Hvad kræver kontrol A.1.3.5?
Organisationen skal stille en mekanisme til rådighed, hvorefter PII-ledere kan ændre eller trække deres samtykke tilbage.
Denne kontrol ligger inden for Forpligtelser over for PII-principaler mål (A.1.3). Det supplerer kontrollen med indsamling af samtykke i A.1.2 ved at sikre, at samtykke ikke er ensrettet vej. Hvis din organisation bruger samtykke som et retligt grundlag for behandling (se A.1.2.4 Fastlæg samtykke og A.1.2.5 Indhentning og registrering af samtykke), skal du også gøre det nemt for enkeltpersoner at ændre mening.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.3.5) indeholder vejledning i, hvordan en effektiv mekanisme til tilbagetrækning af samtykke bør se ud:
- Lige lethed — Tilbagetrækning af samtykke bør være lige så let som at give samtykke. Hvis samtykket gives med et enkelt klik, bør tilbagetrækning ikke kræve et telefonopkald eller et skriftligt brev.
- Klar kommunikation — Mekanismen for tilbagetrækning bør tydeligt meddeles til PII-ledere på det tidspunkt, hvor samtykket indhentes, og når som helst derefter.
- Ingen tilbagevirkende kraft — Tilbagetrækning påvirker ikke lovligheden af behandling udført før tilbagetrækningen. Dette bør meddeles de ansvarlige for personoplysninger.
- Konsekvenser — Før tilbagetrækning skal PII-ledere informeres om eventuelle konsekvenser (f.eks. tab af adgang til en tjeneste). Konsekvenserne bør ikke være straffende.
- Ændring — Ud over fuld tilbagetrækning bør man overveje at give PII-principaler mulighed for at ændre omfanget af deres samtykke (f.eks. fravælge markedsføring, mens samtykket til levering af tjenester bevares)
- Se også A.1.2.2: Identificér og dokumenter formål for relaterede krav
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.3.5 knytter sig til flere GDPR bestemmelser:
- Artikel 7 (3) — Den registrerede har ret til at trække samtykke tilbage når som helst. Det skal være lige så let at trække samtykke tilbage som at give det. Den registrerede skal informeres om denne ret, inden samtykket gives.
- Artikel 13, stk. 2, litra c) — Retten til at trække samtykke tilbage skal fremgå af de oplysninger, der gives ved indsamlingen
- Artikel 14, stk. 2, litra d) — Retten til at trække samtykke tilbage skal være inkluderet i de oplysninger, der gives ved indirekte indsamling
- Artikel 18(1)(ad) — Ret til begrænsning af behandling, som kan gælde, når samtykket trækkes tilbage, men der kan være andre grunde
GDPRPrincippet om "lige så let at hæve som at give" er blevet fortolket strengt af tilsynsmyndighederne. Organisationer, der bruger online samtykkemekanismer, bør tilbyde lige så enkle online hævemuligheder.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Samtykke og valg princippet fra ISO 29100. Meningsfuldt samtykke kræver, at individer bevarer kontrollen over deres valg efter den oprindelige beslutning. Muligheden for at ændre eller trække samtykke tilbage når som helst er grundlæggende for dette princip og sikrer, at samtykket forbliver et ægte udtryk for individets ønsker.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.3.5 vil revisorer typisk se efter:
- Udbetalingsmekanismer — Dokumenterede og tilgængelige mekanismer (online præferencecentre, afmeldingslinks, formularer), som personoplysninger kan bruge til at trække samtykke tilbage
- Lige lethedsvurdering — Dokumentation for, at tilbagetrækningsprocessen er sammenlignelig i indsats med samtykkeprocessen
- Kommunikationsoptegnelser — Dokumentation for, at PII-opdragsgivere er informeret om tilbagetrækningsmekanismen på tidspunktet for samtykke og i løbende kommunikation
- Konsekvensdokumentation — Tydelig dokumentation af, hvad der sker, når samtykket trækkes tilbage, og dokumentation for, at dette meddeles de ansvarlige for personoplysninger
- Ophør af behandling — Dokumentation for, at behandlingen faktisk ophører (eller ændres), når samtykket trækkes tilbage, inden for dokumenterede tidsrammer
- Samtykkeregistreringer — Opdaterede optegnelser, der viser tilbagetrækningen, knyttet til den oprindelige samtykkeoptegnelse (se A.1.2.5 Indhentning og registrering af samtykke)
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.2.4 Fastslå samtykke | Definerer, hvordan samtykke indhentes; A.1.3.5 sikrer, at det kan fortrydes |
| A.1.2.5 Indhentning og registrering af samtykke | Samtykkeregistre skal opdateres for at afspejle tilbagetrækninger |
| A.1.3.3 Bestemmelse af oplysninger for PII-principper | Retten til at trække samtykke tilbage skal fremgå af de givne oplysninger |
| A.1.3.4 Oplysninger til PII-hovedpersoner | Detaljer om udbetalingsmekanismen skal kommunikeres tydeligt |
| A.1.3.6 Indsigelse mod behandling af personoplysninger | Relateret, men forskellig: indsigelse gælder uanset retsgrundlag, tilbagetrækning gælder kun for samtykke |
| A.1.4.6 Anonymisering og sletning af personoplysninger | Tilbagetrækning af samtykke kan udløse sletningsforpligtelser |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav en del af paragraf 7.3.4 (Indstilling af mekanisme til at ændre eller trække samtykke tilbage). 2025-udgaven bevarer det samme kernekrav under A.1.3.5 med vejledningen i B.1.3.5. Vægten på "lige lethed" og kravet om at kommunikere konsekvenser før tilbagetrækning er fortsat de vigtigste principper. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af tilbagetrækning af samtykke?
ISMS.online leverer infrastrukturen til at administrere hele samtykkelivscyklussen, herunder ændring og tilbagetrækning:
- Samtykkepræferencecenter — Giv PII-ledere en selvbetjeningsportal, hvor de kan se, ændre eller trække deres samtykke tilbage når som helst, og opfylde kravet om "lige lethed".
- Automatiserede behandlingsopdateringer — Når samtykket trækkes tilbage, udløses arbejdsgange for at stoppe den berørte behandling og underrette relevante teams
- Tilknyttede samtykkeregistre — Tilbagetrækningshændelser linkes automatisk til den oprindelige samtykkeerklæring, hvilket skaber et komplet revisionsspor fra indsamling til tilbagetrækning
- Skabeloner til konsekvenskommunikation — Færdigbyggede skabeloner til at informere PII-principper om konsekvenserne af tilbagetrækning, hvilket sikrer ensartet kommunikation
- Overholdelsesdashboard — Overvåg samtykketilstanden på tværs af din organisation med indsigt i tilbagetrækningsrater, tidsfrister for behandlingsophør og udestående handlinger
Ofte Stillede Spørgsmål
Hvad betyder "lige så let at hæve som at give" i praksis?
Hvis samtykke blev indsamlet via en afkrydsningsfelt på en webformular, bør tilbagetrækning være mulig via en tilsvarende simpel onlinemekanisme, såsom et præferencecenter eller et afmeldingslink. Krav om et telefonopkald, et skriftligt brev eller et besøg på en fysisk lokation, når samtykke er givet online, ville ikke opfylde standarden. Tilbagetrækningsstien bør kræve de samme eller færre trin som samtykkestien.
Betyder tilbagetrækning af samtykke, at alle personoplysninger skal slettes?
Ikke nødvendigvis. Tilbagetrækning af samtykke betyder, at du skal stoppe den behandling, der var baseret på samtykke. Du kan dog have andre retlige grundlag for at opbevare dataene (såsom juridiske forpligtelser eller legitime interesser til andre formål). Du bør vurdere, om der gælder et andet retligt grundlag, før du sletter dataene. Hvor der ikke findes noget andet grundlag, bør sletning eller anonymisering følge dine opbevaringspolitikker.
Hvor hurtigt skal behandlingen ophøre efter tilbagetrækning af samtykke?
Standarden angiver ikke en præcis tidsramme, men forventningen er, at behandlingen ophører uden unødig forsinkelse. I praksis bør organisationer dokumentere deres mål for svartid og sikre, at den er rimelig. For automatiseret behandling (såsom marketingmails) bør ophøret ske næsten øjeblikkeligt. For mere kompleks behandling, der involverer flere systemer, er en kort dokumenteret tidsramme (såsom 48 timer) typisk acceptabel, forudsat at forsinkelsen er berettiget.
Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.
Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.
