policy ISO 27701 PIMS Policy Pack

Hozzájárulás- és preferenciakezelési szabályzat

ISO 27701 szerinti hozzájárulási szabályzat a jogszerű hozzájárulás rögzítéséhez, a preferenciamódosításokhoz, a visszavonások kezeléséhez, a bizonyítékul szolgáló feljegyzésekhez és az auditra való felkészültséget biztosító PIMS-irányításhoz.

Áttekintés

Ez a szabályzat a jogszerű hozzájárulást és a preferenciakezelést szabályozza adatkezelői, adatfeldolgozói, közös adatkezelői és al-adatfeldolgozói kontextusokban. Meghatározza, hogyan kell a hozzájárulást kérni, a REG05-ben rögzíteni, a REG02-höz és a REG07-hez kapcsolni, visszavonni, frissíteni, védeni, mérni, auditálni és helyesbíteni.

Auditálható hozzájárulási bizonyítékok

A REG05-öt a hozzájárulási státusz, a szövegezés, az adatvédelmi tájékoztató verziója, az időbélyegek, a módszerek és az előzmények hiteles nyilvántartásaként határozza meg.

Szabályozott visszavonáskezelés

Előírja, hogy a visszavonást és a preferenciák módosítását rögzíteni kell, és azokat a meghatározott működési vagy ügyfélutasítás szerinti határidőkön belül végre kell hajtani.

Összhang a jogalappal

Biztosítja, hogy a hozzájárulás csak megfelelő esetben kerüljön alkalmazásra, és kapcsolódjon a REG02 szerinti adatkezelési célokhoz és a REG07 szerinti adatvédelmi tájékoztató verzióihoz.

Teljes áttekintés olvasása (click to expand)
A Hozzájárulás- és preferenciakezelési szabályzat kötelező követelményeket határoz meg annak meghatározására, hogy mikor szükséges hozzájárulás, hogyan kell hozzájárulást kérni, hozzájárulási bizonyítékokat rögzíteni, preferenciákat kezelni, visszavonásokat feldolgozni, hozzájárulási nyilvántartásokat fenntartani és a hozzájárulási mechanizmusokat felülvizsgálni. A szabályzat azokra a PII-adatkezelésekre alkalmazandó, ahol a hozzájárulás jogalapként kerül kiválasztásra vagy előírásra, ahol kifejezett hozzájárulás szükséges, ahol hozzájárulási preferenciákat rögzítenek, vagy ahol a szervezet egy adatkezelő nevében kezel hozzájárulási nyilvántartásokat. A szabályzat lefedi az adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusokat, ugyanakkor egyértelművé teszi, hogy az adatfeldolgozói és al-adatfeldolgozói kötelezettségek csak akkor alkalmazandók, ha a hozzájárulási nyilvántartásokat, preferenciaállapotokat vagy visszavonási utasításokat dokumentált adatkezelői vagy ügyfélutasítások alapján kezelik. A szabályzat központi elve, hogy a hozzájárulás nem alapértelmezett jogalap a PII-adatkezeléshez. Mielőtt egy új vagy lényegesen módosított adatkezelési tevékenység hozzájárulásra támaszkodik, a folyamatgazdának vagy üzlettulajdonosnak a REG02-ben rögzítenie kell, hogy a hozzájárulás szükséges-e vagy kiválasztásra került-e, az adatvédelemért felelős vezetőnek vagy a PIMS-vezetőnek pedig a REG02-ben és a REG05-ben ellenőriznie kell, hogy a hozzájárulás nem alapértelmezés szerint került kiválasztásra. Ha az adatkezelés különleges PII-kategóriákat, gyermekeknek szóló szolgáltatásokat, magas kockázatú adatkezelést vagy a szervezet és a PII-alany közötti egyensúlyhiányt érint, az adatvédelmi tisztviselőnek vagy az adatvédelmi tanácsadónak az indulás előtt felül kell vizsgálnia a hozzájárulási jogalapot a REG04-ben. Közös adatkezelői tevékenységek esetén a hozzájárulás megszerzéséért, rögzítéséért, frissítéséért és tiszteletben tartásáért fennálló felelősséget az adatkezelés megkezdése előtt dokumentálni kell. A szabályzat részletes működési követelményeket állapít meg a hozzájáruláskérésre és -rögzítésre. A hozzájáruláskéréseknek célhoz kötöttnek kell lenniük, és a PII-alanynak történő bemutatás előtt kapcsolódniuk kell az alkalmazandó REG07 adatvédelmi tájékoztató verziójához. A rendszereknek tevőleges cselekményt kell megkövetelniük, ha kifejezett hozzájárulás vagy opt-in hozzájárulás szükséges, és meg kell akadályozniuk a hozzájáruláson alapuló adatkezelés folytatását, kivéve, ha a REG05 aktív hozzájárulási státuszt mutat az érintett célra. A REG05-nek rögzítenie kell a PII-alany hivatkozását, a célt, a PII-kategóriát, a hozzájárulási szöveget vagy verziót, az adatvédelmi tájékoztató verzióját, a rögzítési csatornát, az időbélyeget, a módszert, a státuszt és az alkalmazandó érvényességi időt. Gyermekeknek szóló hozzájárulás vagy kifejezett hozzájárulás esetén további logikai, jelölési és felülvizsgálati követelmények lépnek életbe. A preferencia- és visszavonáskezelés szintén a REG05-ön, illetve adott esetben a REG08-on keresztül szabályozott. A visszavonási vagy preferenciamódosítási mechanizmusnak legkésőbb a hozzájáruláskérés időpontjában rendelkezésre kell állnia. A visszavonásokat és preferenciamódosításokat a beérkezéstől számított öt munkanapon belül, vagy az adatkezelési tevékenységre meghatározott rövidebb határidőn belül rögzíteni kell. Az érintett rendszereket, marketingtiltólista-kezelési állapotokat vagy preferenciajelölőket frissíteni kell, mielőtt a további adatkezelés folytatódna egy visszavont vagy korlátozott cél tekintetében. Az adatfeldolgozóknak az ügyfélutasításokat az ügyfél által meghatározott határidőn belül továbbítaniuk vagy végrehajtaniuk kell, az al-adatfeldolgozókat pedig a REG08-on keresztül ellenőrizni kell a szerződéses vagy utasítás szerinti határidők alapján. A szabályzat kiterjed a változáskezelésre, a nyilvántartások védelmére, az irányításra, a végrehajtásra, a mutatókra, a kivételekre, a betartatásra és a karbantartásra is. A hozzájárulást újra kell értékelni, mielőtt az adatkezelés folytatódna, ha a cél, a PII-kategóriák, az adatkezelő személyazonossága, a tájékoztató szövegezése, a megőrzés, a címzetti kategória vagy az adatkezelés módszere lényegesen megváltozik. A hozzájárulási szövegezést, a mechanizmus konfigurációját, a tájékoztató-hivatkozásokat és a hozzájárulási nyilvántartási sémákat verziózni kell. A REG05 bejegyzéseit védeni kell a jogosulatlan módosítással szemben, és auditnyom-bizonyítékot kell fenntartani. A mutatók közé tartoznak a REG05, REG02 és REG07 közötti negyedéves kapcsolódás-ellenőrzés; a havi visszavonásteljesítési mérés, ahol hozzájáruláson alapuló adatkezelés aktív; valamint a REG12 szerinti auditjelentés. A kivételeket a végrehajtás előtt jóvá kell hagyni, és a hiányzó, érvénytelen, nem kapcsolt vagy megbízhatatlan hozzájárulási bizonyítékokat érintő meg nem feleléseket öt munkanapon belül rögzíteni kell.

Irányelv-diagram

Folyamatábra, amely bemutatja a hozzájárulás alkalmazhatóságának felülvizsgálatát, a jogalap megerősítését, a tájékoztatóhoz kapcsolást, a hozzájárulás REG05-ben történő rögzítését, a preferencia- vagy visszavonási frissítéseket, a bizonyítékok védelmét, a mutatókat, az auditfelülvizsgálatot, a kivételeket és a helyesbítő intézkedést.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Hozzájárulás alkalmazhatósága és jogalap

Hozzájáruláskérés és -rögzítés

Preferencia- és visszavonáskezelés

Hozzájárulás módosítása, frissítése és verziózása

Nyilvántartások, bizonyítás és védelem

Mutatók, kivételek és betartatás

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Kapcsolódó irányelvek

Adatkezelési nyilvántartási és jogalap-szabályzat

A hozzájárulási döntések a REG02 jogalap-nyilvántartásaitól és a célszintű adatkezelési tevékenységek nyilvántartásának kapcsolódásától függenek.

Adatvédelmi tájékoztató és átláthatósági szabályzat

A hozzájáruláskéréseket a bemutatás előtt az alkalmazandó REG07 adatvédelmi tájékoztató verziójához kell kapcsolni.

PII-alanyi jogok kezelésére vonatkozó szabályzat

A visszavonások és preferenciamódosítások kezelése támogatja a PII-alanyi jogok szélesebb körű kezelését.

Adatvédelmi kockázatértékelési és DPIA-szabályzat

A REG04 szerinti felülvizsgálat szükséges a magas kockázatú kiváltó tényezőknél, például különleges PII-kategóriák, gyermekeknek szóló szolgáltatások vagy egyensúlyhiány esetén.

Adatfeldolgozói, al-adatfeldolgozói és harmadik felek adatvédelmi kezelésére vonatkozó szabályzat

Az adatfeldolgozói, al-adatfeldolgozói, beszállítói és ügyfélutasítási kötelezettségeket REG08-kapcsolódásokon keresztül kezelik.

PIMS dokumentált információ- és bizonyítékkezelési szabályzat

A hozzájárulásirányítás szabályozott bizonyítékobjektumokra támaszkodik, különösen a REG05-nyilvántartásokra és a REG12 szerinti kivételekre vagy megállapításokra.

A Clarysec irányelveiről - Hozzájárulás- és preferenciakezelési szabályzat

Ez a szabályzat működési irányítást hoz létre a PIMS-en belüli hozzájárulás- és preferenciakezeléshez. Meghatározza, mikor használható hozzájárulás, hogyan kell a hozzájáruláskéréseket bemutatni, milyen bizonyítékokat kell rögzíteni, hogyan kell kezelni a preferenciamódosításokat és visszavonásokat, valamint hogyan kell a nyilvántartásokat felülvizsgálni, védeni, helyesbíteni és megőrizni. A szabályzat gazdája az adatvédelemért felelős vezető / PIMS-vezető, jóváhagyója a felső vezetés, és alkalmazandó minden olyan adatkezelői, közös adatkezelői, adatfeldolgozói és al-adatfeldolgozói kontextusban, ahol hozzájárulási nyilvántartások, preferenciaállapotok vagy visszavonási utasítások érintettek.

Hozzájárulás nem alapértelmezés szerint

REG02- és REG05-ellenőrzéseket ír elő annak biztosítására, hogy a hozzájárulás csak az adatkezelési tevékenységhez megfelelő esetben kerüljön alkalmazásra.

Tájékoztatóverzióhoz kapcsolás

A hozzájáruláskéréseket és nyilvántartásokat az alkalmazandó REG07 adatvédelmi tájékoztató verziójához kapcsolja az adatkezelés megkezdése előtt.

Visszavonások teljesítése

Meghatározza a visszavonások és preferenciamódosítások rögzítésére és rendszerfrissítésére vonatkozó kötelezettségeket az előírt határidőkön belül.

Védett nyilvántartások

Előírja, hogy a REG05 hozzájárulási bizonyítékokat védeni kell a jogosulatlan módosítástól, auditnyom-bizonyítékokkal alátámasztva.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

Adatvédelem Jogi ügyek Megfelelés IT-biztonság DPO-iroda

🏷️ Témafedezet

Adatvédelmi információkezelés Személyes adatok kezelése Hozzájárulás és jogalap Adatkezelési tevékenységek nyilvántartása Adatkezelői és adatfeldolgozói felelősségek Harmadik fél kezelése Megfigyelés és mérés
€69

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések

Ez a szabályzat 1 a 25-ből a teljes ISO/IEC 27701 PIMS-csomagban

52% megtakarítás

Szerezze meg mind a 25 PIMS-szabályzatot, a teljes nyilvántartáskészletet és egy részletes bevezetési tervet €799-ért €1 675 helyett, ha egyenként vásárolja meg.

Teljes 27701-csomag megtekintése →
Consent and Preference Management Policy

Termék részletei

Típus: policy
Kategória: ISO 27701 PIMS Policy Pack
Szabványok: 5