Hvad kræver kontrol A.1.3.6?
Organisationen skal stille en mekanisme til rådighed, hvorefter personoplysninger kan gøre indsigelse mod behandlingen af deres personoplysninger.
Denne kontrol ligger inden for Forpligtelser over for PII-principaler objektiv (A.1.3). Retten til at gøre indsigelse er forskellig fra tilbagetrækning af samtykke (omfattet af A.1.3.5 Ændring eller tilbagetrækning af samtykkeTilbagetrækning af samtykke gælder kun, hvor samtykke er det retlige grundlag. Retten til at gøre indsigelse gælder mere bredt, herunder hvor behandlingen er baseret på legitime interesser eller udførelsen af en opgave i samfundets interesse.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.1.3.6) indeholder vejledning i implementering af en effektiv indsigelsesmekanisme:
- Proaktiv underretning — Retten til at gøre indsigelse skal meddeles den personoplysninger, der er ansvarlig for beskyttelsen af personlige oplysninger, på tidspunktet for den første kommunikation og ikke skjules i generelle privatlivsoplysninger.
- Klar præsentation — Rettigheden skal præsenteres tydeligt og adskilt fra andre oplysninger, så den ikke overses
- Direkte marketing — Hvor indsigelsen vedrører direkte markedsføring, skal den altid imødekommes uden undtagelse. Der er ingen afvejningstest for indsigelser vedrørende direkte markedsføring.
- Anden behandling — Ved indsigelser mod behandling baseret på legitime interesser eller offentlig interesse må organisationen kun fortsætte behandlingen, hvis den kan påvise vægtige legitime grunde, der tilsidesætter den personoplysningers hovedansvarliges interesser.
- Vurderingsproces — Organisationer bør have en dokumenteret proces til vurdering af indsigelser, herunder hvem der træffer beslutningen, og hvilke faktorer der tages i betragtning
- Se også A.1.3.3: Fastlæggelse af oplysninger for PII-principaler for relaterede krav
- Se også A.1.3.7: Adgang, rettelse eller sletning for relaterede krav
Hvordan relaterer dette sig til GDPR?
Kontrol A.1.3.6 knytter sig i vid udstrækning til GDPR Artikel 21:
- Artikel 21 (1) — Ret til at gøre indsigelse mod behandling baseret på samfundsinteresse eller legitime interesser, herunder profilering baseret på disse grunde
- Artikel 21 (2) — Ret til at gøre indsigelse mod behandling med henblik på direkte markedsføring
- Artikel 21 (3) — Forpligtelse til at ophøre med behandling ved indsigelse mod direkte markedsføring
- Artikel 21 (4) — Retten til at gøre indsigelse skal udtrykkeligt gøres opmærksom på og præsenteres klart og separat
- Artikel 21 (5) — I forbindelse med informationssamfundstjenester kan indsigelse gøres automatisk
- Artikel 21 (6) — Ret til at gøre indsigelse mod behandling til videnskabelige, historiske forsknings- eller statistiske formål
- Artikel 13(2)(b) og 14(2)(c) — Retten til at gøre indsigelse skal meddeles som en del af gennemsigtighedsoplysningerne
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Denne kontrol understøtter Samtykke og valg princippet fra ISO 29100. Selvom retten til at gøre indsigelse går ud over samtykke i streng juridisk forstand, handler det grundlæggende om at sikre, at personoplysninger har en meningsfuld valgfrihed over, hvordan deres data anvendes. Princippet anerkender, at enkeltpersoner bør have løbende handlefrihed, ikke kun på tidspunktet for den oprindelige indsamling.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.1.3.6 vil revisorer typisk se efter:
- Indsigelsesmekanisme — En dokumenteret, tilgængelig mekanisme for PII-opdragsgivere til at indgive indsigelser (onlineformular, e-mailadresse eller mulighed i appen)
- Proaktiv kommunikation — Dokumentation for, at retten til at gøre indsigelse meddeles ved den første kommunikation, præsenteret klart og separat
- Procedurer for direkte markedsføring — Specifikke procedurer for håndtering af indsigelser mod direkte markedsføring, med dokumentation for øjeblikkelig overholdelse
- Vurderingsramme — En dokumenteret proces til evaluering af indsigelser mod behandling baseret på legitime interesser, herunder kriterierne for afvejningstest
- Beslutningsprotokoller — Optegnelser over indsigelsesafgørelser, herunder begrundelsen for, hvornår en indsigelse ikke blev taget til følge
- uddannelse af personalet — Dokumentation for, at personale, der håndterer indsigelser, forstår de forskellige regler for direkte markedsføring versus anden behandling
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Relateret, men forskelligt: tilbagetrækning af samtykke gælder for samtykkebaseret behandling; indsigelse gælder for legitime interesser og offentlig interesse |
| A.1.3.4 Oplysninger til PII-hovedpersoner | Retten til at gøre indsigelse skal tydeligt meddeles som en del af de givne oplysninger. |
| A.1.3.10 Håndtering af anmodninger | Indsigelser er en kategori af PII-primære anmodninger, der skal håndteres i henhold til dokumenterede procedurer |
| A.1.2.3 Identificér det juridiske grundlag | Det retlige grundlag afgør, om indsigelsen udløser en absolut rettighed (direkte markedsføring) eller en afvejningstest. |
| A.1.3.8 Forpligtelser til at informere tredjeparter | Hvis en indsigelse tages til følge, skal tredjeparter, der har modtaget de personoplysninger, underrettes |
| A.1.3.2 Forpligtelser over for PII-opdragsgivere | Retten til at gøre indsigelse er en af de forpligtelser, der skal identificeres og dokumenteres |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav en del af klausul 7.3.5 (Tilvejebringelse af mekanisme til at gøre indsigelse mod behandling af personoplysninger). 2025-udgaven bevarer kernekravet under A.1.3.6 med vejledning i B.1.3.6. Vægten på at præsentere retten klart og adskilt fra andre oplysninger og den absolutte karakter af indsigelser mod direkte markedsføring forbliver de definerende træk ved denne kontrol. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til håndtering af indsigelser mod behandling?
ISMS.online giver dig værktøjerne til at håndtere indsigelser mod behandling systematisk og i overensstemmelse med reglerne:
- Indsigelsesportal — Giv PII-ledere en dedikeret, letforståelig mekanisme til at indgive indsigelser, adskilt fra generelle forespørgsler
- Automatiseret routing — Indsigelser vedrørende direkte markedsføring markeres med henblik på øjeblikkelig handling, mens indsigelser vedrørende legitim interesse dirigeres til den relevante beslutningstager.
- Afbalanceringstestramme — Strukturerede skabeloner til udførelse og dokumentation af afvejningen af legitime interesser ved vurdering af indsigelser mod ikke-markedsføring
- Beslutningsrevisionsspor — Registrer alle indsigelser, vurderingsprocessen og resultatet med tidsstempler og ansvarlige parter for at sikre fuld ansvarlighed
- Tredjepartsnotifikationsudløsere — Når en indsigelse tages til følge, skal du automatisk markere behovet for at underrette tredjeparter, der har modtaget de personoplysninger, ved at linke til din A.1.3.8 Underretning af tredjeparter procedurer
Ofte Stillede Spørgsmål
Hvad er forskellen på at gøre indsigelse og at trække samtykke tilbage?
Tilbagetrækning af samtykke (A.1.3.5 Ændring eller tilbagetrækning af samtykke) gælder kun, hvor samtykke er det retlige grundlag for behandling. Retten til at gøre indsigelse (A.1.3.6) gælder, hvor behandling er baseret på legitime interesser eller offentlig interesse. Ved direkte markedsføring er retten til at gøre indsigelse absolut uanset retligt grundlag. I praksis har organisationer brug for begge mekanismer: en proces til tilbagetrækning af samtykke for samtykkebaseret behandling og en indsigelsesproces for andre retlige grundlag.
Kan man nogensinde afvise en indsigelse?
For direkte markedsføring, nej. En indsigelse mod behandling af direkte markedsføring skal altid imødekommes uden undtagelse. For behandling baseret på legitime interesser eller offentlig interesse kan du fortsætte behandlingen, hvis du kan påvise vægtige legitime grunde, der tilsidesætter den personoplysningernes interesser, rettigheder og friheder, eller hvis behandlingen er nødvendig for at fastlægge, gøre gældende eller forsvare retskrav. Bevisbyrden påhviler organisationen, og afgørelsen skal dokumenteres.
Hvordan skal retten til at gøre indsigelse meddeles "separat"?
Vejledningen og GDPR Artikel 21(4) kræver, at retten til at gøre indsigelse eksplicit gøres opmærksom på den personoplysninger, der er ansvarlig for personoplysninger, og at retten præsenteres klart og adskilt fra andre oplysninger. I praksis betyder det, at den ikke bør begraves midt i en lang privatlivsmeddelelse. Den bør have sin egen overskrift, sit eget afsnit eller sin egen kommunikation. Ved første kontakt bør den angives direkte i stedet for at blive refereret til via et link til generelle vilkår.
Vores vejledning om krav til revisionsbeviser beskriver den dokumentation, som revisorer forventer i forbindelse med kontrol af registreredes rettigheder.
Databeskyttelsesrådgivere, der forvalter disse forpligtelser, bør læse vores vejledning til databeskyttelsesrådgivere for et komplet overblik.
