Hvad kræver kontrol A.2.2.4?
Organisationen må ikke bruge personoplysninger, der behandles i henhold til en kontrakt, til markedsførings- og reklameformål uden at godtgøre, at der er indhentet forudgående samtykke fra den relevante personoplysningers hovedansvarlige. Organisationen må ikke gøre et sådant samtykke til en betingelse for at modtage tjenesten.
Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og skaber et specifikt, absolut forbud: databehandlere må ikke genbruge kunders personoplysninger til deres egne markedsførings- eller reklameaktiviteter. Dette går ud over den generelle formålsbegrænsning i A.2.2.3 Organisationens formål ved eksplicit at nævne markedsføring som en forbudt anvendelse og tilføje kravet om ikke-bundling — kan samtykke til markedsføring ikke knyttes til levering af tjenesteydelser.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.2.2.4) indeholder følgende vejledning:
- Dokumentoverholdelse — Overholdelse af PII-behandleres kundens kontraktlige krav bør dokumenteres, især hvor der er planlagt markedsføring eller reklame
- Ingen tvungen inkludering af markedsføring — Organisationer bør ikke insistere på at inkludere markedsførings- eller reklameanvendelser, hvor udtrykkeligt samtykke ikke er indhentet på rimelig vis fra personoplysninger.
- Se også A.2.2.5: Krænkende instruktion for relaterede krav
- Se også A.2.2.6: Kundens forpligtelser for relaterede krav
Vejledningen bemærker også, at denne kontrol supplerer den mere generelle begrænsningskontrol i A.2.2.3 Organisationens formål og erstatter eller tilsidesætter den ikke. Selv hvis der indhentes samtykke til markedsføring, skal behandlingen stadig overholde kundens dokumenterede instruktioner.
Hvordan relaterer dette sig til GDPR?
Kontrol A.2.2.4 knyttes til følgende GDPR artikel:
- Artikel 7 (4) — Ved vurderingen af, om samtykket er givet frivilligt, skal der tages størst muligt hensyn til, om opfyldelsen af en kontrakt er betinget af samtykke til behandling af personoplysninger, der ikke er nødvendige for opfyldelsen af den pågældende kontrakt.
Artikel 7(4) omhandler direkte problemet med "bundling": samtykke til markedsføring gives sandsynligvis ikke frivilligt (og er derfor gyldigt), hvis det er en betingelse for at modtage tjenesten. Dette gør kravet om ikke-bundling i A.2.2.4 til et GDPR nødvendighed af compliance, ikke blot bedste praksis.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.2.4 som en selvstændig kontrol med klarere implementeringsvejledning i B.2.2.4. Den eksplicitte bemærkning er, at denne kontrol supplerer, men ikke erstatter A.2.2.3 Organisationens formål er en nyttig præcisering. Se Bilag F korrespondancetabel for den fulde kortlægning.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.2.2.4 vil revisorer typisk se efter:
- Politik for brug af markedsføring — En dokumenteret politik, der forbyder brugen af kunders personoplysninger til markedsføring eller reklame uden gyldigt samtykke
- Samtykkeregistreringer — Hvor der forekommer markedsføringsmæssig brug, dokumentation for, at der er indhentet forudgående, frit givet samtykke fra personoplysninger, og at samtykket ikke var inkluderet i tjenesten.
- Kontraktvilkår — Dokumentation for, at servicekontrakter ikke gør markedsføringssamtykke til en betingelse for levering af tjenesteydelser
- Tekniske kontroller — Dokumentation for, at tekniske foranstaltninger forhindrer brugen af kunders personoplysninger i marketingsystemer uden passende tilladelse
- uddannelse af personalet — Træningsoptegnelser, der viser, at marketing- og salgsteams forstår forbuddet mod at bruge databehandlerens personoplysninger til markedsføring
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.2.2.3 Organisationens formål | Markedsføringsbrug er et specifikt tilfælde af formålsbegrænsning — begge kontroller gælder |
| A.2.2.2 Kundeaftale | Markedsføringsrestriktioner bør være eksplicitte i kundekontrakten |
| A.1.2.4 Fastslå samtykke | Kravene på den dataansvarliges side til bestemmelse af, hvornår samtykke er nødvendigt |
| A.1.2.5 Indhentning og registrering af samtykke | Samtykke til markedsføring skal indhentes og registreres korrekt |
| A.2.2.7 Forarbejdningsregistre | Registrering af markedsføringssamtykke er en del af databehandlerens behandlingsregistreringer. |
Hvem gælder denne kontrol for?
A.2.2.4 gælder udelukkende for PII-processorerDet forbyder direkte databehandlere at bruge personoplysninger indhentet gennem servicekontrakter til deres egne markedsføringsformål. Dette er især relevant for SaaS-udbydere, cloudtjenester og udbydere af administrerede tjenester, der kan være fristet til at udnytte kundedata til krydssalg, produktmarkedsføring eller målretning af annoncer.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til styring af marketingcompliance?
ISMS.online giver praktiske værktøjer til at sikre overholdelse af markedsføringsregler som databehandler:
- Politikstyring — Udgiv og håndhæv politikker for markedsføringsbegrænsning med medarbejderanerkendelse og versionskontrol
- Samtykkesporing — Hvor der indhentes samtykke til markedsføring, skal samtykkeregistreringer med udløbsdatoer og tilbagetrækningshåndtering spores og administreres
- Kortlægning af dataflow — Kortlæg datastrømme for at identificere, hvor kundernes PII potentielt kan nå marketingsystemer, og implementer passende kontroller
- Overvågning af overholdelse — Overvåg overholdelse af markedsføringsrestriktioner på tværs af teams og systemer
- Træningsledelse — Levere og følge op på marketing compliance-træning for relevante medarbejdere
Ofte Stillede Spørgsmål
Kan en databehandler inkludere samtykke til markedsføring i sine servicevilkår?
En databehandler kan indhente samtykke til markedsføring, men må ikke gøre dette samtykke til en betingelse for at modtage tjenesten. Det betyder, at tjenesten skal være fuldt tilgængelig uden at der gives samtykke til markedsføring. Anmodningen om samtykke skal være klart adskilt fra tjenestevilkårene, gives frivilligt, være specifik og let at trække tilbage. Forhåndsafkrydsede samtykkefelter eller fravalgsmekanismer opfylder ikke standarden for gyldigt forudgående samtykke.
Gælder denne kontrol for aggregerede eller anonymiserede data?
Hvis data er blevet fuldstændig anonymiseret i en sådan grad, at de primære personoplysninger ikke længere kan identificeres (direkte eller indirekte), er det ikke længere personoplysninger og falder uden for denne kontrol. Tærsklen for anonymisering er dog høj – pseudonymiserede data eller aggregerede data, hvorfra enkeltpersoner potentielt kan genidentificeres, forbliver personoplysninger. Databehandlere bør være forsigtige med at hævde, at data er anonymiserede, og bør have en dokumenteret metode til at verificere anonymiseringens effektivitet.
Hvad er konsekvenserne af at overtræde denne kontrol?
Brug af kundepersonoplysninger til uautoriseret markedsføring kan resultere i: kontraktbrud med kunden (potentielt udløsende opsigelse og erstatning); omklassificering som dataansvarlig i henhold til GDPR (med fulde forpligtelser og ansvar for den dataansvarlige); håndhævelsesforanstaltninger fra tilsynsmyndigheden; og omdømmeskade. I henhold til GDPR behandles en databehandler, der selv bestemmer sine formål med behandling (såsom markedsføring), som dataansvarlig for den pågældende behandling i henhold til artikel 28(10).
SaaS-organisationer står over for unikke processorudfordringer – se vores vejledning til SaaS-platforme.
Vores vejledning om krav til revisionsbeviser dækker den dokumentation, som revisorer forventer i forbindelse med databehandlerkontroller.
