Kuinka osoittaa GDPR-artiklan 7 noudattaminen

Ymmärrä GDPR:n artikla 7: Suostumusvaatimukset noudattamista varten

GDPR Artikla 7 käsittelee "suostumuksen ehtoja", jotka on täytettävä, jotta voidaan varmistaa, että organisaatio on saanut tarvittavan luvan ennen henkilön tietojen käsittelyä.

GDPR artiklan 7 lakiteksti

EU:n GDPR-versio

Suostumuksen ehdot

1. Jos käsittely perustuu suostumukseen, rekisterinpitäjän on kyettävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn.
2. Jos rekisteröidyn suostumus annetaan kirjallisen lausunnon yhteydessä, joka koskee myös muita asioita, suostumuspyyntö on esitettävä muista asioista selvästi erottuvalla tavalla, ymmärrettävässä ja helposti saatavilla olevassa muodossa, selkeästi ja selkeää kieltä. Sellaisen ilmoituksen osa, joka rikkoo tätä asetusta, ei ole sitova.
3. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen peruuttamista. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava siitä. Peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.
4. Arvioitaessa, onko suostumus annettu vapaaehtoisesti, on otettava mahdollisimman tarkasti huomioon, onko sopimuksen toteuttaminen, mukaan lukien palvelun tarjoaminen, edellyttänyt suostumusta sellaiseen henkilötietojen käsittelyyn, joka ei ole tarpeen sopimuksen suorittamisen kannalta. tuo sopimus.

Yhdistyneen kuningaskunnan GDPR-versio

Suostumuksen ehdot

1. Jos käsittely perustuu suostumukseen, rekisterinpitäjän on kyettävä osoittamaan, että rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn.
2. Jos rekisteröidyn suostumus annetaan kirjallisen lausunnon yhteydessä, joka koskee myös muita asioita, suostumuspyyntö on esitettävä muista asioista selvästi erottuvalla tavalla, ymmärrettävässä ja helposti saatavilla olevassa muodossa, selkeästi ja selkeää kieltä. Sellaisen ilmoituksen osa, joka rikkoo tätä asetusta, ei ole sitova.
3. Rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen peruuttamista. Ennen suostumuksen antamista rekisteröidylle on ilmoitettava siitä. Peruuttamisen on oltava yhtä helppoa kuin suostumuksen antamisen.
4. Arvioitaessa, onko suostumus annettu vapaaehtoisesti, on otettava mahdollisimman tarkasti huomioon, onko sopimuksen toteuttaminen, mukaan lukien palvelun tarjoaminen, edellyttänyt suostumusta sellaiseen henkilötietojen käsittelyyn, joka ei ole tarpeen sopimuksen suorittamisen kannalta. tuo sopimus.

Tekninen kommentti

Suostumus käsitellään koko GDPR:n 7 artiklassa kolmella avainalueella:

1. Organisaation lakisääteinen velvollisuus toimittaa todiste suostumuksestaan ​​kirjallisena ilmoituksena, joka on erillään kaikesta muusta viestinnästä.
2. Rekisteröidyn oikeus peruuttaa suostumus milloin tahansa ja organisaation velvollisuus ilmoittaa tästä.
3. Erilaiset tekijät, jotka arvioivat, onko rekisteröity antanut suostumuksensa vapaaehtoisesti vai ei.

ISO 27701:n lauseke 7.2.4 (suostumuksen saaminen ja kirjaaminen) ja EU:n GDPR:n artikla 7 (1) ja 7 (2)

Organisaatioiden on kerättävä suostumus tavalla, jonka avulla henkilökohtaisten tunnistetietojen kohteiden on helppo pyytää tietoja siitä, miten se on saatu (aikaleimat, kuka pyysi jne.) (katso ISO 27701, kohta 7.3.3).

Suostumus perustuu kolmeen taustalla olevaan oikeudelliseen ehtoon: se on annettava vapaasti, käsittelyn syystä ja sen on oltava selkeä tarkoituksessa.

ISO 27701:n lauseke 7.2.4 (Suostumuksen muuttamis- tai peruutusmekanismi) ja EU:n GDPR:n artikla 7 (3)

Organisaatioiden on tarjottava mekanismi, jossa määritellään jokaisen PII-päämiehen oikeudet, joka haluaa peruuttaa suostumuksensa, sekä ohjeet sen tekemiseen, jotka ovat yhdenmukaisia ​​henkilötietojen keräämiseen käytettyjen menetelmien kanssa (esim. sähköposti, puhelin).

Henkilökohtaisten tunnistetietojen päämiesten pitäisi myös pystyä "muokkaamaan" suostumusta eli rajoittamaan rekisterinpitäjää suorittamasta tiettyjä toimia, kuten henkilökohtaisten tunnistetietojen poistamista. Tällaiset pyynnöt olisi dokumentoitava suostumuksen poistamista koskevien menettelyjen mukaisesti.

Organisaatioiden tulee sitoutua julkaistuun vastausaikaan kaikkien suostumuspyyntöjen muuttamiseen tai peruuttamiseen.

ISO 27701:n lauseke 7.2.4 (markkinointi ja mainonnan käyttö) ja EU:n GDPR:n artikla 7 (4)

Organisaatioiden on hankittava lupa PII-periaatteesta ennen kuin ne käyttävät tietoja markkinointi- tai mainontatarkoituksiin, ja varmistettava, että tällaisen käytön hyväksyminen ei ole edellytys henkilötietojen käsittelylle.

Markkinointi- ja mainontamääräykset tulee dokumentoida selvästi kaikissa sopimuksissa tai palvelusopimuksissa edellä mainitun tarkoituksen mukaisesti.

Organisaatioiden tulisi hakea "nimenomainen suostumus", joka perustuu avoimeen ja ajantasaiseen kuvaukseen siitä, miten henkilökohtaisia ​​tunnistetietoja tulee käyttää.

Hakemisto linkitetyistä EU:n GDPR-artikkeleista ja ISO 27701 -lausekkeista

Miten ISMS.online Ohje

ISMS.online-alusta sisältää sisäänrakennetut ohjeet jokaisessa vaiheessa yhdistettynä 'Ota käyttöön, mukauta, lisää' -toteutustapaamme, joten GDPR-vaatimustenmukaisuuden osoittaminen on huomattavasti helpompaa. Hyödynnät myös useita tehokkaita aikaa säästäviä ominaisuuksia.

Intuitiivisen alustamme avulla voit kartoittaa työsi useiden standardien ja kehysten pohjalta, jotta voit saavuttaa useita tietoturva- ja yksityisyystavoitteita mahdollisimman lyhyessä ajassa.

Jos jossain vaiheessa matkaasi kohti GDPR:ää tunnet mistä tahansa syystä itseluottamuksen, kyvyn tai halun puuttua, voimme tarjota talon sisäisten asiantuntijoiden tiimimme sinulle tai suositella jotakin luotetuista kumppaneistamme auttamaan. sinua saavuttamaan tavoitteesi.

Lisätietoja: varata lyhyt demo.