Mitä kohta A.1.2.5 edellyttää?
Organisaation on hankittava ja kirjattava henkilötietojen käsittelystä vastaavien henkilöiden suostumus dokumentoitujen prosessien mukaisesti.
Tämä ohjaus sijaitsee Keräyksen ja käsittelyn edellytykset tavoite (A.1.2) ja edustaa sitä seuraavaa operatiivista vaihetta A.1.2.4 Suostumuksen määrittäminen (suostumusprosessin suunnittelu). Missä A.1.2.4 Suostumuksen määrittäminen määritellään miten Jos suostumus kerätään, kohdan A.1.2.5 mukaisesti organisaatio todella noudattaa ohjeita – hankkii suostumuksen käytännössä ja ylläpitää sitä todistavia asiakirjoja.
Mitä käyttöönotto-ohjeissa sanotaan?
Liitteessä B (kohta B.1.2.5) annetaan seuraavat ohjeet:
- Organisaation tulee pystyä osoittamaan, että suostumus on annettu vapaasti annettu — Henkilövakuutuksen antajia ei saa pakottaa, rangaista kieltäytymisestä eikä heille saa esittää valmiiksi rastitettuja ruutuja
- Suostumuksen on oltava erityinen — sidottu tiettyyn, selkeästi ilmaistuun käsittelytarkoitukseen eikä yleiseen hyväksyntään
- Suostumuksen on oltava yksiselitteinen ja selkeä — ilmaistaan selkeällä myöntävällä toiminnalla (esim. ruudun rastittaminen, painikkeen napsauttaminen, lomakkeen allekirjoittaminen) eikä hiljaisuudesta tai toimimattomuudesta pääteltynä
- Suostumuksen kirjaamisessa tulisi kirjata:
- PII-päähenkilön henkilöllisyys (tai salaniminen tunniste, joka voidaan linkittää takaisin)
- päivämäärä ja aika suostumus annettiin
- suostumuslausunto — erityisehdot, joihin PII-päävelvollinen suostui
- Katso myös A.1.2.6: Yksityisyydensuojaan liittyvä vaikutustenarviointi asiaankuuluvia vaatimuksia varten
- Katso myös A.1.2.7: Sopimukset henkilötietojen käsittelijöiden kanssa asiaankuuluvia vaatimuksia varten
Nämä kolme elementtiä – vapaasti annettu, täsmällinen sekä yksiselitteinen ja eksplisiittinen – ovat linjassa GDPRn määritelmä pätevälle suostumukselle ja niistä on tullut tosiasiallinen kansainvälinen standardi suostumuksen laadulle.
Miten tämä vastaa GDPR:ää?
Kontrolli A.1.2.5 vastaa seuraavaa GDPR määräykset:
- Article 7 (1) — Jos käsittely perustuu suostumukseen, rekisterinpitäjän on kyettävä osoittamaan, että rekisteröity on antanut suostumuksensa. Tämä on suoran vastuuvelvollisuuden vaatimus – sinun on pidettävä kirjaa
- Article 7 (2) — Jos suostumus annetaan kirjallisessa ilmoituksessa, joka koskee myös muita asioita, suostumuspyynnön on oltava selvästi erotettavissa, ymmärrettävässä ja helposti saatavilla olevassa muodossa sekä selkeällä ja yksinkertaisella kielellä.
- 9 artikla (2) a) — Erityisten tietoluokkien osalta vaaditaan nimenomainen suostumus. Tämä nostaa rimaa tavanomaiseen suostumukseen verrattuna – henkilötietojen käsittelystä vastaavan henkilön on nimenomaisesti vahvistettava suostumuksensa, tyypillisesti ylimääräisellä myöntävällä toimenpiteellä.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee Suostumus ja valinta periaate standardissa ISO 29100. Vaikka A.1.2.4 Suostumuksen määrittäminen Kohta A.1.2.5 käsittelee suostumusmekanismin suunnittelua, ja kohta A.1.2.5 käsittelee sen toteutusta – varmistaen, että henkilötietojen käsittelystä vastaavan päämiehen valinta tosiasiallisesti tallennetaan ja säilytetään todisteena. Yhdessä nämä kontrollit varmistavat suostumus- ja valintaperiaatteen täydellisen toteuttamisen.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.2.5 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Suostumustietokanta — Keskitetty suostumustietueiden tallennuspaikka, joka sisältää kolme vaadittua elementtiä: henkilötietojen käsittelijän tunnistaminen, suostumuksen antamisaika ja suostumuslausunto
- Näyte suostumustietueista — Tilintarkastajat ottavat yleensä otoksen varmistaakseen täydellisyyden ja tarkistavat, että kaikki kentät on täytetty ja aikaleimat ovat uskottavia.
- Suostumusmekanismin kuvakaappaukset — Todiste henkilötietojen vastuuhenkilöille esitetystä todellisesta käyttöliittymästä tai lomakkeesta, jossa ei ole valmiiksi rastitettuja ruutuja ja jossa on selkeät positiivisen toiminnan vaatimukset
- Versiohistoria — Tiedot siitä, mitä suostumuksen sanamuotoa käytettiin kunkin suostumuksen hankkimishetkellä, ei pelkästään nykyistä versiota
- Nimenomainen suostumus erityisryhmiä varten — Arkaluonteisen tiedonkäsittelyn laajennetut tiedot, joista käy ilmi toteutettu lisätoimenpide
- Nostotietueet — Todiste siitä, että suostumuksen peruutuspyyntöihin on vastattu ja että käsittely on lopetettu (linkit A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen)
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.2.4 Suostumuksen määrittäminen | Määrittelee suostumusprosessin, jonka A.1.2.5 toteuttaa |
| A.1.2.3 Oikeudellisen perustan määrittäminen | Suostumuksen tallentaminen on tarpeen vain, jos suostumus on valittu laillinen peruste |
| A.1.3.5 Suostumuksen muuttaminen tai peruuttaminen | Suostumuksen jatkuva hallinta, mukaan lukien päivitys- ja peruutusmekanismit |
| A.1.3.3 Tietoja henkilötietojen käsittelijöille | Tiedon antaminen on edellytys pätevälle tietoiselle suostumukselle |
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Suostumuksen on viitattava tiettyyn dokumentoituun tarkoitukseen |
| A.1.2.9 Henkilötietojen käsittelyä koskevat tiedot | Suostumustiedot ovat osa laajempia käsittelytietoja |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tämä vaatimus esiintyi kohdassa 7.2.4 (suostumuksen hankkiminen ja kirjaaminen). Määräysvallan sisältö on pysynyt muuttumattomana vuoden 2025 painoksessa – pätevän suostumuksen kolme ominaisuutta (vapaaehtoinen, yksilöity sekä yksiselitteinen ja nimenomainen) ja suostumustietueen kolme elementtiä (tunnistaminen, aika ja suostumuslausunto) pysyvät samoina. Uudelleenjärjestely muotoon Taulukko A.1 tarjoaa selkeämmän viittausrakenteen A.1.2.5:n ohjauslausekkeen ja B.1.2.5:n toteutusohjeiden avulla. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online suostumustietojen hallintaa varten?
ISMS.online tekee pätevän suostumuksen hankkimisen, tallentamisen ja osoittamisen helpoksi:
- Keskitetty suostumusrekisteri — Tallenna kaikki suostumustietueet yhteen haettavaan paikkaan, johon on tallennettu neljä pakollista kenttää (henkilöllisyys, päivämäärä/kellonaika, tarkoitus, annetut tiedot) oletusarvoisesti.
- Aikaleimattu tarkastusketju — Jokainen suostumustapahtuma aikaleimataan automaattisesti ja on muuttumaton, mikä antaa tarkastajille tarvitsemansa todisteet ilman manuaalista kirjanpitoa
- Versio-ohjattu suostumusmuoto — Säilytä historia jokaisesta suostumuslomakkeen versiosta, jotta voit todistaa, mitä sanamuotoa käytettiin kunkin suostumuksen keräämisen hetkellä
- Nostojen seuranta — Kirjaa suostumuksen peruutukset alkuperäisen suostumuksen rinnalle ja luo automaattisesti tehtäviä sen varmistamiseksi, että käsittely lopetetaan viipymättä
- Joukkovienti auditointeja varten — Vie suostumustietueet päivämäärävälin, tarkoituksen tai käsittelytoiminnan mukaan, jotta voit koota nopeasti todistepaketteja tarkastusajankohdan koittaessa
- Erityisluokan merkitseminen — Tunnistaa automaattisesti tilanteet, joissa nimenomainen suostumus vaaditaan, ja kehottaa käyttämään laajennettua myönteistä erityistoimea
UKK
Kuinka kauan suostumustietoja tulisi säilyttää?
Suostumustietoja tulee säilyttää vähintään niin kauan kuin niiden valtuuttama käsittely jatkuu, sekä sovellettavan lain edellyttämän ajan vaatimustenmukaisuuden osoittamiseksi. GDPR:n mukaan vastuuvelvollisuusperiaate tarkoittaa, että sinun on pystyttävä todistamaan, että pätevä suostumus oli olemassa koko käsittelyn ajan. Monet organisaatiot säilyttävät suostumustietoja lakisääteisen vanhentumisajan (yleensä 6 vuotta Isossa-Britanniassa) käsittelyn päättymisen jälkeen sääntelyyn liittyvien haasteiden varalta.
Mikä lasketaan selkeäksi myönteiseksi syrjintätoimeksi?
Myönteinen toimenpide edellyttää henkilötietojen käsittelystä vastaavan tahon harkittua ja myönteistä toimenpidettä. Esimerkkejä ovat: valitsemattoman valintaruudun rastittaminen, selkeästi merkityn ”Hyväksyn”-painikkeen napsauttaminen, lomakkeen allekirjoittaminen tai suullisen lausunnon antaminen, joka tallennetaan. Hiljaisuus, valmiiksi rastitetut ruudut, selaamisen jatkaminen ja kieltäytyminen ovat... emme myönteisiä toimia, eivätkä ne muodosta pätevää suostumusta tämän valvonnan tai GDPR:n nojalla.
Onko sähköinen suostumus yhtä pätevä kuin kirjallinen suostumus?
Kyllä. ISO 27701:2025 -standardissa ei määrätä suostumuksen muotoa – sähköinen ja kirjallinen suostumus ovat yhtä päteviä, kunhan ne täyttävät kolme laatukriteeriä (vapaaehtoinen, yksilöity sekä yksiselitteinen ja nimenomainen). Sähköisen suostumuksen todistaminen voi itse asiassa olla helpompaa, koska digitaaliset järjestelmät voivat automaattisesti tallentaa aikaleimat, IP-osoitteet ja esitettyjen tietojen tarkan version. Olennaista on, että tallennusjärjestelmäsi tallentaa kaikki kolme vaadittua elementtiä luotettavasti.
Dokumentoi, miten tämä valvonta koskee organisaatiotasi Ilmoitus soveltuvuudesta.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat tätä kontrollia arvioidessaan.
