policy ISO 27701 PIMS Policy Pack

Politika správy súhlasov a preferencií

Politika súhlasov podľa ISO 27701 pre zákonné získavanie súhlasu, zmeny preferencií, riešenie odvolaní súhlasu, dôkazové záznamy a správu PIMS pripravenú na audit.

Prehľad

Táto politika upravuje zákonnú správu súhlasov a preferencií v kontextoch prevádzkovateľa, sprostredkovateľa, spoločného prevádzkovateľa a ďalšieho sprostredkovateľa. Definuje, ako sa súhlas vyžaduje, zaznamenáva v REG05, prepája s REG02 a REG07, odvoláva, obnovuje, chráni, meria, audituje a opravuje.

Auditovateľné dôkazy o súhlase

Definuje REG05 ako autoritatívny záznam stavu súhlasu, znenia, verzie oznámenia, časových pečiatok, metód a histórie.

Riadené riešenie odvolania súhlasu

Vyžaduje, aby sa odvolania súhlasu a zmeny preferencií zaznamenali a vykonali v rámci určených prevádzkových lehôt alebo lehôt podľa pokynu zákazníka.

Zosúladenie s právnym základom

Zabezpečuje, aby sa súhlas používal iba tam, kde je vhodný, a aby bol prepojený s účelmi spracúvania v REG02 a verziami oznámenia o ochrane údajov v REG07.

Čítať celý prehľad (click to expand)
Politika správy súhlasov a preferencií definuje povinné požiadavky na určovanie, kedy sa vyžaduje súhlas, na vyžiadanie súhlasu, zachytenie dôkazov o súhlase, správu preferencií, spracovanie odvolaní súhlasu, vedenie záznamov o súhlase a preskúmavanie mechanizmov súhlasu. Uplatňuje sa na spracúvanie PII, pri ktorom je súhlas zvolený alebo vyžadovaný ako právny základ, kde sa vyžaduje výslovný súhlas, kde sa zachytávajú preferencie súhlasu alebo kde organizácia spravuje záznamy o súhlase v mene prevádzkovateľa. Politika pokrýva kontexty prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa, pričom objasňuje, že povinnosti sprostredkovateľa a ďalšieho sprostredkovateľa sa uplatňujú iba vtedy, keď sa záznamy o súhlase, stavy preferencií alebo pokyny na odvolanie spravujú podľa zdokumentovaných pokynov prevádzkovateľa alebo zákazníka. Ústrednou zásadou politiky je, že súhlas nie je predvoleným právnym základom spracúvania PII. Predtým, ako sa nová alebo podstatne zmenená činnosť spracúvania začne opierať o súhlas, vlastník procesu alebo vlastník organizácie musí v REG02 zaznamenať, či sa súhlas vyžaduje alebo bol zvolený, a vedúci ochrany súkromia alebo manažér PIMS musí v REG02 a REG05 overiť, že súhlas nebol zvolený predvolene. Ak spracúvanie zahŕňa osobitné kategórie PII, služby určené deťom, vysokorizikové spracúvanie alebo nerovnováhu medzi organizáciou a dotknutou osobou, zodpovedná osoba pre ochranu osobných údajov (DPO) alebo poradca pre ochranu údajov musí pred spustením preskúmať základ súhlasu v REG04. Pri činnostiach spoločného prevádzkovateľa musí byť pred začatím spracúvania zdokumentovaná zodpovednosť za získanie, zaznamenanie, obnovenie a rešpektovanie súhlasu. Politika stanovuje podrobné prevádzkové požiadavky na vyžiadanie a zachytenie súhlasu. Žiadosti o súhlas musia byť špecifické pre účel a pred predložením dotknutej osobe musia byť prepojené s príslušnou verziou oznámenia o ochrane údajov v REG07. Systémy musia vyžadovať potvrdzujúci úkon tam, kde sa vyžaduje výslovný súhlas alebo aktívny súhlas, a musia zabrániť pokračovaniu spracúvania opierajúceho sa o súhlas, pokiaľ REG05 nepreukazuje aktívny stav súhlasu pre príslušný účel. REG05 musí zachytávať referenciu dotknutej osoby, účel, kategóriu PII, znenie alebo verziu súhlasu, verziu oznámenia o ochrane údajov, kanál zachytenia, časovú pečiatku, metódu, stav a príslušné obdobie platnosti. Ak sa uplatňuje súhlas pri službách určených deťom alebo výslovný súhlas, spúšťajú sa dodatočné požiadavky na logiku, označenie a preskúmanie. Správa preferencií a odvolania súhlasu sa tiež riadia prostredníctvom REG05 a podľa potreby REG08. Mechanizmus odvolania súhlasu alebo zmeny preferencií musí byť dostupný najneskôr v čase, keď sa súhlas vyžaduje. Odvolania súhlasu a zmeny preferencií sa musia zaznamenať do piatich pracovných dní od prijatia alebo v kratšej lehote určenej pre činnosť spracúvania. Dotknuté systémy, stavy vylúčenia z kontaktovania alebo príznaky preferencií sa musia aktualizovať pred tým, ako bude pokračovať ďalšie spracúvanie na odvolaný alebo obmedzený účel. Sprostredkovatelia musia postúpiť alebo vykonať pokyny zákazníka v zákazníkom určenej lehote a ďalší sprostredkovatelia musia byť overení prostredníctvom REG08 voči zmluvným alebo nariadeným lehotám. Politika sa zaoberá aj riadením zmien, ochranou záznamov, správou, implementáciou, metrikami, výnimkami, uplatňovaním a údržbou. Súhlas sa musí opätovne posúdiť pred pokračovaním spracúvania, ak sa podstatne zmení účel, kategórie PII, identita prevádzkovateľa, znenie oznámenia, uchovávanie, kategória príjemcu alebo metóda spracúvania. Znenie súhlasu, konfigurácia mechanizmu, odkazy na oznámenia a schémy záznamov o súhlase musia byť verziované. Záznamy REG05 musia byť chránené pred neoprávnenou zmenou a musia sa uchovávať dôkazy auditnej stopy. Metriky zahŕňajú štvrťročné kontroly prepojenia medzi REG05, REG02 a REG07, mesačné meranie dokončenia odvolaní tam, kde je aktívne spracúvanie založené na súhlase, a auditné vykazovanie v REG12. Výnimky musia byť schválené pred implementáciou a nezhody zahŕňajúce chýbajúce, neplatné, neprepojené alebo nespoľahlivé dôkazy o súhlase sa musia zaznamenať do piatich pracovných dní.

Diagram politiky

Diagram toku procesu znázorňujúci preskúmanie uplatniteľnosti súhlasu, potvrdenie právneho základu, prepojenie na oznámenie, zachytenie súhlasu v REG05, aktualizácie preferencií alebo odvolania súhlasu, ochranu dôkazov, metriky, auditné preskúmanie, výnimky a nápravné opatrenia.

Kliknite na diagram pre zobrazenie v plnej veľkosti

Obsah

Uplatniteľnosť súhlasu a právny základ

Vyžiadanie a zachytenie súhlasu

Správa preferencií a odvolania súhlasu

Zmena, obnovenie a verziovanie súhlasu

Záznamy, dôkazy a ochrana

Metriky, výnimky a uplatňovanie

Súlad s rámcom

🛡️ Podporované štandardy a rámce

Tento produkt je v súlade s nasledujúcimi rámcami dodržiavania predpisov s podrobnými mapovaniami doložiek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.3Annex A.1.2.4Annex A.1.2.5Annex A.1.2.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.3.14
EU GDPR
Article 4(11)Article 5(1)(a)Article 5(2)Article 6(1)(a)Article 6(4)Article 7Article 8Article 9(2)(a)Article 24Article 28Article 30
ISO/IEC 29100:2020
Clause 5.2Clause 5.8Clause 5.12
ISO/IEC 29151:2022
Annex A.3
ISO/IEC TS 27560:2023
Clause 5.2Clause 6.2Clause 6.3Clause 6.4

Súvisiace zásady

Politika evidencie spracúvania a právnych základov

Rozhodnutia o súhlase závisia od záznamov právneho základu v REG02 a prepojenia evidencie spracúvania na úrovni účelu.

Politika oznámení o ochrane údajov a transparentnosti

Žiadosti o súhlas musia byť pred predložením prepojené s príslušnou verziou oznámenia o ochrane údajov v REG07.

Politika riadenia práv dotknutých osôb

Riešenie odvolania súhlasu a zmien preferencií podporuje širšiu správu práv dotknutých osôb.

Politika posúdenia rizík ochrany súkromia a DPIA

Preskúmanie REG04 sa vyžaduje pri vysokorizikových spúšťačoch, ako sú osobitné kategórie PII, služby určené deťom alebo nerovnováha.

Politika riadenia ochrany súkromia sprostredkovateľov, ďalších sprostredkovateľov a tretích strán

Povinnosti sprostredkovateľa, ďalšieho sprostredkovateľa, dodávateľa a pokyny zákazníka sa spravujú prostredníctvom väzieb REG08.

Politika zdokumentovaných informácií a správy dôkazov PIMS

Správa súhlasov sa opiera o riadené dôkazové objekty, najmä záznamy REG05 a výnimky alebo zistenia REG12.

O politikách Clarysec - Politika správy súhlasov a preferencií

Táto politika zavádza prevádzkovú správu pre správu súhlasov a preferencií v rámci PIMS. Definuje, kedy možno použiť súhlas, ako sa musia predkladať žiadosti o súhlas, aké dôkazy sa musia zachytiť, ako sa riešia zmeny preferencií a odvolania súhlasu a ako sa záznamy preskúmavajú, chránia, opravujú a uchovávajú. Vlastníkom politiky je vedúci ochrany súkromia / manažér PIMS, schvaľuje ju vrcholový manažment a uplatňuje sa naprieč kontextmi prevádzkovateľa, spoločného prevádzkovateľa, sprostredkovateľa a ďalšieho sprostredkovateľa tam, kde sú zapojené záznamy o súhlase, stavy preferencií alebo pokyny na odvolanie súhlasu.

Súhlas nie je predvolený

Vyžaduje kontroly REG02 a REG05, aby sa súhlas použil iba tam, kde je vhodný pre činnosť spracúvania.

Prepojenie na verziu oznámenia

Prepája žiadosti o súhlas a záznamy s príslušnou verziou oznámenia o ochrane údajov v REG07 pred začatím spracúvania.

Splnenie odvolania súhlasu

Definuje povinnosti zaznamenávania a aktualizácie systémov pri odvolaniach súhlasu a zmenách preferencií v požadovaných lehotách.

Chránené záznamy

Vyžaduje, aby boli dôkazy o súhlase v REG05 chránené pred neoprávnenou zmenou spolu s dôkazmi auditnej stopy.

Často kladené otázky

Vytvorené pre lídrov, lídrami

Táto politika bola vypracovaná bezpečnostným lídrom s viac ako 25-ročnými skúsenosťami s implementáciou a auditovaním rámcov ISMS pre globálne podniky. Nie je navrhnutá len ako dokument, ale ako obhájiteľný rámec, ktorý obstojí pri audítorskom preskúmaní.

Vypracované odborníkom s nasledovnými kvalifikáciami:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytie a témy

🏢 Cieľové oddelenia

Ochrana súkromia právne oddelenie súlad IT bezpečnosť kancelária DPO

🏷️ Tematické pokrytie

Riadenie informácií o ochrane súkromia spracúvanie osobných údajov súhlas a právny základ záznamy o spracúvaní zodpovednosti prevádzkovateľa a sprostredkovateľa riadenie tretích strán monitorovanie a meranie
€69

Jednorazový nákup

Okamžité stiahnutie
Doživotné aktualizácie

Táto politika je 1 z 25 v kompletnom balíku ISO/IEC 27701 PIMS

Ušetrite 52%

Získajte všetkých 25 politík PIMS, kompletnú sadu registrov a podrobný implementačný plán za €799 namiesto €1 675 pri samostatnom nákupe.

Zobraziť kompletný balík 27701 →
Consent and Preference Management Policy

Podrobnosti produktu

Typ: policy
Kategória: ISO 27701 PIMS Policy Pack
Normy: 5