Wat vereis beheer A.1.2.4?
Die organisasie moet 'n proses bepaal en dokumenteer waardeur dit kan aantoon of, wanneer en hoe toestemming vir die verwerking van PII van PII-prinsipale verkry is.
Hierdie beheer sit binne die Voorwaardes vir versameling en verwerking doelwit (A.1.2). Dit oorbrug die gaping tussen die identifisering van jou wettige basis (A.1.2.3 Identifiseer wettige basis) en die verkryging van toestemming (A.1.2.5 Verkry en teken toestemming aan). Waar toestemming die gekose wettige basis is, vereis A.1.2.4 dat u die ontwerp en dokumenteer meganisme voordat jy toestemming begin insamel.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.2.4) verskaf die volgende riglyne oor wat toestemmingsdokumentasie moet dek:
- Of toestemming nodig was — Nie alle verwerking vereis toestemming nie. Die organisasie moet sy assessering dokumenteer oor of toestemming die toepaslike wettige basis vir elke verwerkingsaktiwiteit is.
- Hoe toestemming verkry is — Die spesifieke meganisme wat gebruik word (bv. intekening-merkblokkie, getekende vorm, mondelinge ooreenkoms met opname) moet in voldoende besonderhede beskryf word om geldigheid te demonstreer.
- Toe toestemming verkry is — Die proses moet die tydsberekening van toestemming relatief tot die begin van verwerking vaslê, wat aantoon dat toestemming gegee is voordat persoonlike inligting versamel is.
- Of die PII-prinsipaal behoorlik ingelig is — Voordat toestemming gegee word, moet individue voldoende inligting oor die verwerking ontvang. Die gedokumenteerde proses moet beskryf watter inligting verskaf word en hoe
- Sien ook A.1.2.6: Impakassessering vir privaatheid vir verwante vereistes
- Sien ook A.1.2.7: Kontrakte met PII-verwerkers vir verwante vereistes
Die riglyne beklemtoon ook dat sommige jurisdiksies het spesifieke vereistes vir kinders se toestemmingOrganisasies wat kinders se PII verwerk, moet dokumenteer hoe hulle die ouderdom van die hoof-PII verifieer en, waar nodig, hoe hulle ouerlike of voog se toestemming verkry.
Hoe pas dit by die GDPR?
Beheer A.1.2.4 karteer na BBP Artikels 8(1) en 8(2), wat spesifiek handel oor voorwaardes vir kinders se toestemming met betrekking tot inligtingsamelewingsdienste:
- Artikel 8 (1) — Waar toestemming die wettige basis is en die data-onderwerp 'n kind is, is verwerking slegs wettig indien toestemming gegee of gemagtig word deur die houer van ouerlike verantwoordelikheid. Lidstate kan die ouderdomsdrempel tussen 13 en 16 stel.
- Artikel 8 (2) — Die beheerder moet redelike pogings aanwend om te verifieer dat toestemming gegee of gemagtig is deur die houer van ouerlike verantwoordelikheid, met inagneming van beskikbare tegnologie.
Hoewel die BBP kartering fokus op kinders se toestemming, die breër toestemmingsvereistes in Artikels 6 en 7 is ewe relevant. A.1.2.4 verskaf die prosesraamwerk wat verseker dat toestemming (vir enige ouderdomsgroep) sistematies ontwerp, gedokumenteer en demonstreerbaar is.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die Toestemming en keuse beginsel in ISO 29100. Hierdie beginsel vereis dat PII-hoofde die keuse gegee word of hulle die verwerking van hul PII toelaat, en dat toestemming verkry word waar van toepassing voor verwerking. A.1.2.4 operasionaliseer hierdie beginsel deur te vereis dat die toestemmingsproses self vooraf gedefinieer en gedokumenteer word, eerder as ad hoc hanteer word.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.2.4 beoordeel word, sal ouditeure tipies kyk na:
- Toestemmingsprosesdokumentasie — ’n Skriftelike prosedure wat beskryf hoe, wanneer en waar toestemming ingewin word vir elke verwerkingsaktiwiteit wat daarop staatmaak
- Toestemmingsvormsjablone — Gestandaardiseerde vorms, skrifte of gebruikerskoppelvlak-modelle wat die presiese bewoording, merkblokkies en inligting wat aan PII-hoofde aangebied word, toon
- Ouderdomsverifikasieprosedures — Waar kinders se persoonlike inligting verwerk word, gedokumenteerde stappe vir die verifikasie van ouderdom en die verkryging van ouerlike toestemming
- Bewyse van inligtingvoorsiening — Bewys dat PII-hoofde voldoende inligting ontvang voordat hulle toestemming gee, soos skakels na privaatheidskennisgewings, gelaagde kennisgewings of net-betyds-bekendmakings
- Besluitrekords — Dokumentasie wat toon watter verwerkingsaktiwiteite toestemming vereis en watter op alternatiewe wettige basisse staatmaak, met die rasionaal vir elke besluit
- Hersieningskedule — Bewyse dat toestemmingsprosesse periodiek hersien en opgedateer word wanneer wetgewing of verwerkingsaktiwiteite verander
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.2.3 Identifiseer die wettige basis | Bepaal of toestemming die gepaste basis is — aktiveer hierdie beheer |
| A.1.2.5 Verkry en teken toestemming aan | Die operasionele uitvoering van die proses wat ontwerp is onder A.1.2.4 |
| A.1.3.3 Inligting vir PII-hoofde | Definieer watter inligting verskaf moet word voordat toestemming geldig gegee kan word |
| A.1.3.5 Wysig of Trek Toestemming In | Deurlopende bestuur van toestemming, insluitend onttrekkingsmeganismes |
| A.1.2.2 Identifiseer en dokumenteer doel | Toestemming moet spesifiek wees vir gedokumenteerde doeleindes |
| A.1.2.9 Rekords van Verwerking van PII | Verwerkingsrekords moet verwys na die toestemmingsproses wat gebruik is |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe het hierdie vereiste as deel van Klousule 7.2.3 verskyn (bepaal wanneer en hoe toestemming verkry moet word). Die kernbedoeling bly dieselfde in die 2025-uitgawe — organisasies moet hul toestemmingsmeganismes vooraf definieer en dokumenteer. Die herstrukturering na Tabel A.1 bied duideliker skeiding tussen die normatiewe beheerverklaring (A.1.2.4) en die normatiewe riglyne (B.1.2.4). Die klem op kinders se toestemming is behou, wat die voortgesette belangrikheid van ouderdomsgepaste ontwerp oor globale privaatheidsraamwerke weerspieël. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoekom kies ISMS.aanlyn vir die ontwerp van toestemmingsprosesse?
ISMS.aanlyn help jou om toestemmingsprosesse te bou, te dokumenteer en te onderhou wat ouditeure tevrede stel en PII-beginsels beskerm:
- Toestemmingswerkvloeibouer — Definieer toestemmingsinsamelingsprosesse met stap-vir-stap prosedures, toegewyse eienaars en goedkeuringspoorte
- Sjabloonbiblioteek — Begin met voorafgeboude toestemmingsvormsjablone wat algemene scenario's dek, insluitend aanlyn vorms, mondelinge toestemming en ouerlike magtiging
- Doelgekoppelde toestemmingsontwerp — Verbind elke toestemmingsmeganisme direk met die verwerkingsdoel wat dit ondersteun, en verseker spesifisiteit en granulariteit
- Kinders se toestemmingsprosedures — Toegewyde werkvloei-sjablone vir ouderdomsverifikasie en ouerlike toestemming wat aan GDPR Artikel 8 en ekwivalente vereistes voldoen
- Hersien onthounotas — Outomatiese aanwysings om toestemmingsprosesse te hersien wanneer regulasies verander, verwerkingsaktiwiteite opgedateer word of hersieningsdatums bereik word
Vrae & Antwoorde
Het ons 'n toestemmingsproses nodig vir elke verwerkingsaktiwiteit?
Nee. A.1.2.4 vereis dat u 'n proses dokumenteer wat kan demonstreer if toestemming was nodig – nie net hoe dit verkry is nie. Indien 'n verwerkingsaktiwiteit op 'n ander wettige basis staatmaak (soos wettige belange of kontraktuele noodsaaklikheid), moet u die besluit om nie toestemming te gebruik nie, dokumenteer. Die sleutel is dat elke verwerkingsaktiwiteit 'n gedokumenteerde rasionaal het, of toestemming nou gebruik word of nie.
Hoe gedetailleerd moet toestemming wees?
Toestemming moet spesifiek wees vir elke afsonderlike verwerkingsdoel. Gebundelde toestemming – waar 'n enkele blokkie verskeie onverwante doeleindes dek – sal waarskynlik nie aan die standaard se vereiste vir demonstreerbaarheid voldoen nie. Beste praktyk is om afsonderlike toestemmingsopsies vir elke doel aan te bied, wat PII-hoofde toelaat om tot sommige doeleindes in te stem terwyl ander van die hand gewys word. Dit vereenvoudig ook die terugtrekking van toestemming en rekordhouding.
Wat behels voldoende inligting voor toestemming?
Voordat toestemming verleen word, moet prinsipale van persoonlike inligting die volgende verstaan: die identiteit van die organisasie, die spesifieke doel(e) van verwerking, die tipes persoonlike inligting wat ingesamel word, enige derde partye wat die data sal ontvang, en hul reg om toestemming te onttrek. Die inligting moet in duidelike, eenvoudige taal aangebied word – nie in lang bepalings en voorwaardes begrawe word nie. Gelaagde kennisgewings en net-betyds-bekendmakings is effektiewe benaderings.
Dokumenteer hoe hierdie beheer op u organisasie van toepassing is in u Verklaring van toepaslikheid.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag wanneer hulle hierdie beheermaatreël beoordeel.
