Mitä kohta A.1.3.5 edellyttää?
Organisaation on tarjottava mekanismi, jolla PII-päälliköt voivat muuttaa tai peruuttaa suostumuksensa.
Tämä ohjaus sijaitsee Velvollisuudet henkilövakuutuksen haltijaa kohtaan tavoite (A.1.3). Se täydentää kohdassa A.1.2 mainittuja suostumuksen keräämisen valvontatoimia varmistamalla, että suostumus ei ole yksisuuntainen. Jos organisaatiosi käyttää suostumusta laillisena perusteena käsittelylle (ks. A.1.2.4 Suostumuksen määrittäminen ja A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen), sinun on myös tehtävä mielensä muuttaminen helpoksi yksilöille.
Mitä käyttöönotto-ohjeissa sanotaan?
Liite B (kohta B.1.3.5) antaa ohjeita siitä, miltä tehokkaan suostumuksen peruuttamismekanismin tulisi näyttää:
- Yhtä helppo — Suostumuksen peruuttamisen tulisi olla yhtä helppoa kuin suostumuksen antaminen. Jos suostumus annettiin yhdellä napsautuksella, peruuttamisen ei pitäisi edellyttää puhelua tai kirjallista kirjettä.
- Selkeä viestintä — Peruuttamismekanismi on ilmoitettava selkeästi PII-vastuuhenkilöille suostumuksen hankkimisen yhteydessä ja milloin tahansa sen jälkeen.
- Ei takautuvaa vaikutusta — Peruuttaminen ei vaikuta ennen peruuttamista suoritetun käsittelyn laillisuuteen. Tästä tulee ilmoittaa henkilötietojen käsittelystä vastaaville henkilöille.
- Seuraukset — Ennen peruutusta PII-vastuuhenkilöille tulee ilmoittaa mahdollisista seurauksista (esimerkiksi palvelun käytön menetys). Seuraamusten ei tulisi olla rankaisevia.
- muutos — Täydellisen suostumuksen peruuttamisen lisäksi harkitse henkilötietojen käsittelyyn osallistuvien päähenkilöiden sallimista muuttaa suostumuksensa laajuutta (esimerkiksi kieltäytymällä markkinoinnista säilyttäen suostumuksensa palvelun toimittamiseen).
- Katso myös A.1.2.2: Tarkoituksen tunnistaminen ja dokumentointi asiaankuuluvia vaatimuksia varten
Miten tämä vastaa GDPR:ää?
Kontrolli A.1.3.5 kohdistuu useisiin GDPR määräykset:
- Article 7 (3) — Rekisteröidyllä on oikeus peruuttaa suostumus milloin tahansa. Suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. Rekisteröidylle on ilmoitettava tästä oikeudesta ennen suostumuksen antamista.
- 13 artiklan 2 kohdan c alakohta — Oikeus suostumuksen peruuttamiseen on sisällytettävä tietojen keräämisen yhteydessä annettaviin tietoihin
- 14 artiklan 2 kohdan d alakohta — Oikeus peruuttaa suostumus on sisällytettävä epäsuoraa keräämistä koskeviin tietoihin
- 18 artiklan 1 kohdan a alakohta — Oikeus käsittelyn rajoittamiseen, jota voidaan soveltaa suostumuksen peruuttamisen yhteydessä, mutta muita perusteita voi olla olemassa
GDPRValvontaviranomaiset ovat tulkinneet periaatetta ”yhtä helppo nostaa kuin antaa” tiukasti. Verkkopohjaisia suostumusmekanismeja käyttävien organisaatioiden tulisi tarjota yhtä yksinkertaisia verkkopohjaisia nostovaihtoehtoja.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Tämä ohjaus tukee Suostumus ja valinta ISO 29100 -standardin periaate. Merkityksellinen suostumus edellyttää, että yksilöillä säilyy määräysvalta valintoihinsa alkuperäisen päätöksen jälkeen. Mahdollisuus muuttaa tai peruuttaa suostumus milloin tahansa on tämän periaatteen perusta, sillä se varmistaa, että suostumus pysyy yksilön toiveiden aitona ilmaisuna.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.1.3.5 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Nostomekanismit — Dokumentoidut ja helposti saatavilla olevat mekanismit (verkkosivujen mieltymyskeskukset, tilauksen peruutuslinkit, lomakkeet), joita henkilötietojen käsittelyyn osallistuvat päämiehet voivat käyttää suostumuksensa peruuttamiseen
- Yhtäläisen helppouden arviointi — Todisteet siitä, että peruuttamisprosessiin on verrattavissa suostumuksen antamiseen liittyvä ponnistelu
- Viestintätiedot — Todiste siitä, että PII-päämiehille ilmoitetaan peruuttamismekanismista suostumuksen antamishetkellä ja jatkuvassa viestinnässä
- Seurausten dokumentointi — Selkeä dokumentaatio siitä, mitä tapahtuu, kun suostumus peruutetaan, ja todisteet siitä, että tästä ilmoitetaan henkilötietojen käsittelystä vastaaville.
- Käsittelyn lopettaminen — Todiste siitä, että käsittely tosiasiallisesti lopetetaan (tai sitä muutetaan), kun suostumus peruutetaan, dokumentoitujen aikarajojen puitteissa
- Suostumustiedot — Päivitetyt tiedot, jotka osoittavat peruutuksen ja jotka on linkitetty alkuperäiseen suostumustietueeseen (ks. A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen)
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.2.4 Suostumuksen määrittäminen | Määrittelee, miten suostumus hankitaan; A.1.3.5 varmistaa, että se voidaan peruuttaa |
| A.1.2.5 Suostumuksen hankkiminen ja kirjaaminen | Suostumustiedot on päivitettävä peruutusten huomioon ottamiseksi. |
| A.1.3.3 Henkilötietojen määrittäminen päämiehille | Oikeus suostumuksen peruuttamiseen on sisällytettävä annettuihin tietoihin |
| A.1.3.4 Tietojen toimittaminen henkilötietojen suojauspäälliköille | Nostomekanismin tiedot tulee viestiä selkeästi |
| A.1.3.6 Vastusta henkilötietojen käsittelyä | Liittyy asiaan, mutta on erillinen: vastustus koskee laillista perustetta riippumatta, peruutus koskee vain suostumusta |
| A.1.4.6 Henkilötietojen poistaminen ja anonymisointi | Suostumuksen peruuttaminen voi aiheuttaa poistovelvollisuuden |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tämä vaatimus oli osa kohtaa 7.3.4 (Mekanismin tarjoaminen suostumuksen muuttamiseksi tai peruuttamiseksi). Vuoden 2025 painoksessa sama ydinvaatimus on säilytetty kohdassa A.1.3.5 ja ohjeet kohdassa B.1.3.5. Keskeisinä periaatteina ovat edelleen "yhtä helppokäyttöisyyden" korostaminen ja vaatimus seurausten ilmoittamisesta ennen peruuttamista. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online suostumuksen peruuttamisen hallintaan?
ISMS.online tarjoaa infrastruktuurin suostumuksen koko elinkaaren hallintaan, mukaan lukien muuttaminen ja peruuttaminen:
- Suostumusasetusten keskus — Tarjota henkilötietojen käsittelijöille itsepalveluportaali, jossa he voivat tarkastella, muokata tai peruuttaa suostumuksensa milloin tahansa, täyttäen ”yhtäläisen helppouden” vaatimuksen
- Automatisoidut käsittelypäivitykset — Kun suostumus peruutetaan, käynnistä työnkulut lopettaaksesi kyseessä olevan käsittelyn ja ilmoita asiasta asiaankuuluville tiimeille
- Linkitetyt suostumustietueet — Peruutustapahtumat linkitetään automaattisesti alkuperäiseen suostumustietueeseen, mikä luo täydellisen tarkastusketjun keräämisestä peruuttamiseen asti.
- Seurausviestintämallit — Valmiita malleja, joilla PII-päälliköille tiedotetaan peruuttamisen seurauksista, mikä varmistaa johdonmukaisen viestinnän.
- Vaatimustenmukaisuuden hallintapaneeli — Seuraa suostumuksen tilaa koko organisaatiossasi ja saat näkyvyyden peruutusprosentteihin, lopettamisen käsittelyn aikatauluihin ja keskeneräisiin toimiin
UKK
Mitä "yhtä helppo ottaa kuin antaa" tarkoittaa käytännössä?
Jos suostumus on kerätty verkkolomakkeen valintaruudun kautta, peruuttamisen tulisi olla mahdollista vastaavan yksinkertaisen verkkomekanismin, kuten mieltymysten keskuksen tai tilauksen peruutuslinkin, kautta. Puhelinsoiton, kirjallisen kirjeen tai fyysisen käynnin vaatiminen suostumuksen antamisen yhteydessä verkossa ei täyttäisi vaatimusta. Peruuttamispolun tulisi sisältää yhtä paljon tai vähemmän vaiheita kuin suostumuksen antamispolun.
Tarkoittaako suostumuksen peruuttaminen, että kaikki henkilötiedot on poistettava?
Ei välttämättä. Suostumuksen peruuttaminen tarkoittaa, että sinun on lopetettava suostumukseen perustuva käsittely. Sinulla voi kuitenkin olla muita laillisia perusteita tietojen säilyttämiseen (kuten lakisääteiset velvoitteet tai oikeutetut edut muihin tarkoituksiin). Sinun tulee arvioida, onko olemassa muita laillisia perusteita, ennen kuin poistat tiedot. Jos muita perusteita ei ole, tiedot on poistettava tai anonymisoitava säilytyskäytäntöjesi mukaisesti.
Kuinka nopeasti käsittely on lopetettava suostumuksen peruuttamisen jälkeen?
Standardi ei määrittele tarkkaa aikataulua, mutta odotuksena on, että käsittely lopetetaan ilman aiheetonta viivytystä. Käytännössä organisaatioiden tulisi dokumentoida tavoitevasteaikansa ja varmistaa, että se on kohtuullinen. Automatisoidun käsittelyn (kuten markkinointisähköpostien) osalta lopettamisen tulisi tapahtua lähes välittömästi. Monimutkaisemmassa, useita järjestelmiä sisältävässä käsittelyssä lyhyt dokumentoitu aikataulu (kuten 48 tuntia) on tyypillisesti hyväksyttävä, edellyttäen, että viive on perusteltu.
Yhtiömme tarkastusevidenssivaatimusten opas yksityiskohdat, joita dokumentaation tarkastajat odottavat rekisteröityjen oikeuksien valvonnalta.
Näitä velvoitteita hallinnoivien tietosuojavastaavien tulisi lukea opas tietosuojavastaaville saadaksesi täydellisen yleiskatsauksen.
