policy ISO 27701 PIMS Policy Pack

Politica de gestionare a consimțământului și preferințelor

Politică ISO 27701 privind consimțământul pentru captarea legală a consimțământului, modificări ale preferințelor, gestionarea retragerii, înregistrări ale dovezilor și guvernanță PIMS pregătită pentru audit.

Prezentare generală

Această politică guvernează consimțământul legal și gestionarea preferințelor în contexte de operator, persoană împuternicită, operator asociat și persoană subîmputernicită. Definește modul în care consimțământul este solicitat, înregistrat în REG05, corelat cu REG02 și REG07, retras, reîmprospătat, protejat, măsurat, auditat și corectat.

Dovezi verificabile privind consimțământul

Definește REG05 drept înregistrarea autorizată pentru starea consimțământului, formulare, versiunea notei de informare, marcaje temporale, metode și istoric.

Gestionarea controlată a retragerii

Impune ca retragerea și modificările preferințelor să fie înregistrate și aplicate în termene operaționale definite sau în termenele prevăzute de instrucțiunea clientului.

Aliniere la temeiul juridic

Asigură utilizarea consimțământului numai atunci când este adecvat și corelat cu scopurile de prelucrare din REG02 și cu versiunile notelor de informare privind confidențialitatea din REG07.

Citește prezentarea completă (click to expand)
Politica de gestionare a consimțământului și preferințelor definește cerințe obligatorii pentru stabilirea situațiilor în care consimțământul este necesar, solicitarea consimțământului, captarea dovezilor privind consimțământul, gestionarea preferințelor, prelucrarea retragerilor, menținerea înregistrărilor privind consimțământul și revizuirea mecanismelor de consimțământ. Se aplică prelucrării PII atunci când consimțământul este selectat sau cerut ca temei juridic, atunci când este necesar consimțământ explicit, atunci când sunt captate preferințe privind consimțământul sau atunci când organizația gestionează înregistrări privind consimțământul în numele unui operator de date. Politica acoperă contexte de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită, precizând totodată că obligațiile persoanei împuternicite și ale persoanei subîmputernicite se aplică numai atunci când înregistrările privind consimțământul, stările preferințelor sau instrucțiunile de retragere sunt gestionate potrivit instrucțiunilor documentate ale operatorului sau ale clientului. Un principiu central al politicii este că consimțământul nu reprezintă temeiul juridic implicit pentru prelucrarea PII. Înainte ca o activitate de prelucrare nouă sau modificată semnificativ să se bazeze pe consimțământ, proprietarul de proces sau proprietarul afacerii trebuie să înregistreze în REG02 dacă consimțământul este necesar sau selectat, iar responsabilul cu confidențialitatea sau managerul PIMS trebuie să verifice în REG02 și REG05 că consimțământul nu a fost selectat în mod implicit. Atunci când prelucrarea implică PII din categorii speciale, servicii destinate copiilor, prelucrare cu risc ridicat sau un dezechilibru între organizație și persoana vizată, Responsabilul cu protecția datelor sau consilierul pentru confidențialitate trebuie să revizuiască temeiul consimțământului în REG04 înainte de lansare. Pentru activitățile desfășurate de operatori asociați, responsabilitatea pentru obținerea, înregistrarea, reîmprospătarea și respectarea consimțământului trebuie documentată înainte de începerea prelucrării. Politica stabilește cerințe operaționale detaliate pentru solicitarea și captarea consimțământului. Solicitările de consimțământ trebuie să fie specifice scopului și corelate cu versiunea aplicabilă a notei de informare privind confidențialitatea din REG07 înainte de prezentarea către o persoană vizată. Sistemele trebuie să impună o acțiune afirmativă atunci când este necesar consimțământ explicit sau consimțământ de tip opt-in și trebuie să împiedice continuarea prelucrării bazate pe consimțământ dacă REG05 nu indică o stare activă a consimțământului pentru scopul relevant. REG05 trebuie să capteze referința persoanei vizate, scopul, categoria PII, formularea sau versiunea consimțământului, versiunea notei de informare privind confidențialitatea, canalul de captare, marcajul temporal, metoda, starea și perioada de valabilitate aplicabilă. Atunci când se aplică consimțământul pentru servicii destinate copiilor sau consimțământ explicit, sunt declanșate cerințe suplimentare de logică, marcare și revizuire. Gestionarea preferințelor și a retragerii este guvernată, de asemenea, prin REG05 și, după caz, prin REG08. Un mecanism de retragere sau de modificare a preferințelor trebuie să fie disponibil cel târziu la momentul la care este solicitat consimțământul. Retragerile și modificările preferințelor trebuie înregistrate în termen de cinci zile lucrătoare de la primire sau într-un termen mai scurt definit pentru activitatea de prelucrare. Sistemele afectate, stările de suprimare sau indicatorii de preferință trebuie actualizați înainte ca prelucrarea ulterioară să continue pentru un scop retras sau restricționat. Persoanele împuternicite trebuie să transmită sau să implementeze instrucțiunea clientului în termenul definit de client, iar persoanele subîmputernicite trebuie verificate prin REG08 față de termenele contractuale sau instruite. Politica tratează, de asemenea, controlul schimbărilor, protecția înregistrărilor, guvernanța, implementarea, metricile, excepțiile, aplicarea și mentenanța. Consimțământul trebuie reevaluat înainte ca prelucrarea să continue atunci când scopul, categoriile PII, identitatea operatorului, formularea notei de informare, retenția, categoria destinatarilor sau metoda de prelucrare se modifică semnificativ. Formularea consimțământului, configurarea mecanismului, referințele la notele de informare și schemele înregistrărilor privind consimțământul trebuie să fie supuse versionării. Înregistrările REG05 trebuie protejate împotriva alterării neautorizate, iar dovezile de pistă de audit trebuie menținute. Metricile includ verificări trimestriale ale corelării dintre REG05, REG02 și REG07; măsurarea lunară a finalizării retragerilor acolo unde prelucrarea bazată pe consimțământ este activă; și raportarea auditului în REG12. Excepțiile trebuie aprobate înainte de implementare, iar neconformitățile care implică dovezi privind consimțământul lipsă, nevalide, necorelate sau nesigure trebuie înregistrate în termen de cinci zile lucrătoare.

Diagramă politică

Diagramă de flux de proces care prezintă revizuirea aplicabilității consimțământului, confirmarea temeiului juridic, corelarea cu nota de informare, captarea consimțământului în REG05, actualizările preferințelor sau ale retragerii, protecția dovezilor, metricile, revizuirea de audit, excepțiile și acțiunea corectivă.

Faceți clic pe diagramă pentru a vizualiza dimensiunea completă

Conținut

Aplicabilitatea consimțământului și temeiul juridic

Solicitarea și captarea consimțământului

Gestionarea preferințelor și a retragerii

Modificarea, reîmprospătarea și versionarea consimțământului

Înregistrări, dovezi și protecție

Metrici, excepții și aplicare

Conformitate cu cadrul

🛡️ Standarde și cadre suportate

Acest produs este aliniat cu următoarele cadre de conformitate, cu mapări detaliate ale clauzelor și controalelor.

Cadru Clauze / Controale acoperite
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Politici conexe

Politica privind inventarul prelucrărilor și temeiul juridic

Deciziile privind consimțământul depind de înregistrările REG02 privind temeiul juridic și de corelarea inventarului prelucrărilor la nivel de scop.

Politica privind notele de informare privind confidențialitatea și transparența

Solicitările de consimțământ trebuie corelate cu versiunea aplicabilă a notei de informare privind confidențialitatea din REG07 înainte de prezentare.

Politica de gestionare a drepturilor persoanei vizate

Gestionarea retragerii și a modificării preferințelor susține managementul mai larg al drepturilor persoanei vizate.

Politica privind evaluarea riscurilor privind confidențialitatea și DPIA

Revizuirea REG04 este necesară pentru declanșatori de risc ridicat, precum PII din categorii speciale, servicii destinate copiilor sau dezechilibru.

Politica de management al confidențialității pentru persoane împuternicite, persoane subîmputernicite și terți

Obligațiile persoanei împuternicite, ale persoanei subîmputernicite, ale furnizorului și privind instrucțiunea clientului sunt gestionate prin corelările REG08.

Politica de management al informațiilor documentate și al dovezilor PIMS

Guvernanța consimțământului se bazează pe obiecte de dovezi controlate, în special înregistrări REG05 și excepții sau constatări REG12.

Despre politicile Clarysec - Politica de gestionare a consimțământului și preferințelor

Această politică stabilește guvernanța operațională pentru gestionarea consimțământului și gestionarea preferințelor în cadrul PIMS. Definește când poate fi utilizat consimțământul, cum trebuie prezentate solicitările de consimțământ, ce dovezi trebuie captate, cum sunt gestionate modificările preferințelor și retragerile și cum sunt revizuite, protejate, corectate și păstrate înregistrările. Politica este deținută de responsabilul cu confidențialitatea / managerul PIMS, aprobată de conducerea de vârf și se aplică în contexte de operator de date, operator asociat, persoană împuternicită și persoană subîmputernicită în care sunt implicate înregistrări privind consimțământul, stări ale preferințelor sau instrucțiuni de retragere.

Consimțământul nu este implicit

Impune verificări REG02 și REG05, astfel încât consimțământul să fie utilizat numai atunci când este adecvat pentru activitatea de prelucrare.

Corelarea cu versiunea notei de informare

Corelează solicitările și înregistrările privind consimțământul cu versiunea aplicabilă a notei de informare privind confidențialitatea din REG07 înainte de începerea prelucrării.

Îndeplinirea retragerii

Definește obligațiile de înregistrare și de actualizare a sistemelor pentru retrageri și modificări ale preferințelor în termenele cerute.

Înregistrări protejate

Impune protejarea dovezilor REG05 privind consimțământul împotriva alterării neautorizate, cu dovezi de pistă de audit.

Întrebări frecvente

Conceput pentru lideri, de către lideri

Această politică a fost elaborată de un lider în securitate cu peste 25 de ani de experiență în implementarea și auditarea cadrelor ISMS pentru organizații globale. Este concepută nu doar ca un document, ci ca un cadru defensibil, care rezistă analizei unui auditor.

Elaborat de un expert care deține:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Acoperire și subiecte

🏢 Departamente țintă

Confidențialitate Juridic Conformitate Securitate IT Biroul DPO

🏷️ Acoperire tematică

Managementul informațiilor privind confidențialitatea Prelucrarea datelor cu caracter personal Consimțământ și temei juridic Evidențe ale activităților de prelucrare Responsabilitățile operatorului și ale persoanei împuternicite Managementul terților Monitorizare și măsurare
€69

Achiziție unică

Descărcare instantanee
Actualizări pe viață

Această politică este 1 din 25 în Pachetul PIMS ISO/IEC 27701 complet

Economisiți 52%

Obțineți toate cele 25 de politici PIMS, setul complet de registre și un plan detaliat de implementare pentru €799, în loc de €1.675 individual.

Vezi Pachetul 27701 complet →
Consent and Preference Management Policy

Detalii produs

Tip: policy
Categorie: ISO 27701 PIMS Policy Pack
Standarde: 5