Polityka zarządzania zgodą i preferencjami

Polityka zarządzania zgodą i preferencjami określa obowiązkowe wymagania dotyczące ustalania, kiedy zgoda jest wymagana, żądania zgody, pozyskiwania dowodów zgody, zarządzania preferencjami, przetwarzania wycofań zgody, utrzymywania zapisów zgody oraz przeglądu mechanizmów uzyskiwania zgody. Ma zastosowanie do przetwarzania PII, gdy zgoda jest wybrana lub wymagana jako podstawa prawna, gdy wymagana jest wyraźna zgoda, gdy pozyskiwane są preferencje dotyczące zgody albo gdy organizacja zarządza zapisami zgody w imieniu administratora. Polityka obejmuje konteksty administratora, współadministratora, podmiotu przetwarzającego i podwykonawcy przetwarzania, przy czym jasno wskazuje, że obowiązki podmiotu przetwarzającego i podwykonawcy przetwarzania mają zastosowanie wyłącznie wtedy, gdy zapisy zgody, stany preferencji lub polecenia dotyczące wycofania zgody są zarządzane na podstawie udokumentowanych poleceń administratora lub poleceń klienta. Centralną zasadą polityki jest to, że zgoda nie jest domyślną podstawą prawną przetwarzania PII. Zanim nowa lub istotnie zmieniona czynność przetwarzania będzie opierać się na zgodzie, właściciel procesu lub właściciel biznesowy musi odnotować w REG02, czy zgoda jest wymagana lub wybrana, a osoba odpowiedzialna za prywatność lub Menedżer PIMS musi zweryfikować w REG02 i REG05, że zgoda nie została wybrana domyślnie. Gdy przetwarzanie obejmuje szczególne kategorie PII, usługi skierowane do dzieci, przetwarzanie wysokiego ryzyka albo brak równowagi między organizacją a osobą, której dane dotyczą, Inspektor ochrony danych lub doradca ds. prywatności musi dokonać przeglądu podstawy zgody w REG04 przed uruchomieniem. W przypadku czynności współadministratorów odpowiedzialność za uzyskanie, zapisanie, odświeżenie i honorowanie zgody musi zostać udokumentowana przed rozpoczęciem przetwarzania. Polityka ustanawia szczegółowe wymagania operacyjne dotyczące żądania i pozyskiwania zgody. Żądania zgody muszą być specyficzne dla celu i powiązane z właściwą wersją klauzuli informacyjnej REG07 przed ich przedstawieniem osobie, której dane dotyczą. Systemy muszą wymagać działania potwierdzającego, gdy wymagana jest wyraźna zgoda lub zgoda opt-in, oraz muszą zapobiegać prowadzeniu przetwarzania opartego na zgodzie, jeżeli REG05 nie wykazuje aktywnego statusu zgody dla odpowiedniego celu. REG05 musi obejmować odniesienie do osoby, której dane dotyczą, cel, kategorię PII, treść lub wersję zgody, wersję klauzuli informacyjnej, kanał pozyskania, znacznik czasu, metodę, status i właściwy okres ważności. Gdy zastosowanie ma zgoda w usługach skierowanych do dzieci lub wyraźna zgoda, uruchamiane są dodatkowe wymagania dotyczące logiki, oznaczania i przeglądu. Zarządzanie preferencjami i wycofaniem zgody jest również prowadzone przez REG05 oraz, w stosownych przypadkach, REG08. Mechanizm wycofania zgody lub zmiany preferencji musi być dostępny nie później niż w momencie żądania zgody. Wycofania zgody i zmiany preferencji muszą zostać zapisane w ciągu pięciu dni roboczych od otrzymania albo w krótszym terminie określonym dla danej czynności przetwarzania. Systemy, stany tłumienia lub flagi preferencji, których to dotyczy, muszą zostać zaktualizowane przed dalszą kontynuacją przetwarzania dla wycofanego lub ograniczonego celu. Podmioty przetwarzające muszą przekazywać lub wykonywać polecenia klienta w terminie określonym przez klienta, a podwykonawcy przetwarzania muszą być weryfikowani przez REG08 względem terminów umownych lub wynikających z poleceń. Polityka odnosi się także do kontroli zmian, ochrony zapisów, ładu zarządczego, wdrożenia, metryk, wyjątków, egzekwowania postanowień i utrzymania. Zgoda musi zostać ponownie oceniona przed kontynuacją przetwarzania, gdy cel, kategorie PII, tożsamość administratora, treść klauzuli informacyjnej, retencja, kategoria odbiorców lub metoda przetwarzania ulegają istotnej zmianie. Treść zgody, konfiguracja mechanizmu, odniesienia do klauzuli informacyjnej oraz schematy zapisów zgody muszą być wersjonowane. Zapisy REG05 muszą być chronione przed nieuprawnioną modyfikacją, a dowody ścieżki audytowej muszą być utrzymywane. Metryki obejmują kwartalne kontrole powiązań między REG05, REG02 i REG07, miesięczny pomiar realizacji wycofań zgody tam, gdzie aktywne jest przetwarzanie oparte na zgodzie, oraz raportowanie audytowe w REG12. Wyjątki muszą zostać zatwierdzone przed wdrożeniem, a niezgodności obejmujące brakujące, nieważne, niepowiązane lub niewiarygodne dowody zgody muszą zostać zapisane w ciągu pięciu dni roboczych.