BBP Artikel 7 handel oor die 'voorwaardes vir toestemming' waaraan voldoen moet word, sodat vasgestel kan word dat 'n organisasie die nodige magtiging verkry het voordat 'n individu se data verwerk word.
Voorwaardes vir Toestemming
- Waar verwerking op toestemming gebaseer is, sal die kontroleerder in staat wees om te demonstreer dat die datasubjek ingestem het tot die verwerking van sy of haar persoonlike data.
- Indien die datasubjek se toestemming gegee word in die konteks van 'n skriftelike verklaring wat ook ander aangeleenthede raak, moet die versoek om toestemming op 'n wyse aangebied word wat duidelik onderskeibaar is van die ander aangeleenthede, in 'n verstaanbare en maklik toeganklike vorm, deur gebruik te maak van duidelike en gewone taal. Enige deel van so 'n verklaring wat 'n oortreding van hierdie Regulasie uitmaak, is nie bindend nie.
- Die datasubjek sal die reg hê om sy of haar toestemming te eniger tyd terug te trek. Die terugtrekking van toestemming sal nie die wettigheid van verwerking gebaseer op toestemming voor die terugtrekking daarvan beïnvloed nie. Voordat toestemming gegee word, sal die datasubjek daarvan in kennis gestel word. Dit sal so maklik wees om te onttrek as om toestemming te gee.
- By die beoordeling of toestemming vryelik gegee word, sal uiterste in ag geneem word of, onder andere, die uitvoering van 'n kontrak, insluitend die verskaffing van 'n diens, voorwaardelik is van toestemming tot die verwerking van persoonlike data wat nie nodig is vir die uitvoering van daardie kontrak.
Voorwaardes vir Toestemming
- Waar verwerking op toestemming gebaseer is, sal die kontroleerder in staat wees om te demonstreer dat die datasubjek ingestem het tot die verwerking van sy of haar persoonlike data.
- Indien die datasubjek se toestemming gegee word in die konteks van 'n skriftelike verklaring wat ook ander aangeleenthede raak, moet die versoek om toestemming op 'n wyse aangebied word wat duidelik onderskeibaar is van die ander aangeleenthede, in 'n verstaanbare en maklik toeganklike vorm, deur gebruik te maak van duidelike en gewone taal. Enige deel van so 'n verklaring wat 'n oortreding van hierdie Regulasie uitmaak, is nie bindend nie.
- Die datasubjek sal die reg hê om sy of haar toestemming te eniger tyd terug te trek. Die terugtrekking van toestemming sal nie die wettigheid van verwerking gebaseer op toestemming voor die terugtrekking daarvan beïnvloed nie. Voordat toestemming gegee word, sal die datasubjek daarvan in kennis gestel word. Dit sal so maklik wees om te onttrek as om toestemming te gee.
- By die beoordeling of toestemming vryelik gegee word, sal uiterste in ag geneem word of, onder andere, die uitvoering van 'n kontrak, insluitend die verskaffing van 'n diens, voorwaardelik is van toestemming tot die verwerking van persoonlike data wat nie nodig is vir die uitvoering van daardie kontrak.
Toestemming word regdeur GDPR-artikel 7 oor 3 sleutelareas hanteer:
Organisasies moet toestemming insamel op 'n manier wat dit vir PII-vakke maklik maak om inligting aan te vra oor hoe dit verkry is (tydstempels, wie dit versoek het, ens.) (sien ISO 27701 Klousule 7.3.3).
Toestemming berus op drie onderliggende wetlike bepalings: dit moet vrylik verskaf word, met betrekking tot die rede vir verwerking en duidelik in die bedoeling daarvan.
Organisasies moet 'n meganisme verskaf wat die regte uiteensit van enige PII-prinsipaal wat toestemming wil terugtrek, tesame met instruksies oor hoe om dit te doen wat in ooreenstemming is met die metodes wat gebruik word om PII in te samel (bv. e-pos, telefoon).
PII-prinsipale moet ook toestemming kan 'wysig' – dws om die kontroleerder te beperk om sekere handelinge uit te voer, soos die verwydering van PII. Sulke versoeke moet gedokumenteer word in ooreenstemming met prosedures vir die verwydering van toestemming.
Organisasies moet hulle verbind tot 'n gepubliseerde reaksietyd vir alle wysiging of terugtrekking van toestemmingsversoeke.
Organisasies moet toestemming van die PII-beginsel verkry voordat hulle enige data wat verskaf word vir bemarkings- of advertensiedoeleindes gebruik, en verseker dat aanvaarding van so 'n gebruik nie 'n voorvereiste is om PII te verwerk nie.
Bemarkings- en advertensiebepalings moet duidelik in enige kontrakte of diensooreenkomste gedokumenteer word, in ooreenstemming met bogenoemde doel.
Organisasies moet 'uitdruklike toestemming' soek wat gebaseer is op 'n deursigtige en bygewerkte voorstelling van hoe PII gebruik moet word.
| GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
|---|---|---|
| EU GDPR Artikel 7 (1) en 7 (2) | ISO 27701 7.2.4 | Geen |
| EU GDPR Artikel 7 (3) | ISO 27701 7.3.4 | Geen |
| EU GDPR Artikel 7 (4) | ISO 27701 8.2.3 | Geen |
Die ISMS.aanlyn-platform bevat ingeboude leiding by elke stap, gekombineer met ons 'Adopt, Adapt, Add'-implementeringsbenadering, sodat dit aansienlik makliker is om jou GDPR-voldoening te demonstreer. Jy sal ook baat by 'n reeks kragtige tydbesparende kenmerke.
Deur ons intuïtiewe platform te gebruik, kan jy jou werk oor verskeie standaarde en raamwerke karteer sodat jy verskeie inligtingsekuriteit- en privaatheidsdoelwitte binne 'n minimum tyd kan bereik.
As jy op enige stadium van jou reis na GDPR, om watter rede ook al, 'n gebrek aan selfvertroue, vermoë of dryfkrag voel om op te tree, kan ons ons span interne kundiges aan jou beskikbaar stel of een van ons betroubare vennote aanbeveel om te help jou in die bereiking van jou doelwitte.
Vind meer uit deur bespreek 'n kort demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
