policy ISO 27701 PIMS Policy Pack

Piekrišanas un preferenču pārvaldības politika

ISO 27701 piekrišanas politika likumīgai piekrišanas fiksēšanai, preferenču izmaiņām, atsaukšanas apstrādei, pierādījumu ierakstiem un auditam gatavai PIMS pārvaldībai.

Pārskats

Šī politika reglamentē likumīgu piekrišanas un preferenču pārvaldību pārziņa, apstrādātāja, kopīga pārziņa un apakšapstrādātāja kontekstā. Tā nosaka, kā piekrišana tiek pieprasīta, reģistrēta REG05, sasaistīta ar REG02 un REG07, atsaukta, atjaunota, aizsargāta, mērīta, auditēta un labota.

Auditējami piekrišanas pierādījumi

Definē REG05 kā autoritatīvu ierakstu par piekrišanas statusu, formulējumu, paziņojuma versiju, laikspiedogiem, metodēm un vēsturi.

Kontrolēta atsaukšanas apstrāde

Prasa atsaukšanu un preferenču izmaiņas reģistrēt un īstenot noteiktajos darbības vai klienta norādījumu termiņos.

Saskaņošana ar tiesisko pamatu

Nodrošina, ka piekrišana tiek izmantota tikai tad, ja tā ir piemērota, un tiek sasaistīta ar REG02 apstrādes nolūkiem un REG07 privātuma paziņojuma versijām.

Lasīt pilnu pārskatu (click to expand)
Piekrišanas un preferenču pārvaldības politika nosaka obligātās prasības, lai noteiktu, kad piekrišana ir nepieciešama, pieprasītu piekrišanu, fiksētu piekrišanas pierādījumus, pārvaldītu preferences, apstrādātu atsaukšanas, uzturētu piekrišanas ierakstus un pārskatītu piekrišanas mehānismus. Tā attiecas uz personas datu apstrādi, ja piekrišana tiek izvēlēta vai prasīta kā tiesiskais pamats, ja nepieciešama nepārprotama piekrišana, ja tiek fiksētas piekrišanas preferences vai ja organizācija pārvalda piekrišanas ierakstus pārziņa vārdā. Politika aptver pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstu, vienlaikus skaidri nosakot, ka apstrādātāja un apakšapstrādātāja pienākumi ir piemērojami tikai tad, ja piekrišanas ieraksti, preferenču stāvokļi vai atsaukšanas norādījumi tiek pārvaldīti saskaņā ar dokumentētiem pārziņa vai klienta norādījumiem. Politikas pamatprincips ir tas, ka piekrišana nav noklusējuma tiesiskais pamats personas datu apstrādei. Pirms jauna vai būtiski mainīta apstrādes darbība balstās uz piekrišanu, procesa īpašniekam vai uzņēmuma īpašniekam REG02 jāreģistrē, vai piekrišana ir nepieciešama vai izvēlēta, un privātuma vadītājam vai PIMS vadītājam REG02 un REG05 jāpārbauda, vai piekrišana nav izvēlēta pēc noklusējuma. Ja apstrāde ietver īpašu kategoriju personas datus, bērniem paredzētus pakalpojumus, augsta riska apstrādi vai nelīdzsvarotību starp organizāciju un datu subjektu, datu aizsardzības speciālistam vai privātuma konsultantam pirms ieviešanas jāpārskata piekrišanas pamats REG04. Kopīga pārziņa darbībām atbildība par piekrišanas iegūšanu, reģistrēšanu, atjaunošanu un ievērošanu jādokumentē pirms apstrādes sākšanas. Politika nosaka detalizētas darbības prasības piekrišanas pieprasīšanai un fiksēšanai. Piekrišanas pieprasījumiem jābūt ar konkrētu nolūku un pirms to uzrādīšanas datu subjektam jāsasaista ar piemērojamo REG07 privātuma paziņojuma versiju. Sistēmām jāpieprasa apstiprinoša darbība, ja nepieciešama nepārprotama piekrišana vai opt-in piekrišana, un jānovērš uz piekrišanu balstītas apstrādes turpināšana, ja REG05 neuzrāda aktīvu piekrišanas statusu attiecīgajam nolūkam. REG05 jāfiksē datu subjekta atsauce, nolūks, personu identificējošas informācijas (PII) kategorija, piekrišanas formulējums vai versija, privātuma paziņojuma versija, fiksēšanas kanāls, laikspiedogs, metode, statuss un piemērojamais derīguma termiņš. Ja ir piemērojama bērniem paredzēta piekrišana vai nepārprotama piekrišana, tiek ierosinātas papildu loģikas, marķēšanas un pārskatīšanas prasības. Preferenču un atsaukšanas pārvaldība arī tiek veikta, izmantojot REG05 un, ja piemērojams, REG08. Atsaukšanas vai preferenču izmaiņu mehānismam jābūt pieejamam ne vēlāk kā brīdī, kad tiek pieprasīta piekrišana. Atsaukšanas un preferenču izmaiņas jāreģistrē piecu darbdienu laikā pēc saņemšanas vai īsākā termiņā, kas noteikts attiecīgajai apstrādes darbībai. Ietekmētās sistēmas, apspiešanas stāvokļi vai preferenču karodziņi jāatjaunina pirms turpmākas apstrādes turpināšanas attiecībā uz atsaukto vai ierobežoto nolūku. Apstrādātājiem jānosūta tālāk vai jāīsteno klienta norādījumi klienta noteiktajā termiņā, un apakšapstrādātāji jāpārbauda REG08, salīdzinot ar līgumiskajiem vai norādītajiem termiņiem. Politika attiecas arī uz izmaiņu kontroli, ierakstu aizsardzību, pārvaldību, ieviešanu, metriku, izņēmumiem, politikas piemērošanu un uzturēšanu. Piekrišana atkārtoti jāizvērtē pirms apstrādes turpināšanas, ja būtiski mainās nolūks, personu identificējošas informācijas (PII) kategorijas, pārziņa identitāte, paziņojuma formulējums, glabāšana, saņēmēju kategorija vai apstrādes metode. Piekrišanas formulējumam, mehānisma konfigurācijai, paziņojuma atsaucēm un piekrišanas ierakstu shēmām jābūt versijotām. REG05 ieraksti jāaizsargā pret nesankcionētu izmainīšanu, un jāuztur audita pēdas pierādījumi. Metrika ietver ceturkšņa sasaites pārbaudes starp REG05, REG02 un REG07; ikmēneša atsaukšanas izpildes mērījumus, ja uz piekrišanu balstīta apstrāde ir aktīva; un audita ziņošanu REG12. Izņēmumi jāapstiprina pirms ieviešanas, un neatbilstības, kas ietver trūkstošus, nederīgus, nesaistītus vai neuzticamus piekrišanas pierādījumus, jāreģistrē piecu darbdienu laikā.

Politikas diagramma

Procesa plūsmas shēma, kas parāda piekrišanas piemērojamības pārskatīšanu, tiesiskā pamata apstiprināšanu, paziņojuma sasaisti, piekrišanas fiksēšanu REG05, preferenču vai atsaukšanas atjauninājumus, pierādījumu aizsardzību, metriku, audita pārskatīšanu, izņēmumus un korektīvo darbību.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Piekrišanas piemērojamība un tiesiskais pamats

Piekrišanas pieprasīšana un fiksēšana

Preferenču un atsaukšanas pārvaldība

Piekrišanas izmaiņas, atjaunošana un versiju pārvaldība

Ieraksti, pierādījumi un aizsardzība

Metrika, izņēmumi un politikas piemērošana

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Saistītās politikas

Apstrādes uzskaites un tiesiskā pamata politika

Piekrišanas lēmumi ir atkarīgi no REG02 tiesiskā pamata ierakstiem un apstrādes uzskaites sasaites nolūka līmenī.

Privātuma paziņojuma un pārredzamības politika

Piekrišanas pieprasījumi pirms uzrādīšanas jāsasaista ar piemērojamo REG07 privātuma paziņojuma versiju.

Datu subjektu tiesību pārvaldības politika

Atsaukšanas un preferenču izmaiņu apstrāde atbalsta plašāku datu subjektu tiesību pārvaldību.

Privātuma risku izvērtēšanas un DPIA politika

REG04 pārskatīšana ir nepieciešama augsta riska trigeriem, piemēram, īpašu kategoriju personas datiem, bērniem paredzētiem pakalpojumiem vai nelīdzsvarotībai.

Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika

Apstrādātāja, apakšapstrādātāja, piegādātāja un klienta norādījumu pienākumi tiek pārvaldīti, izmantojot REG08 sasaistes.

PIMS dokumentētas informācijas un pierādījumu pārvaldības politika

Piekrišanas pārvaldība balstās uz kontrolētiem pierādījumu objektiem, jo īpaši REG05 ierakstiem un REG12 izņēmumiem vai konstatējumiem.

Par Clarysec politikām - Piekrišanas un preferenču pārvaldības politika

Šī politika nosaka darbības pārvaldību piekrišanas un preferenču pārvaldībai PIMS ietvaros. Tā definē, kad piekrišanu drīkst izmantot, kā jāuzrāda piekrišanas pieprasījumi, kādi pierādījumi jāfiksē, kā tiek apstrādātas preferenču izmaiņas un atsaukšanas un kā ieraksti tiek pārskatīti, aizsargāti, laboti un glabāti. Politikas īpašnieks ir privātuma vadītājs / PIMS vadītājs, to apstiprina augstākā vadība, un tā ir piemērojama pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstā, ja ir iesaistīti piekrišanas ieraksti, preferenču stāvokļi vai atsaukšanas norādījumi.

Piekrišana nav noklusējums

Prasa REG02 un REG05 pārbaudes, lai piekrišana tiktu izmantota tikai tad, ja tā ir piemērota attiecīgajai apstrādes darbībai.

Sasaiste ar paziņojuma versiju

Sasaista piekrišanas pieprasījumus un ierakstus ar piemērojamo REG07 privātuma paziņojuma versiju pirms apstrādes sākšanas.

Atsaukšanas izpilde

Nosaka reģistrēšanas un sistēmu atjaunināšanas pienākumus atsaukšanām un preferenču izmaiņām noteiktajos termiņos.

Aizsargāti ieraksti

Prasa REG05 piekrišanas pierādījumus aizsargāt pret nesankcionētu izmainīšanu, izmantojot audita pēdas pierādījumus.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums Juridiskās lietas Atbilstība IT drošība Datu aizsardzības speciālista birojs

🏷️ Tematiskais pārklājums

Privātuma informācijas pārvaldība Personas datu apstrāde Piekrišana un tiesiskais pamats Apstrādes ieraksti Pārziņa un apstrādātāja pienākumi Trešo pušu pārvaldība Uzraudzība un mērīšana
€69

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
Consent and Preference Management Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 5