Beleid inzake marketingprivacy en cookies

Het Beleid inzake marketingprivacy en cookies definieert verplichte privacyvereisten voor marketing, cookies, trackingtechnologieën, analytics, advertentietechnologie, doelgroepsegmentatie, direct marketing, voorkeurenbeheer, suppressie, tags van derden, campagnebeoordeling en gerelateerde verwerking van persoonsgegevens. Het vastgelegde doel is te waarborgen dat deze activiteiten worden beheerst via duidelijke doelregistraties, transparante privacyverklaringen, passende beheersmaatregelen voor toestemming of voorkeuren, afhandeling van suppressie en intrekking, toezicht op derden en bewijsmateriaal dat gereed is voor audits. Het beleid is van toepassing op contexten van verwerkingsverantwoordelijken, gezamenlijke verwerkingsverantwoordelijken, verwerkers en subverwerkers, waarbij verplichtingen van de verwerkingsverantwoordelijke gelden wanneer de organisatie de marketingdoeleinden en middelen bepaalt, en verplichtingen van de verwerker gelden wanneer marketing, analytics, tracking of campagnegerelateerde persoonsgegevens worden behandeld op basis van gedocumenteerde klantinstructies of instructies van een bovenliggende verwerker. Een centrale eis is dat marketing- en trackingdoeleinden moeten worden vastgelegd voordat de verwerking begint. Voor activiteiten van de verwerkingsverantwoordelijke moet de proceseigenaar of bedrijfseigenaar elke marketingcampagne, elk kanaal, elk verwerkingsdoel, elke categorie persoonsgegevens, elke doelgroepbron, elke koppeling met de rechtsgrondslag, elke categorie trackingtechnologie, elke afhankelijkheid van leverancier of tag, elke koppeling met een privacyverklaring, elke afhankelijkheid van toestemming of voorkeur, elke bewaarkoppeling en elke doorgiftevlag in REG02 vastleggen voordat de campagne of trackingactiviteit begint. De Privacy Lead / PIMS Manager moet de actuele koppeling met de privacyverklaring in REG07 en de koppeling met toestemming of voorkeur in REG05 bevestigen vóór de lancering van de campagne. Wanneer sprake is van gezamenlijke marketing, gedeelde doelgroepen, co-branded campagnes of gedeelde trackingactiviteit, moet de verdeling van verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken vóór lancering in REG08 worden vastgelegd. Het beleid bevat gedetailleerde operationele vereisten voor toestemming, voorkeuren, cookies en beheersmaatregelen voor tracking. Het vereist dat de organisatie vaststelt of toestemming, voorkeur, bezwaar, contractuele instructie of een andere goedgekeurde grondslag vereist is voor elk marketingkanaal en dat de beslissing vóór verzameling of campagnegebruik in REG02 en REG05 wordt vastgelegd. Niet-essentiële cookies, tags, pixels, SDK's en vergelijkbare trackingtechnologieën moeten inactief blijven totdat de vereiste toestemmings- of voorkeurenstatus beschikbaar is in REG05. Signalen voor toestemming of voorkeuren mogen niet worden overschreven, omzeild of genegeerd tijdens wijzigingen aan websites, toepassingen, campagnes of tagmanagers, en validatiebewijsmateriaal moet vóór release worden vastgelegd. Bewijs van toestemming, voorkeuren, intrekking, suppressie en versies moet binnen één werkdag na vastlegging, wijziging of intrekking in REG05 worden geregistreerd. Transparantie en governance van derden zijn eveneens kernthema's. De Privacy Lead / PIMS Manager moet de registratie van de marketingprivacyverklaring of cookieverklaring in REG07 aanmaken of bijwerken voordat een nieuw marketingkanaal, een nieuwe trackingtechnologie, analyticsconfiguratie of wezenlijke campagnewijziging wordt gelanceerd. De inhoud van de privacyverklaring moet vóór publicatie zijn afgestemd op de marketingdoeleinden, categorieën persoonsgegevens, categorieën ontvangers, leverancierscategorieën, categorieën trackingtechnologieën, voorkeurenkeuzes en doorgiftevlaggen in REG02. Marketingleveranciers, analyticsproviders, advertentieplatforms, tags, pixels, SDK's en partners voor gegevensdeling moeten vóór productiegebruik in REG08 worden vastgelegd, waarbij de classificatie als verwerker, gezamenlijke verwerkingsverantwoordelijke of onafhankelijke verwerkingsverantwoordelijke vóór onboarding of verlenging moet worden bevestigd. Internationale leveranciers, tags, analyticsproviders, advertentieplatforms, doorgiften van doelgroepen of doorgiften via gegevensdeling moeten waar van toepassing vóór livegang naar REG09 worden gerouteerd. Het beleid stelt ook eisen vast voor campagnebeoordeling, suppressie, routing van opt-outverzoeken, afdwinging en voortdurend toezicht. Doelgroepbron, segmentatiecriteria, categorieën persoonsgegevens, suppressie-uitsluitingen, voorkeurenbeperkingen en koppelingen met privacyverklaringen moeten vóór lancering van de campagne worden geverifieerd, en personen met de status intrekking, bezwaar, niet benaderen of suppressie moeten vóór activatie worden uitgesloten. Marketingbezwaren, opt-outverzoeken, verzoeken tot intrekking, mislukte uitschrijvingen en klachten over direct marketing moeten binnen twee werkdagen naar REG06 worden gerouteerd, en de suppressie- of voorkeurenstatus moet binnen één werkdag na validatie worden bijgewerkt. Governancebeheersmaatregelen omvatten kwartaalbeoordeling van de status van beheersmaatregelen voor marketingprivacy in REG12, jaarlijkse beoordeling van actieve marketingleveranciers in REG08, kwartaalmetrieken voor ontbrekende koppelingen met toestemming of privacyverklaringen, uitzonderingen voor trackers en toestemmingsstatussen, achterstallige afhandelingsitems, en auditbevindingen of corrigerende maatregelen die in REG12 worden vastgelegd.