Politika upravljanja privolitev in preferenc

Politika upravljanja privolitev in preferenc določa obvezne zahteve za ugotavljanje, kdaj je privolitev zahtevana, za zahtevanje privolitve, zajemanje dokazil o privolitvi, upravljanje preferenc, obdelavo umikov, vzdrževanje evidenc privolitev in pregled mehanizmov privolitev. Uporablja se za obdelavo osebno določljivih podatkov, kadar je privolitev izbrana ali zahtevana kot pravna podlaga, kadar je zahtevana izrecna privolitev, kadar se zajemajo preference privolitev ali kadar organizacija upravlja evidence privolitev v imenu upravljavca. Politika zajema kontekste upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, pri čemer jasno določa, da obveznosti obdelovalca in podobdelovalca veljajo samo, kadar se evidence privolitev, stanja preferenc ali navodila za umik upravljajo na podlagi dokumentiranih navodil upravljavca ali naročnika. Osrednje načelo politike je, da privolitev ni privzeta pravna podlaga za obdelavo osebno določljivih podatkov. Preden se nova ali bistveno spremenjena dejavnost obdelave opre na privolitev, mora lastnik procesa ali lastnik podjetja v REG02 evidentirati, ali je privolitev zahtevana ali izbrana, vodja zasebnosti ali vodja PIMS pa mora v REG02 in REG05 preveriti, ali privolitev ni bila izbrana kot privzeta. Kadar obdelava vključuje posebne kategorije osebno določljivih podatkov, storitve, namenjene otrokom, obdelavo z visokim tveganjem ali neravnotežje med organizacijo in posameznikom, na katerega se nanašajo osebno določljivi podatki, mora pooblaščena oseba za varstvo podatkov ali svetovalec za zasebnost pred začetkom pregledati podlago za privolitev v REG04. Pri dejavnostih skupnega upravljavca mora biti odgovornost za pridobivanje, evidentiranje, osveževanje in spoštovanje privolitve dokumentirana pred začetkom obdelave. Politika določa podrobne operativne zahteve za zahtevanje in zajem privolitve. Zahteve za privolitev morajo biti vezane na posamezen namen in povezane z ustrezno različico obvestila o zasebnosti v REG07, preden se predstavijo posamezniku, na katerega se nanašajo osebno določljivi podatki. Sistemi morajo zahtevati potrditveno dejanje, kadar je zahtevana izrecna privolitev ali privolitev z izbiro, in morajo preprečiti nadaljevanje obdelave, ki temelji na privolitvi, razen če REG05 izkazuje aktivno stanje privolitve za zadevni namen. REG05 mora zajemati referenco posameznika, na katerega se nanašajo osebno določljivi podatki, namen, kategorijo osebno določljivih podatkov, besedilo ali različico privolitve, različico obvestila o zasebnosti, kanal zajema, časovni žig, metodo, status in obdobje veljavnosti. Kadar se privolitev uporablja za storitve, namenjene otrokom, ali izrecna privolitev, se sprožijo dodatne zahteve glede logike, označevanja in pregleda. Upravljanje preferenc in umikov se prav tako izvaja prek REG05 in, kjer je ustrezno, REG08. Mehanizem za umik ali spremembo preferenc mora biti na voljo najpozneje v trenutku, ko se zahteva privolitev. Umiki in spremembe preferenc se morajo evidentirati v petih delovnih dneh od prejema ali v krajšem roku, opredeljenem za dejavnost obdelave. Prizadeti sistemi, stanja izločitve ali oznake preferenc se morajo posodobiti, preden se nadaljuje nadaljnja obdelava za umaknjeni ali omejeni namen. Obdelovalci morajo navodila naročnika posredovati ali izvesti v roku, ki ga določi naročnik, podobdelovalce pa je treba prek REG08 preveriti glede na pogodbene ali naročene roke. Politika obravnava tudi nadzor sprememb, varstvo evidenc, upravljanje, implementacijo, kazalnike, izjeme, uveljavljanje in vzdrževanje. Privolitev je treba ponovno oceniti, preden se obdelava nadaljuje, kadar se bistveno spremenijo namen, kategorije osebno določljivih podatkov, identiteta upravljavca, besedilo obvestila, hramba, kategorija prejemnikov ali metoda obdelave. Besedilo privolitve, konfiguracija mehanizma, sklici na obvestila in sheme evidenc privolitev morajo biti upravljani z različicami. Evidence REG05 morajo biti zaščitene pred nepooblaščeno spremembo, ohraniti pa je treba dokazila o revizijski sledi. Kazalniki vključujejo četrtletna preverjanja povezav med REG05, REG02 in REG07, mesečno merjenje dokončanja umikov, kadar je aktivna obdelava na podlagi privolitve, ter poročanje o presoji v REG12. Izjeme morajo biti odobrene pred implementacijo, neskladnosti, ki vključujejo manjkajoča, neveljavna, nepovezana ali nezanesljiva dokazila o privolitvi, pa morajo biti evidentirane v petih delovnih dneh.