policy ISO 27701 PIMS Policy Pack

Sutikimų ir nuostatų valdymo politika

ISO 27701 sutikimų politika, skirta teisėtam sutikimo fiksavimui, nuostatų pakeitimams, atšaukimo tvarkymui, įrodymų įrašams ir auditui tinkamai PIMS valdysenai.

Apžvalga

Ši politika reglamentuoja teisėtą sutikimų ir nuostatų valdymą duomenų valdytojo, duomenų tvarkytojo, bendro duomenų valdytojo ir subtvarkytojo kontekstuose. Joje apibrėžiama, kaip prašoma sutikimo, kaip jis registruojamas REG05, susiejamas su REG02 ir REG07, atšaukiamas, atnaujinamas, apsaugomas, matuojamas, audituojamas ir taisomas.

Audituojami sutikimo įrodymai

REG05 apibrėžiamas kaip autoritetingas sutikimo būsenos, formuluotės, pranešimo versijos, laiko žymų, metodų ir istorijos įrašas.

Kontroliuojamas atšaukimų tvarkymas

Reikalaujama, kad atšaukimai ir nuostatų pakeitimai būtų registruojami ir įvykdomi per nustatytus operacinius arba kliento nurodymų terminus.

Suderinimas su teisiniu pagrindu

Užtikrinama, kad sutikimas būtų naudojamas tik tada, kai tai tinkama, ir susiejamas su REG02 tvarkymo tikslais bei REG07 privatumo pranešimo versijomis.

Skaityti visą apžvalgą (click to expand)
Sutikimų ir nuostatų valdymo politika apibrėžia privalomus reikalavimus, kaip nustatyti, kada reikalingas sutikimas, prašyti sutikimo, fiksuoti sutikimo įrodymus, valdyti nuostatas, tvarkyti atšaukimus, prižiūrėti sutikimo įrašus ir peržiūrėti sutikimo mechanizmus. Ji taikoma PII tvarkymui, kai sutikimas pasirenkamas arba reikalingas kaip teisinis pagrindas, kai reikalingas aiškus sutikimas, kai fiksuojamos sutikimo nuostatos arba kai organizacija tvarko sutikimo įrašus duomenų valdytojo vardu. Politika apima duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstus, kartu aiškiai nustatydama, kad duomenų tvarkytojo ir subtvarkytojo prievolės taikomos tik tada, kai sutikimo įrašai, nuostatų būsenos arba atšaukimo nurodymai tvarkomi pagal dokumentuotus duomenų valdytojo arba kliento nurodymus. Pagrindinis politikos principas yra tai, kad sutikimas nėra numatytasis PII tvarkymo teisinis pagrindas. Prieš naujai arba iš esmės pakeistai tvarkymo veiklai pradedant remtis sutikimu, procesų savininkas arba verslo savininkas turi REG02 įrašyti, ar sutikimas yra reikalingas arba pasirinktas, o privatumo vadovas arba PIMS vadovas turi REG02 ir REG05 patikrinti, ar sutikimas nebuvo pasirinktas pagal numatytuosius nustatymus. Kai tvarkymas apima specialių kategorijų PII, vaikams skirtas paslaugas, didelės rizikos tvarkymą arba organizacijos ir duomenų subjekto galios disbalansą, duomenų apsaugos pareigūnas (DAP) arba duomenų apsaugos konsultantas prieš paleidimą turi peržiūrėti sutikimo pagrindą REG04. Bendro duomenų valdytojo veiklos atveju atsakomybė už sutikimo gavimą, registravimą, atnaujinimą ir paisymą turi būti dokumentuota prieš pradedant tvarkymą. Politikoje nustatomi išsamūs operaciniai reikalavimai dėl sutikimo prašymo ir fiksavimo. Sutikimo prašymai turi būti susieti su konkrečiu tikslu ir su taikoma REG07 privatumo pranešimo versija prieš juos pateikiant duomenų subjektui. Sistemos turi reikalauti patvirtinamojo veiksmo, kai reikalingas aiškus sutikimas arba opt-in sutikimas, ir turi neleisti tęsti tvarkymo, grindžiamo sutikimu, jeigu REG05 nerodo aktyvios atitinkamo tikslo sutikimo būsenos. REG05 turi fiksuoti duomenų subjekto nuorodą, tikslą, PII kategoriją, sutikimo formuluotę arba versiją, privatumo pranešimo versiją, fiksavimo kanalą, laiko žymą, metodą, būseną ir taikomą galiojimo laikotarpį. Kai taikomas vaikams skirtas sutikimas arba aiškus sutikimas, aktyvuojami papildomi logikos, žymėjimo ir peržiūros reikalavimai. Nuostatų ir atšaukimų valdymas taip pat reglamentuojamas per REG05 ir, kai taikoma, per REG08. Atšaukimo arba nuostatų pakeitimo mechanizmas turi būti prieinamas ne vėliau kaip tuo metu, kai prašoma sutikimo. Atšaukimai ir nuostatų pakeitimai turi būti įrašomi per penkias darbo dienas nuo gavimo arba per trumpesnį terminą, nustatytą konkrečiai tvarkymo veiklai. Paveiktos sistemos, slopinimo būsenos arba nuostatų žymos turi būti atnaujintos prieš tęsiant tolesnį tvarkymą atšauktu arba apribotu tikslu. Duomenų tvarkytojai turi perduoti arba įgyvendinti kliento nurodymus per kliento nustatytą terminą, o subtvarkytojai turi būti patikrinti per REG08 pagal sutartinius arba nurodytus terminus. Politikoje taip pat aptariama pakeitimų kontrolė, įrašų apsauga, valdysena, įgyvendinimas, rodikliai, išimtys, taikymas ir priežiūra. Sutikimas turi būti pakartotinai įvertintas prieš tęsiant tvarkymą, kai iš esmės keičiasi tikslas, PII kategorijos, duomenų valdytojo tapatybė, pranešimo formuluotė, saugojimas, gavėjų kategorija arba tvarkymo metodas. Sutikimo formuluotės, mechanizmo konfigūracija, pranešimų nuorodos ir sutikimo įrašų schemos turi būti valdomos pagal versijas. REG05 įrašai turi būti apsaugoti nuo neteisėto pakeitimo, o audito pėdsako įrodymai turi būti palaikomi. Rodikliai apima ketvirtines sąsajų patikras tarp REG05, REG02 ir REG07; mėnesinį atšaukimų užbaigimo matavimą, kai vykdomas sutikimu grindžiamas tvarkymas; ir audito ataskaitų teikimą REG12. Išimtys turi būti patvirtintos prieš įgyvendinimą, o neatitiktys, susijusios su trūkstamais, negaliojančiais, nesusietais arba nepatikimais sutikimo įrodymais, turi būti įrašomos per penkias darbo dienas.

Politikos diagrama

Proceso eigos schema, rodanti sutikimo taikymo peržiūrą, teisinio pagrindo patvirtinimą, pranešimo sąsają, sutikimo fiksavimą REG05, nuostatų arba atšaukimų atnaujinimus, įrodymų apsaugą, rodiklius, audito peržiūrą, išimtis ir korekcinius veiksmus.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Sutikimo taikymas ir teisinis pagrindas

Sutikimo prašymas ir fiksavimas

Nuostatų ir atšaukimų valdymas

Sutikimo keitimas, atnaujinimas ir versijų valdymas

Įrašai, įrodymai ir apsauga

Rodikliai, išimtys ir taikymas

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Susijusios politikos

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

Sutikimo sprendimai priklauso nuo REG02 teisinio pagrindo įrašų ir sąsajos su tikslų lygmens tvarkymo veiklos apskaita.

Privatumo pranešimų ir skaidrumo politika

Sutikimo prašymai turi būti susieti su taikoma REG07 privatumo pranešimo versija prieš juos pateikiant.

Duomenų subjektų teisių valdymo politika

Atšaukimų ir nuostatų pakeitimų tvarkymas palaiko platesnį duomenų subjektų teisių valdymą.

Privatumo rizikos vertinimo ir DPIA politika

REG04 peržiūra reikalinga didelės rizikos paleidikliams, tokiems kaip specialių kategorijų PII, vaikams skirtos paslaugos arba galios disbalansas.

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Duomenų tvarkytojo, subtvarkytojo, tiekėjo ir kliento nurodymų prievolės valdomos per REG08 sąsajas.

PIMS dokumentuotos informacijos ir įrodymų valdymo politika

Sutikimų valdysena remiasi kontroliuojamais įrodymų objektais, ypač REG05 įrašais ir REG12 išimtimis arba išvadomis.

Apie Clarysec politikas - Sutikimų ir nuostatų valdymo politika

Ši politika nustato sutikimų ir nuostatų valdymo operacinę valdyseną PIMS. Joje apibrėžiama, kada sutikimas gali būti naudojamas, kaip turi būti pateikiami sutikimo prašymai, kokie įrodymai turi būti fiksuojami, kaip tvarkomi nuostatų pakeitimai ir atšaukimai ir kaip įrašai peržiūrimi, apsaugomi, taisomi ir saugomi. Politikos savininkas yra privatumo vadovas / PIMS vadovas, ją tvirtina aukščiausioji vadovybė ir ji taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstuose, kai naudojami sutikimo įrašai, nuostatų būsenos arba atšaukimo nurodymai.

Sutikimas nėra numatytasis

Reikalaujama REG02 ir REG05 patikrų, kad sutikimas būtų naudojamas tik tada, kai jis tinkamas tvarkymo veiklai.

Sąsaja su pranešimo versija

Sutikimo prašymai ir įrašai susiejami su taikoma REG07 privatumo pranešimo versija prieš pradedant tvarkymą.

Atšaukimų įvykdymas

Apibrėžiamos atšaukimų ir nuostatų pakeitimų registravimo bei sistemų atnaujinimo pareigos per reikalaujamus terminus.

Apsaugoti įrašai

Reikalaujama, kad REG05 sutikimo įrodymai būtų apsaugoti nuo neteisėto pakeitimo ir pagrįsti audito pėdsako įrodymais.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas teisė atitiktis IT saugumas DAP biuras

🏷️ Teminė aprėptis

Privačios informacijos apsaugos valdymas asmens duomenų tvarkymas sutikimas ir teisinis pagrindas tvarkymo veiklos įrašai duomenų valdytojo ir duomenų tvarkytojo atsakomybės trečiųjų šalių valdymas stebėsena ir matavimas
€69

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
Consent and Preference Management Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 5