Policy för samtyckes- och preferenshantering

Policyn för samtyckes- och preferenshantering definierar obligatoriska krav för att fastställa när samtycke krävs, begära samtycke, inhämta samtyckesunderlag, hantera preferenser, behandla återkallelser, upprätthålla samtyckesposter och granska samtyckesmekanismer. Den gäller behandling av personuppgifter där samtycke väljs eller krävs som rättslig grund, där uttryckligt samtycke krävs, där samtyckespreferenser inhämtas eller där organisationen hanterar samtyckesposter för en personuppgiftsansvarigs räkning. Policyn omfattar kontexter för personuppgiftsansvarig, gemensamt personuppgiftsansvar, personuppgiftsbiträde och underbiträde, samtidigt som den klargör att skyldigheter för personuppgiftsbiträde och underbiträde endast gäller där samtyckesposter, preferensstatus eller instruktioner om återkallelse hanteras enligt dokumenterade instruktioner från personuppgiftsansvarig eller kundinstruktioner. En central princip i policyn är att samtycke inte är den standardmässiga rättsliga grunden för behandling av personuppgifter. Innan en ny eller väsentligt ändrad behandlingsaktivitet förlitar sig på samtycke ska processägaren eller verksamhetsägaren registrera i REG02 om samtycke krävs eller har valts, och dataskyddsansvarig eller ansvarig för ledningssystemet för hantering av integritetsinformation ska verifiera i REG02 och REG05 att samtycke inte har valts som standard. När behandlingen avser särskilda kategorier av personuppgifter, tjänster riktade till barn, högriskbehandling eller en obalans mellan organisationen och den registrerade ska dataskyddsombudet eller integritetsrådgivaren granska samtyckesgrunden i REG04 före lansering. För aktiviteter med gemensamt personuppgiftsansvar ska ansvaret för att inhämta, registrera, förnya och respektera samtycke dokumenteras innan behandlingen inleds. Policyn anger detaljerade operativa krav för begäran och inhämtning av samtycke. Samtyckesbegäranden ska vara ändamålsspecifika och kopplas till tillämplig version av REG07-integritetsmeddelande innan de presenteras för en registrerad. System ska kräva en aktiv bekräftande handling där uttryckligt samtycke eller opt-in-samtycke krävs och ska förhindra att behandling som bygger på samtycke fortsätter om inte REG05 visar aktiv samtyckesstatus för det relevanta ändamålet. REG05 ska registrera referens till den registrerade, ändamål, personuppgiftskategori, samtyckesformulering eller version, version av integritetsmeddelande, inhämtningskanal, tidsstämpel, metod, status och tillämplig giltighetsperiod. När barnrelaterat samtycke eller uttryckligt samtycke gäller utlöses ytterligare krav på logik, märkning och granskning. Preferens- och återkallelsehantering styrs också genom REG05 och, där tillämpligt, REG08. En mekanism för återkallelse eller preferensändring ska finnas tillgänglig senast vid den tidpunkt då samtycke begärs. Återkallelser och preferensändringar ska registreras inom fem arbetsdagar från mottagandet eller inom en kortare tidsram som definierats för behandlingsaktiviteten. Berörda system, spärrstatusar eller preferensmarkeringar ska uppdateras innan fortsatt behandling sker för ett återkallat eller begränsat ändamål. Personuppgiftsbiträden ska vidarebefordra eller genomföra kundinstruktioner inom den kunddefinierade tidsramen, och underbiträden ska verifieras genom REG08 mot avtalsenliga eller instruerade tidsramar. Policyn behandlar även ändringsstyrning, skydd av poster, styrning, genomförande, mätetal, undantag, tillämpning och underhåll. Samtycke ska omprövas innan behandlingen fortsätter när ändamål, personuppgiftskategorier, den personuppgiftsansvariges identitet, formulering i integritetsmeddelande, bevarande, mottagarkategori eller behandlingsmetod ändras väsentligt. Samtyckesformuleringar, konfiguration av mekanismer, hänvisningar till integritetsmeddelanden och scheman för samtyckesposter ska versionshanteras. REG05-poster ska skyddas mot obehörig ändring och underlag i revisionsspår ska bevaras. Mätetal omfattar kvartalsvisa kopplingskontroller mellan REG05, REG02 och REG07, månatlig mätning av slutförda återkallelser där samtyckesbaserad behandling är aktiv samt revisionsrapportering i REG12. Undantag ska godkännas före genomförande, och avvikelser som omfattar saknat, ogiltigt, okopplat eller otillförlitligt samtyckesunderlag ska registreras inom fem arbetsdagar.