Mitä kohta A.1.2.4 edellyttää?
Organisaation on määriteltävä ja dokumentoitava prosessi, jolla se voi osoittaa, onko henkilötietojen käsittelyyn saatu suostumus henkilötietojen käsittelijöiltä, milloin ja miten.
Tämä ohjaus sijaitsee Keräyksen ja käsittelyn edellytykset tavoite (A.1.2). Se kaventaa kuilua laillisen perusteen tunnistamisen jaA.1.2.3 Oikeudellisen perustan tunnistaminen) ja tosiasiallisesti suostumuksen hankkiminen (A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen). Jos suostumus on valittu laillinen peruste, kohdan A.1.2.4 mukaan sinun on suunniteltava ja dokumentoitava mekanismi ennen kuin alat pyytää suostumusta.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.1.2.4) annetaan seuraavat ohjeet siitä, mitä suostumusasiakirjojen tulisi kattaa:
- Oliko suostumus tarpeen — Kaikki käsittely ei edellytä suostumusta. Organisaation tulisi dokumentoida arvionsa siitä, onko suostumus asianmukainen laillinen peruste kullekin käsittelytoimelle.
- Miten suostumus saatiin — Käytetty erityinen mekanismi (esim. valintaruutu, allekirjoitettu lomake, suullinen suostumus tallennukseen) on kuvattava riittävän yksityiskohtaisesti pätevyyden osoittamiseksi
- Kun suostumus saatiin — Prosessin tulisi tallentaa suostumuksen ajankohta suhteessa käsittelyn alkamiseen ja osoittaa, että suostumus annettiin ennen henkilötietojen keräämistä.
- Oliko PII-päävelvollinen asianmukaisesti informoitu — Ennen suostumuksen antamista yksilöiden on saatava riittävästi tietoa käsittelystä. Dokumentoidussa prosessissa tulisi kuvata, mitä tietoja annetaan ja miten
- Katso myös A.1.2.6: Yksityisyydensuojaan liittyvä vaikutustenarviointi asiaankuuluvia vaatimuksia varten
- Katso myös A.1.2.7: Sopimukset henkilötietojen käsittelijöiden kanssa asiaankuuluvia vaatimuksia varten
Ohjeistuksessa korostetaan myös, että joillakin lainkäyttöalueilla on lasten suostumusta koskevat erityisvaatimuksetLasten henkilötietoja käsittelevien organisaatioiden tulisi dokumentoida, miten ne varmistavat henkilötietojen käsittelijän iän ja tarvittaessa miten ne hankkivat vanhempien tai huoltajan suostumuksen.
Miten tämä vastaa GDPR:ää?
Kontrollin A.1.2.4 kohdennus GDPR 8(1) ja 8(2), jotka käsittelevät erityisesti lasten suostumuksen edellytyksiä tietoyhteiskunnan palveluihin liittyen:
- Article 8 (1) — Jos suostumus on laillinen peruste ja rekisteröity on lapsi, käsittely on laillista vain, jos vanhempainvastuunkantaja on antanut suostumuksen tai valtuuttanut sen. Jäsenvaltiot voivat asettaa ikärajan 13–16 vuoden välille.
- Article 8 (2) — Rekisterinpitäjän on pyrittävä kohtuullisin keinoin varmistamaan, että vanhempainvastuunkantaja on antanut suostumuksen tai valtuuttanut sen, ottaen huomioon käytettävissä olevan teknologian.
Vaikka GDPR Vaikka kartoitus keskittyy lasten suostumukseen, 6 ja 7 artiklan laajemmat suostumusvaatimukset ovat yhtä lailla merkityksellisiä. A.1.2.4 tarjoaa prosessikehyksen, jolla varmistetaan, että suostumus (kaikille ikäryhmille) suunnitellaan, dokumentoidaan ja osoitetaan järjestelmällisesti.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee Suostumus ja valinta periaate standardissa ISO 29100. Tämä periaate edellyttää, että henkilötietojen käsittelystä vastaaville tahoille annetaan mahdollisuus valita, sallivatko he heidän henkilötietojensa käsittelyn, ja että suostumus hankitaan tarvittaessa ennen käsittelyä. A.1.2.4 toteuttaa tämän periaatteen edellyttämällä, että itse suostumusprosessi määritellään ja dokumentoidaan ennalta sen sijaan, että sitä käsitellään ad hoc -periaatteen mukaisesti.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.2.4 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Suostumusprosessin dokumentointi — Kirjallinen menettely, jossa kuvataan, miten, milloin ja missä suostumus kerätään kullekin siihen perustuvalle käsittelytoimelle
- Suostumuslomakkeen mallit — Vakiomuotoiset lomakkeet, skriptit tai käyttöliittymämallit, jotka näyttävät henkilötietojen käsittelijöille esitetyt tarkat sanamuodot, valintaruudut ja tiedot
- Iän varmennusmenettelyt — Jos lasten henkilötietoja käsitellään, dokumentoidut vaiheet iän varmentamiseksi ja vanhempien suostumuksen hankkimiseksi
- Tiedon tarjoamisen todisteet — Todiste siitä, että henkilötietojen käsittelystä vastaavat päämiehet saavat riittävät tiedot ennen suostumuksen antamista, kuten linkit tietosuojailmoituksiin, kerrostettuihin ilmoituksiin tai oikea-aikaisiin tiedonantoihin
- Päätösrekisterit — Dokumentaatio, joka osoittaa, mitkä käsittelytoimet edellyttävät suostumusta ja mitkä perustuvat vaihtoehtoisiin laillisiin perusteisiin, sekä kunkin päätöksen perustelut
- Arviointiaikataulu — Näyttö siitä, että suostumusprosesseja tarkastellaan ja päivitetään säännöllisesti lainsäädännön tai käsittelytoimien muuttuessa
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.2.3 Oikeudellisen perustan määrittäminen | Määrittää, onko suostumus asianmukainen peruste – laukaisee tämän valvonnan |
| A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen | A.1.2.4 kohdan mukaisesti suunnitellun prosessin operatiivinen toteutus |
| A.1.3.3 Tietoja henkilötietojen käsittelijöille | Määrittelee, mitä tietoja on annettava ennen kuin suostumus voidaan antaa pätevästi |
| A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen | Suostumuksen jatkuva hallinta, mukaan lukien peruutusmekanismit |
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Suostumuksen on oltava nimenomaan dokumentoituihin tarkoituksiin |
| A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot | Käsittelytietueissa tulee viitata käytettyyn suostumusprosessiin |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tämä vaatimus esiintyi osana kohtaa 7.2.3 (määritä, milloin ja miten suostumus hankitaan). Keskeinen tarkoitus pysyy samana vuoden 2025 painoksessa – organisaatioiden on määriteltävä ja dokumentoitava etukäteen suostumusmekanisminsa. Uudelleenjärjestely muotoon Taulukko A.1 tarjoaa selkeämmän eron normatiivisen valvontalausunnon (A.1.2.4) ja normatiivisen ohjeistuksen (B.1.2.4) välille. Lasten suostumuksen painotus on säilytetty, mikä heijastaa ikätasoisen suunnittelun jatkuvaa merkitystä globaaleissa yksityisyyden suojan kehyksissä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Miksi valita ISMS.online suostumusprosessien suunnittelussa?
ISMS.online auttaa sinua rakentamaan, dokumentoimaan ja ylläpitämään suostumusprosesseja, jotka tyydyttävät tilintarkastajia ja suojaavat henkilötietoja koskevia päämiehiä:
- Suostumusprosessin rakentaja — Määrittele suostumuksenkeruuprosessit vaiheittaisilla menettelyillä, määritetyillä omistajilla ja hyväksymisporteilla
- Mallikirjasto — Aloita valmiilla suostumuslomakemalleilla, jotka kattavat yleisiä tilanteita, kuten verkkolomakkeet, suullisen suostumuksen ja vanhempien valtuutuksen
- Tarkoitukseen sidottu suostumussuunnittelu — Yhdistä jokainen suostumusmekanismi suoraan sen tukemaan käsittelytarkoitukseen varmistaen tarkkuuden ja tarkkuuden
- Lasten suostumusmenettelyt — Iän varmentamiseen ja vanhempien suostumukseen tarkoitetut erilliset työnkulkumallit, jotka täyttävät GDPR:n 8 artiklan ja vastaavat vaatimukset
- Muistutusten tarkastelu — Automaattiset kehotteet suostumusprosessien tarkistamiseksi, kun määräykset muuttuvat, käsittelytoimia päivitetään tai tarkistuspäivät koittaa
UKK
Tarvitsemmeko suostumusprosessin jokaista käsittelytoimenpidettä varten?
Ei. A.1.2.4 edellyttää, että dokumentoit prosessin, jolla voidaan osoittaa if suostumusta tarvittiin – ei pelkästään sitä, miten se saatiin. Jos käsittelytoiminta perustuu toiseen lailliseen perusteeseen (kuten oikeutettuihin etuihin tai sopimusperusteiseen vaatimukseen), sinun tulee dokumentoida päätös olla käyttämättä suostumusta. Olennaista on, että jokaisella käsittelytoiminnalla on dokumentoitu perustelu riippumatta siitä, käytetäänkö suostumusta vai ei.
Kuinka yksityiskohtainen suostumuksen tulisi olla?
Suostumuksen tulee olla yksilöllinen kullekin erilliselle käsittelytarkoitukselle. Yhdistetty suostumus – jossa yksi rastitettu ruutu kattaa useita toisiinsa liittymättömiä tarkoituksia – ei todennäköisesti täytä standardin osoittamisvaatimusta. Paras käytäntö on tarjota erilliset suostumusvaihtoehdot kullekin tarkoitukselle, jolloin henkilötietojen käsittelystä vastaavat voivat hyväksyä joitakin tarkoituksia ja hylätä toiset. Tämä myös yksinkertaistaa suostumuksen peruuttamista ja kirjanpitoa.
Mitä pidetään riittävänä tiedonsaantina ennen suostumusta?
Ennen suostumuksen antamista henkilötietojen käsittelystä vastaavien henkilöiden tulee ymmärtää organisaation identiteetti, käsittelyn tarkka tarkoitus (tarkoitus/tarkoitukset), kerättävien henkilötietojen tyypit, mahdolliset kolmannet osapuolet, jotka saavat tiedot, ja heidän oikeutensa peruuttaa suostumuksensa. Tiedot tulee esittää selkeällä ja yksinkertaisella kielellä – ei pitkien ehtojen ja määräysten hautaamisena. Kerrostetut ilmoitukset ja oikea-aikaiset tiedonannot ovat tehokkaita lähestymistapoja.
Dokumentoi, miten tämä valvonta koskee organisaatiotasi Ilmoitus soveltuvuudesta.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat tätä kontrollia arvioidessaan.
