policy ISO 27701 PIMS Policy Pack

Markkinoinnin tietosuoja- ja evästepolitiikka

Hallitse markkinointia, evästeitä, seurantaa, analytiikkaa ja mainosteknologiaa suostumuksen, tietosuojaselosteiden, toimittajien valvonnan, kieltäytymisten ja auditointivalmiutta tukevan PIMS-näytön avulla.

Yleiskatsaus

Tämä politiikka hallinnoi markkinointia, evästeitä, seurantaa, analytiikkaa ja mainosteknologian käsittelyä dokumentoitujen käyttötarkoitusten, tietosuojaselosteyhteyksien, suostumus- ja valinta-asetuskontrollien, estolistauksen, toimittajien valvonnan, siirtoreitityksen sekä rekisterinpitäjän ja henkilötietojen käsittelijän konteksteissa käytettävän auditointivalmiutta tukevan PIMS-näytön avulla.

Markkinoinnin tietosuojan hallinnointi

Määrittää pakolliset kontrollit kampanjoille, evästeille, seurannalle, analytiikalle, mainosteknologialle, segmentoinnille, suoramarkkinoinnille ja niihin liittyvälle henkilötietojen käsittelylle.

Suostumus- ja kieltäytymisnäyttö

Edellyttää, että suostumus, valinta-asetukset, estolistaus, suostumuksen peruuttaminen ja tietosuojaselosteiden yhteydet kirjataan kanonisiin PIMS-näyttöobjekteihin.

Toimittajien ja tagien valvonta

Valvoo markkinointitoimittajia, analytiikkapalveluntarjoajia, mainosalustoja, tageja, pikseleitä, SDK-komponentteja ja siirtoreititystä ennen tuotantokäyttöä.

Lue koko yleiskatsaus (click to expand)
Markkinoinnin tietosuoja- ja evästepolitiikka määrittää pakolliset tietosuojavaatimukset markkinoinnille, evästeille, seurantateknologioille, analytiikalle, mainosteknologialle, kohderyhmien segmentoinnille, suoramarkkinoinnille, valinta-asetusten hallinnalle, estolistaukselle, kolmannen osapuolen tageille, kampanjakatselmoinnille ja niihin liittyvälle henkilötietojen käsittelylle. Sen määritetty tarkoitus on varmistaa, että näitä toimia hallinnoidaan selkeiden käyttötarkoitustallenteiden, läpinäkyvän tietosuojaselosteen, asianmukaisten suostumus- tai valinta-asetuskontrollien, estolistauksen ja suostumuksen peruuttamisen käsittelyn, kolmannen osapuolen valvonnan sekä auditointivalmiutta tukevan näytön avulla. Politiikkaa sovelletaan rekisterinpitäjä-, yhteisrekisterinpitäjä-, henkilötietojen käsittelijä- ja alikäsittelijäkonteksteissa siten, että rekisterinpitäjän velvoitteita sovelletaan, kun organisaatio määrittää markkinoinnin käyttötarkoitukset ja keinot, ja henkilötietojen käsittelijän velvoitteita sovelletaan, kun markkinointiin, analytiikkaan, seurantaan tai kampanjoihin liittyviä henkilötietoja käsitellään asiakkaan tai ylemmän tason henkilötietojen käsittelijän dokumentoitujen ohjeiden mukaisesti. Keskeinen vaatimus on, että markkinointi- ja seurantatarkoitukset tulee kirjata ennen käsittelyn aloittamista. Rekisterinpitäjän toimissa prosessien omistajan tai liiketoimintavastaavan tulee kirjata REG02:een jokainen markkinointikampanja, kanava, käsittelyn käyttötarkoitus, henkilötietoluokka, kohderyhmän lähde, oikeusperusteyhteys, seurantateknologian luokka, toimittaja- tai tagiriippuvuus, tietosuojaselosteyhteys, suostumus- tai valinta-asetusriippuvuus, säilytysyhteys ja siirtomerkintä ennen kampanjan tai seurantatoimen aloittamista. Tietosuojavastaavan / PIMS-päällikön tulee vahvistaa voimassa oleva REG07-tietosuojaselosteyhteys ja REG05-suostumus- tai valinta-asetusyhteys ennen kampanjan julkaisua. Kun kyseessä on yhteismarkkinointi, jaettu kohderyhmä, yhteisbrändätty kampanja tai jaettu seurantatoimi, yhteisrekisterinpitäjän vastuunjako tulee kirjata REG08:aan ennen julkaisua. Politiikka antaa yksityiskohtaiset operatiiviset vaatimukset suostumukselle, valinta-asetuksille, evästeille ja seurantakontrolleille. Se edellyttää, että organisaatio tunnistaa kunkin markkinointikanavan osalta, tarvitaanko suostumus, valinta-asetus, vastustaminen, sopimusperusteinen ohje tai muu hyväksytty peruste, ja kirjaa päätöksen REG02:een ja REG05:een ennen keräämistä tai kampanjakäyttöä. Ei-välttämättömien evästeiden, tagien, pikseleiden, SDK-komponenttien ja vastaavien seurantateknologioiden tulee pysyä passiivisina, kunnes vaadittu suostumus- tai valinta-asetustila on saatavilla REG05:ssä. Suostumus- tai valinta-asetussignaaleja ei saa ylikirjoittaa, ohittaa tai jättää huomiotta verkkosivuston, sovelluksen, kampanjan tai tagienhallinnan muutosten yhteydessä, ja validointinäyttö tulee kirjata ennen julkaisua. Suostumusta, valinta-asetuksia, suostumuksen peruuttamista, estolistausta ja versioita koskeva näyttö tulee kirjata REG05:een yhden työpäivän kuluessa tallennuksesta, muutoksesta tai peruuttamisesta. Läpinäkyvyys ja kolmannen osapuolen hallinnointi ovat myös keskeisiä teemoja. Tietosuojavastaavan / PIMS-päällikön tulee luoda tai päivittää markkinoinnin tietosuojaselosteen tai evästeilmoituksen tallenne REG07:ssä ennen uuden markkinointikanavan, seurantateknologian, analytiikkakonfiguraation tai olennaisen kampanjamuutoksen julkaisua. Tietosuojaselosteen sisällön tulee olla yhdenmukainen REG02:ssa kirjattujen markkinointitarkoitusten, henkilötietoluokkien, vastaanottajaluokkien, toimittajaluokkien, seurantateknologialuokkien, valinta-asetusvaihtoehtojen ja siirtomerkintöjen kanssa ennen julkaisua. Markkinointitoimittajat, analytiikkapalveluntarjoajat, mainosalustat, tagit, pikselit, SDK-komponentit ja tietojen jakamisen kumppanit tulee kirjata REG08:aan ennen tuotantokäyttöä, ja henkilötietojen käsittelijän, yhteisrekisterinpitäjän tai itsenäisen rekisterinpitäjän luokitus tulee vahvistaa ennen käyttöönottoa tai uusimista. Kansainväliset toimittajat, tagit, analytiikkapalveluntarjoajat, mainosalustat, kohderyhmäsiirrot tai tietojen jakamisen siirrot tulee tarvittaessa reitittää REG09:ään ennen tuotantokäyttöönottoa. Politiikka asettaa myös vaatimukset kampanjakatselmoinnille, estolistaukselle, kieltäytymisten reititykselle, soveltamiselle ja jatkuvalle valvonnalle. Kohderyhmän lähde, segmentointikriteerit, henkilötietoluokat, estolistauspoissulut, valinta-asetusrajoitteet ja tietosuojaselosteyhteys tulee tarkistaa ennen kampanjan julkaisua, ja henkilöt, joilla on suostumuksen peruuttamisen, vastustamisen, yhteydenottokiellon tai estolistauksen tila, tulee sulkea pois ennen aktivointia. Markkinointia koskevat vastustamiset, kieltäytymiset, suostumuksen peruuttamispyynnöt, tilauksen peruutuksen epäonnistumiset ja suoramarkkinointia koskevat valitukset tulee reitittää REG06:een kahden työpäivän kuluessa, ja estolistaus- tai valinta-asetustila tulee päivittää yhden työpäivän kuluessa validoinnista. Hallinnointikontrolleihin kuuluvat markkinoinnin tietosuojakontrollien tilan neljännesvuosittainen katselmointi REG12:ssa, aktiivisten markkinointitoimittajien vuosittainen katselmointi REG08:ssa, neljännesvuosittaiset mittarit puuttuvista suostumus- tai tietosuojaselosteyhteyksistä, seurantateknologioiden ja suostumustilan poikkeuksista, viivästyneistä täyttämiskohteista sekä REG12:een kirjatuista auditointihavainnoista tai korjaavista toimenpiteistä.

Käytäntökaavio

Prosessivuokaavio, joka näyttää markkinoinnin tietosuojan hallinnoinnin kampanjan käyttötarkoituksen kirjaamisesta REG02:ssa, suostumus- ja valinta-asetustarkistuksista REG05:ssä, tietosuojaselostepäivityksistä REG07:ssä, toimittaja- ja tagikatselmoinnista REG08:ssa, siirtoreitityksestä REG09:ssä, kieltäytymisten käsittelystä REG06:ssa sekä seurannasta tai korjaavista toimenpiteistä REG12:ssa.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Markkinoinnin käsittelytoimien luettelo ja käyttötarkoitusyhteys

Suostumus-, valinta-asetus- ja evästekontrollit

Markkinoinnin tietosuojaselosteen ja evästeilmoituksen tallenteet

Kolmannen osapuolen tagit, toimittajat, analytiikka ja mainoskumppanit

Suostumuksen peruuttamisen, vastustamisen, kieltäytymisen ja valitusten reititys

Mittarit, poikkeukset, soveltamis- ja katselmointivaatimukset

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.3Annex A.1.3.4Annex A.1.3.5Annex A.1.3.6Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.5.2Annex A.1.5.3Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 6Article 7Article 12Article 13Article 14Article 21Article 24Article 25Article 26Article 28Article 30Article 32Article 44
ISO/IEC 29100:2020
Clause 5.1Clause 5.8Clause 5.9Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10
ISO/IEC TS 27560:2023
Clause 5.2Clause 5.3Clause 6.2Clause 6.4

Liittyvät käytännöt

Käsittelytoimien luettelon ja oikeusperusteen politiikka

Markkinointikampanjat ja seurantatoimet tulee yhdistää REG02:ssa käsittelyn käyttötarkoituksiin, henkilötietoluokkiin ja oikeusperustetallenteisiin.

Tietosuojaseloste- ja läpinäkyvyyspolitiikka

Markkinoinnin tietosuojaselosteiden ja evästeilmoitusten tulee olla ajantasaisia, versiohallittuja ja yhdistettyjä käsittelytallenteisiin.

Suostumusten ja valinta-asetusten hallintapolitiikka

Suostumusta, valinta-asetuksia, suostumuksen peruuttamista ja estolistausta koskeva näyttö on keskeinen kontrolli evästeille, seurannalle ja suoramarkkinoinnille.

Rekisteröidyn oikeuksien hallintapolitiikka

Markkinointia koskevat vastustamiset, kieltäytymiset, suostumuksen peruuttamispyynnöt ja valitukset reititetään REG06:n oikeuspyyntöjen työnkulun kautta.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojan hallintapolitiikka

Markkinointitoimittajat, analytiikkapalveluntarjoajat, mainosalustat, tagit ja alikäsittelijät tulee luokitella ja hallinnoida REG08:ssa.

Kansainvälisten siirtojen politiikka

Markkinointitoimittajat, analytiikkapalveluntarjoajat, mainosteknologia-alustat ja hosting-sijainnin muutokset voivat edellyttää henkilötietojen kansainvälisen siirron reititystä REG09:ssä.

Tietoa Clarysecin käytännöistä - Markkinoinnin tietosuoja- ja evästepolitiikka

Markkinoinnin tietosuoja- ja evästepolitiikka muodostaa operatiivisen tietosuojan hallinnointikehyksen markkinoinnille, evästeille, seurantateknologioille, analytiikalle, mainosteknologialle, kohderyhmien segmentoinnille, suoramarkkinoinnille, valinta-asetusten hallinnalle, estolistaukselle, kolmannen osapuolen tageille ja kampanjakatselmoinnille. Se määrittää, miten markkinointiin liittyvä henkilötietojen käsittely tulee dokumentoida, hyväksyä, seurata ja panna täytäntöön kanonisten PIMS-näyttöobjektien avulla, mukaan lukien REG02, REG05, REG06, REG07, REG08, REG09 ja REG12. Politiikkaa sovelletaan rekisterinpitäjä-, yhteisrekisterinpitäjä-, henkilötietojen käsittelijä- ja alikäsittelijäkonteksteihin, ja se osoittaa vastuut ylimmälle johdolle, tietosuojavastaavalle / PIMS-päällikölle, prosessien omistajille, järjestelmäomistajille, toimittaja-/hankintaomistajille, tietoturvavastaavalle, tietosuojaneuvonantajille sekä sisäisen tarkastuksen / vaatimustenmukaisuuden katselmoijille.

Määritetty markkinoinnin soveltamisala

Kattaa kampanjat, evästeet, seurannan, analytiikan, mainosteknologian, suoramarkkinoinnin, valinta-asetukset, estolistauksen ja toimittajat.

Näyttöön perustuvat kontrollit

Käyttää REG02-, REG05-, REG06-, REG07-, REG08-, REG09- ja REG12-kohteita auditointivalmiutta tukevaan PIMS-näyttöön.

Julkaisua edeltävät vaatimukset

Edellyttää käyttötarkoitus-, tietosuojaseloste-, suostumus-, valinta-asetus-, toimittaja-, tagi- ja siirtotarkistuksia ennen julkaisua tai aktivointia.

Roolien vastuuvelvollisuus

Osoittaa tehtävät tietosuojan, liiketoiminnan, järjestelmien, toimittajien, tietoturvan, auditoinnin ja johdon rooleille.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja Laki- ja vaatimustenmukaisuus Vaatimustenmukaisuus IT-turvallisuus Hankinta

🏷️ Aiheen kattavuus

Henkilötietojen hallintajärjestelmä henkilötietojen käsittely suostumus ja oikeusperuste rekisteröidyn oikeuksien hallinta kolmansien osapuolten hallinta henkilötietojen kansainväliset siirrot seuranta ja mittaaminen
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
Marketing Privacy and Cookies Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 5