Wat vereis beheer A.2.2.4?
Die organisasie mag nie persoonlike inligting (PII) wat ingevolge 'n kontrak verwerk word, vir bemarkings- en advertensiedoeleindes gebruik sonder om vas te stel dat vooraf toestemming van die toepaslike PII-prinsipaal verkry is nie. Die organisasie mag nie die verskaffing van sodanige toestemming 'n voorwaarde stel vir die ontvangs van die diens nie.
Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en skep 'n spesifieke, absolute verbod: verwerkers mag nie kliënt-PII hergebruik vir hul eie bemarkings- of advertensieaktiwiteite nie. Dit gaan verder as die algemene doelbeperking in A.2.2.3 Organisasiedoelwitte deur bemarking eksplisiet as 'n verbode gebruik te noem en die nie-bundelvereiste by te voeg — toestemming vir bemarking kan nie aan dienslewering gekoppel word nie.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.2.2.4) verskaf die volgende riglyne:
- Dokumentvoldoening — Nakoming van PII-verwerkers met die kliënt se kontraktuele vereistes moet gedokumenteer word, veral waar bemarking of advertensies beplan word.
- Geen gedwonge insluiting van bemarking nie — Organisasies moet nie aandring op die insluiting van bemarkings- of advertensiegebruike waar uitdruklike toestemming nie billik van PII-hoofde verkry is nie.
- Sien ook A.2.2.5: Oortredende Instruksie vir verwante vereistes
- Sien ook A.2.2.6: Kliëntverpligtinge vir verwante vereistes
Die riglyne wys ook daarop dat hierdie beheer die meer algemene doelbeperkingsbeheer in A.2.2.3 Organisasiedoelwitte en vervang of oortref dit nie. Selfs al word bemarkingstoestemming verkry, moet die verwerking steeds voldoen aan die kliënt se gedokumenteerde instruksies.
Hoe pas dit by die GDPR?
Beheer A.2.2.4 karteer na die volgende BBP Artikel:
- Artikel 7 (4) — Wanneer daar bepaal word of toestemming vrylik gegee is, moet die uiterste in ag geneem word of die uitvoering van 'n kontrak voorwaardelik is op toestemming vir die verwerking van persoonlike data wat nie nodig is vir die uitvoering van daardie kontrak nie.
Artikel 7(4) spreek die "bundeling"-probleem direk aan: toestemming vir bemarking sal waarskynlik nie vrylik gegee word (en dus geldig) as dit 'n voorwaarde is vir die ontvangs van die diens. Dit maak die nie-bundelingvereiste in A.2.2.4 'n BBP voldoeningsnoodsaaklikheid, nie net beste praktyk nie.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.2.4 as 'n alleenstaande beheermaatreël met duideliker implementeringsriglyne in B.2.2.4. Die uitdruklike nota dat hierdie beheermaatreël aanvul, maar nie vervang nie A.2.2.3 Organisasiedoelwitte is 'n nuttige verduideliking. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.2.2.4 beoordeel word, sal ouditeure tipies kyk na:
- Bemarkingsgebruiksbeleid — ’n Gedokumenteerde beleid wat die gebruik van kliënt-PII vir bemarking of advertensies sonder geldige toestemming verbied
- Toestemming rekords — Waar bemarkingsgebruik wel plaasvind, bewys dat voorafgaande, vrywillige toestemming van PII-prinsipale verkry is en dat toestemming nie saam met die diens gebundel is nie.
- Kontrakbepalings — Bewyse dat dienskontrakte nie bemarkingstoestemming 'n voorwaarde vir dienslewering maak nie
- Tegniese beheermaatreëls — Bewyse dat tegniese maatreëls die gebruik van kliënt-PII in bemarkingstelsels sonder toepaslike magtiging verhoed
- personeelopleiding — Opleidingsrekords wat toon dat bemarkings- en verkoopspanne die verbod op die gebruik van verwerker-PII vir bemarking verstaan
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.2.2.3 Organisasie se doelwitte | Bemarkingsgebruik is 'n spesifieke geval van doelbeperking — beide beheermaatreëls is van toepassing |
| A.2.2.2 Kliëntooreenkoms | Bemarkingsbeperkings moet eksplisiet in die kliëntkontrak wees |
| A.1.2.4 Bepaal toestemming | Die vereistes aan die beheerderkant om te bepaal wanneer toestemming nodig is |
| A.1.2.5 Verkry en teken toestemming aan | Toestemming vir bemarking moet behoorlik verkry en aangeteken word |
| A.2.2.7 Rekords van verwerking | Bemarkingstoestemmingsrekords vorm deel van die verwerker se verwerkingsrekords. |
Op wie is hierdie beheer van toepassing?
A.2.2.4 is uitsluitlik van toepassing op PII-verwerkersDit verbied verwerkers direk om persoonlike inligting (PII) wat deur dienskontrakte verkry is, vir hul eie bemarkingsdoeleindes te gebruik. Dit is veral relevant vir SaaS-verskaffers, wolkdienste en bestuurde diensverskaffers wat in die versoeking kan kom om kliëntdata te gebruik vir kruisverkope, produkbemarking of advertensieteikenstelling.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir bemarkingsnakomingsbestuur?
ISMS.aanlyn bied praktiese gereedskap om bemarkingsnakoming as verwerker te verseker:
- Beleidsbestuur — Publiseer en handhaaf bemarkingsbeperkingsbeleide met personeelerkenning en weergawebeheer
- Toestemmingsopsporing — Waar bemarkingstoestemming verkry word, spoor en bestuur toestemmingsrekords met vervaldatums en onttrekkingsbestuur
- Datavloei-kartering — Karteer datavloei om te identifiseer waar kliënt-PII moontlik bemarkingstelsels kan bereik, en implementeer toepaslike beheermaatreëls
- Nakomingsmonitering — Moniteer nakoming van bemarkingsbeperkings oor spanne en stelsels heen
- Opleidingsbestuur — Lewer en monitor bemarkingsnakomingsopleiding vir relevante personeel
Vrae & Antwoorde
Kan 'n verwerker bemarkingstoestemming in sy diensbepalings insluit?
'n Verwerker kan bemarkingstoestemming versoek, maar dit mag nie daardie toestemming 'n voorwaarde maak vir die ontvangs van die diens nie. Dit beteken dat die diens ten volle beskikbaar moet wees sonder dat bemarkingstoestemming verleen word. Die toestemmingsversoek moet duidelik apart van die diensbepalings wees, vrylik gegee, spesifiek en maklik om te onttrek. Voorafgemerkte toestemmingsblokkies of uitsluitingsmeganismes voldoen nie aan die standaard vir geldige voorafgaande toestemming nie.
Is hierdie beheer van toepassing op geaggregeerde of geanonimiseerde data?
Indien data werklik geanonimiseer is tot die punt waar PII-beginsels nie meer (direk of indirek) geïdentifiseer kan word nie, is dit nie meer PII nie en val dit buite die bestek van hierdie beheer. Die drempel vir anonimisering is egter hoog – gepseudoniemiseerde data of geaggregeerde data waaruit individue moontlik her-geïdentifiseer kan word, bly PII. Verwerkers moet versigtig wees om te beweer dat data geanonimiseer is en moet 'n gedokumenteerde metodologie hê om die doeltreffendheid van anonimisering te verifieer.
Wat is die gevolge van die oortreding van hierdie beheer?
Die gebruik van kliënt-PII vir ongemagtigde bemarking kan lei tot: kontrakbreuk met die kliënt (wat moontlik beëindiging en skadevergoeding kan veroorsaak); herklassifikasie as 'n beheerder kragtens die AVG (met volle verpligtinge en aanspreeklikhede van die beheerder); afdwingingsaksie deur die toesighoudende owerheid; en reputasieskade. Ingevolge die AVG word 'n verwerker wat sy eie doeleindes vir verwerking (soos bemarking) bepaal, as 'n beheerder vir daardie verwerking ingevolge Artikel 28(10) behandel.
SaaS-organisasies staar unieke verwerkeruitdagings in die gesig — sien ons gids vir SaaS-platforms.
ons gids vir vereistes vir ouditbewyse dek die bewyse wat ouditeure vir verwerkerkontroles verwag.
