvat REG05:n, REG02:n ja REG07:n välisten linkitysten neljännesvuosittaiset tarkastukset, kuukausittainen suostumuksen peruuttamisten valmistumisen mittaaminen, kun suostumukseen perustuva käsittely on aktiivista, sekä auditointiraportointi REG12:ssa. Poikkeukset tulee hyväksyä ennen toteutusta, ja puuttuvaan, virheelliseen, linkittämättömään tai epäluotettavaan suostumusnäyttöön liittyvät poikkeamat tulee kirjata viiden työpäivän kuluessa.

Käytäntökaavio

Prosessikaavio, jossa esitetään suostumuksen sovellettavuuden katselmointi, oikeusperusteen vahvistaminen, tietosuojaselosteen linkitys, suostumuksen kerääminen REG05:een, valinta-asetusten tai suostumuksen peruuttamisen päivitykset, todentavan aineiston suojaus, mittarit, auditointikatselmointi, poikkeukset ja korjaavat toimenpiteet.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Suostumuksen sovellettavuus ja oikeusperuste

Suostumuksen pyytäminen ja kerääminen

Valinta-asetusten ja suostumuksen peruuttamisen hallinta

Suostumuksen muutos, päivittäminen ja versiointi

Tallenteet, näyttö ja suojaus

Mittarit, poikkeukset ja soveltaminen

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Liittyvät käytännöt

Käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

Suostumuspäätökset riippuvat REG02:n oikeusperustetta koskevista tallenteista ja tarkoitustason käsittelytoimien luettelon linkityksestä.

Tietosuojaselostetta ja läpinäkyvyyttä koskeva politiikka

Suostumuspyynnöt tulee liittää sovellettavaan REG07:n tietosuojaselosteen versioon ennen niiden esittämistä.

Rekisteröidyn oikeuksien hallintapolitiikka

Suostumuksen peruuttamisen ja valinta-asetusten muutosten käsittely tukee laajempaa rekisteröidyn oikeuksien hallintaa.

Tietosuojariskien arviointi- ja DPIA-politiikka

REG04-katselmointia edellytetään korkean riskin herätteissä, kuten erityisten henkilötietoryhmien, lapsille suunnattujen palvelujen tai epätasapainon yhteydessä.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojahallinnan politiikka

Henkilötietojen käsittelijän, alikäsittelijän, toimittajan ja asiakkaan ohjeisiin liittyviä velvoitteita hallitaan REG08-linkitysten kautta.

PIMS:n dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka

Suostumuksen hallinnointi perustuu hallittuihin näyttöobjekteihin, erityisesti REG05-tallenteisiin sekä REG12-poikkeuksiin tai havaintoihin.

Tietoa Clarysecin käytännöistä - Suostumuksen ja valinta-asetusten hallintapolitiikka

Tämä politiikka vahvistaa suostumuksen ja valinta-asetusten hallinnan operatiivisen hallinnoinnin PIMS:ssä. Se määrittää, milloin suostumusta voidaan käyttää, miten suostumuspyynnöt tulee esittää, mitä todentavaa aineistoa tulee kerätä, miten valinta-asetusten muutokset ja suostumuksen peruuttamiset käsitellään sekä miten tallenteita katselmoidaan, suojataan, korjataan ja säilytetään. Politiikan omistaa tietosuojavastaava / PIMS-päällikkö, sen hyväksyy ylin johto, ja sitä sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toimintaympäristöissä, joissa suostumustallenteet, valinta-asetusten tilat tai suostumuksen peruuttamisohjeet ovat mukana.

Suostumus ei ole oletusarvoinen

Edellyttää REG02- ja REG05-tarkastuksia, jotta suostumusta käytetään vain silloin, kun se soveltuu käsittelytoimeen.

Tietosuojaselosteen version linkitys

Liittää suostumuspyynnöt ja tallenteet sovellettavaan REG07:n tietosuojaselosteen versioon ennen käsittelyn aloittamista.

Suostumuksen peruuttamisen toteuttaminen

Määrittää kirjaamis- ja järjestelmäpäivitysvelvoitteet suostumuksen peruuttamisille ja valinta-asetusten muutoksille vaadituissa määräajoissa.

Suojatut tallenteet

Edellyttää, että REG05:n suostumusnäyttö suojataan luvattomalta muuttamiselta auditointijäljen näytön avulla.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

tietosuoja lakiasiat vaatimustenmukaisuus IT-turvallisuus tietosuojavastaavan toimisto

🏷️ Aiheen kattavuus

henkilötietojen hallintajärjestelmä henkilötietojen käsittely suostumus ja oikeusperuste käsittelytoimien tallenteet rekisterinpitäjän ja henkilötietojen käsittelijän vastuut kolmansien osapuolten hallinta seuranta ja mittaaminen
€69

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Consent and Preference Management Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 5