Hvad kræver kontrol A.1.2.4?
Organisationen skal fastlægge og dokumentere en proces, hvorved den kan påvise, om, hvornår og hvordan samtykke til behandling af personoplysninger blev indhentet fra personoplysningernes hovedansvarlige.
Denne kontrol ligger inden for Betingelser for indsamling og behandling mål (A.1.2). Det bygger bro mellem at identificere dit retsgrundlag (A.1.2.3 Identificér det lovlige grundlag) og rent faktisk at indhente samtykke (A.1.2.5 Indhentning og registrering af samtykke). Hvor samtykke er det valgte retsgrundlag, kræver A.1.2.4, at du udformer og dokumenterer mekanisme før du begynder at indhente samtykke.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.2.4) indeholder følgende vejledning om, hvad samtykkedokumentation bør dække:
- Om samtykke var nødvendigt — Ikke al behandling kræver samtykke. Organisationen bør dokumentere sin vurdering af, om samtykke er det rette retsgrundlag for hver behandlingsaktivitet.
- Hvordan samtykke blev indhentet — Den specifikke mekanisme, der anvendes (f.eks. afkrydsningsfelt for tilmelding, underskrevet formular, mundtlig aftale med optagelse) bør beskrives tilstrækkeligt detaljeret til at påvise gyldigheden
- Da samtykke blev indhentet — Processen bør registrere tidspunktet for samtykke i forhold til behandlingens start og vise, at samtykket blev givet, før personoplysningerne blev indsamlet
- Om den ansvarlige for personoplysninger blev informeret korrekt — Inden samtykke gives, skal personer modtage tilstrækkelig information om behandlingen. Den dokumenterede proces bør beskrive, hvilke oplysninger der gives, og hvordan
- Se også A.1.2.6: Vurdering af indvirkning på privatlivets fred for relaterede krav
- Se også A.1.2.7: Kontrakter med PII-behandlere for relaterede krav
Vejledningen fremhæver også, at nogle jurisdiktioner har specifikke krav til børns samtykkeOrganisationer, der behandler børns personoplysninger, bør dokumentere, hvordan de verificerer den primære personoplysningers alder, og hvor det er nødvendigt, hvordan de indhenter samtykke fra forældre eller værge.
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.2.4 knytter sig til GDPR Artikel 8(1) og 8(2), som specifikt omhandler betingelser for børns samtykke i forbindelse med informationssamfundstjenester:
- Artikel 8 (1) — Hvor samtykke er det retlige grundlag, og den registrerede er et barn, er behandling kun lovlig, hvis samtykke er givet eller godkendt af indehaveren af forældremyndigheden. Medlemsstaterne kan fastsætte aldersgrænsen mellem 13 og 16 år.
- Artikel 8 (2) — Den dataansvarlige skal gøre en rimelig indsats for at verificere, at samtykke er givet eller godkendt af forældremyndighedsindehaveren, under hensyntagen til tilgængelig teknologi
selvom GDPR Kortlægningen fokuserer på børns samtykke, men de bredere samtykkekrav i artikel 6 og 7 er lige relevante. A.1.2.4 giver den procesramme, der sikrer, at samtykke (for alle aldersgrupper) systematisk udformes, dokumenteres og påvises.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Samtykke og valg Princippet i ISO 29100. Dette princip kræver, at personoplysninger giver mulighed for at vælge, om de vil tillade behandling af deres personoplysninger, og at samtykke indhentes, hvor det er relevant, før behandling. A.1.2.4 operationaliserer dette princip ved at kræve, at selve samtykkeprocessen er foruddefineret og dokumenteret i stedet for at blive håndteret ad hoc.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.2.4 vil revisorer typisk se efter:
- Dokumentation for samtykkeprocessen — En skriftlig procedure, der beskriver hvordan, hvornår og hvor samtykke indhentes for hver behandlingsaktivitet, der er afhængig af det
- Skabeloner til samtykkeformularer — Standardiserede formularer, scripts eller UI-mockups, der viser den nøjagtige ordlyd, afkrydsningsfelter og oplysninger, der præsenteres for PII-principaler
- Procedurer for aldersbekræftelse — Hvor børns personoplysninger behandles, dokumenterede trin til verifikation af alder og indhentning af forældresamtykke
- Bevis for levering af oplysninger — Bevis for, at personoplysninger modtager tilstrækkelige oplysninger, før de giver samtykke, såsom links til privatlivsmeddelelser, lagdelte meddelelser eller just-in-time-oplysninger
- Beslutningsprotokoller — Dokumentation, der viser, hvilke behandlingsaktiviteter der kræver samtykke, og hvilke der er baseret på alternative retsgrundlag, med begrundelse for hver beslutning
- Gennemgangsplan — Dokumentation for, at samtykkeprocesser regelmæssigt gennemgås og opdateres, når lovgivning eller behandlingsaktiviteter ændres
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.2.3 Identificér det juridiske grundlag | Afgør, om samtykke er det rette grundlag — udløser denne kontrol |
| A.1.2.5 Indhentning og registrering af samtykke | Den operationelle udførelse af processen designet under A.1.2.4 |
| A.1.3.3 Information til PII-principaler | Definerer hvilke oplysninger der skal gives, før et gyldigt samtykke kan gives |
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Løbende håndtering af samtykke, herunder tilbagetrækningsmekanismer |
| A.1.2.2 Identificér og dokumenter formål | Samtykke skal være specifikt for dokumenterede formål |
| A.1.2.9 Registrering af behandling af personoplysninger | Behandlingsregistreringer skal henvise til den anvendte samtykkeproces |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven optrådte dette krav som en del af paragraf 7.2.3 (bestemme hvornår og hvordan samtykke skal indhentes). Hovedformålet er det samme i 2025-udgaven — organisationer skal foruddefinere og dokumentere deres samtykkemekanismer. Omstruktureringen til Tabel A.1 giver en klarere adskillelse mellem den normative kontrolerklæring (A.1.2.4) og den normative vejledning (B.1.2.4). Vægten på børns samtykke er bevaret, hvilket afspejler den fortsatte betydning af alderstilpasset design på tværs af globale privatlivsrammer. Se Bilag F korrespondancetabel for den fulde kortlægning.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvorfor vælge ISMS.online til at designe samtykkeprocesser?
ISMS.online hjælper dig med at opbygge, dokumentere og vedligeholde samtykkeprocesser, der tilfredsstiller revisorer og beskytter PII-principper:
- Samtykke-workflowbygger — Definer samtykkeindsamlingsprocesser med trinvise procedurer, tildelte ejere og godkendelsesgates
- Skabelonbibliotek — Start med præbyggede skabeloner til samtykkeformularer, der dækker almindelige scenarier, herunder onlineformularer, mundtligt samtykke og forældretilladelse
- Formålsbaseret samtykkedesign — Forbind hver samtykkemekanisme direkte med det behandlingsformål, den understøtter, for at sikre specificitet og granularitet
- Børns samtykkeprocedurer — Dedikerede arbejdsgangsskabeloner til aldersbekræftelse og forældresamtykke, der opfylder GDPR artikel 8 og tilsvarende krav
- Gennemgå påmindelser — Automatiserede prompter til at gennemgå samtykkeprocesser, når regler ændres, behandlingsaktiviteter opdateres, eller gennemgangsdatoer nås
Ofte Stillede Spørgsmål
Har vi brug for en samtykkeproces for hver behandlingsaktivitet?
Nej. A.1.2.4 kræver, at du dokumenterer en proces, der kan demonstrere if samtykke var nødvendigt – ikke blot hvordan det blev indhentet. Hvis en behandlingsaktivitet er baseret på et andet retligt grundlag (såsom legitime interesser eller kontraktlig nødvendighed), bør du dokumentere beslutningen om ikke at bruge samtykke. Det centrale er, at enhver behandlingsaktivitet har en dokumenteret begrundelse, uanset om samtykke bruges eller ej.
Hvor detaljeret skal samtykket være?
Samtykke bør være specifikt for hvert enkelt behandlingsformål. Samlet samtykke – hvor et enkelt afkrydsningsfelt dækker flere uafhængige formål – opfylder sandsynligvis ikke standardens krav om påviselighed. Bedste praksis er at tilbyde separate samtykkemuligheder for hvert formål, hvilket giver PII-principaler mulighed for at acceptere nogle formål, mens de afviser andre. Dette forenkler også tilbagetrækning af samtykke og registrering.
Hvad udgør tilstrækkelig information før samtykke?
Før der gives samtykke, bør personoplysninger forstå: organisationens identitet, det/de specifikke formål med behandlingen, de typer af personoplysninger, der indsamles, eventuelle tredjeparter, der modtager dataene, og deres ret til at trække samtykket tilbage. Oplysningerne bør præsenteres i et klart og enkelt sprog – ikke begravet i lange vilkår og betingelser. Lagdelte meddelelser og just-in-time-oplysninger er effektive tilgange.
Dokumentér, hvordan denne kontrol gælder for din organisation i din Anvendelseserklæring.
Se vores vejledning om krav til revisionsbeviser for hvad revisorer forventer, når de vurderer denne kontrol.
