熱線:
Q Q:ISO/IEC27701適用于控制者和處理者的關(guān)鍵要求
發(fā)布時間:2020-06-18 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
一、適用于控制者和處理者的要求
保密性:經(jīng)授權(quán)訪問 PII 的個人必須履行保密協(xié)議。
分析風(fēng)險:必須進(jìn)行隱私風(fēng)險評估以識別 PII 處理風(fēng)險。
監(jiān)管:組織機(jī)構(gòu)必須指定負(fù)責(zé)開發(fā)、實現(xiàn)、維護(hù)和監(jiān)視其治理及隱私項目的個人。
培訓(xùn):可以訪問 PII 的人員需經(jīng)過隱私意識培訓(xùn)。
內(nèi)部過程:組織機(jī)構(gòu)必須為應(yīng)對 PII 泄露事件而采納各種策略和規(guī)程,比如事件響應(yīng)計劃。
記錄保存:ISO 27701 要求組織機(jī)構(gòu)保留所有 PII 處理活動的記錄,包括 PII 在司法轄區(qū)間轉(zhuǎn)移和向第三方披露等。
二、特定于控制者的要求
隱私通告:組織機(jī)構(gòu)必須提供包含 PII 收集、使用和處理相關(guān)具體信息的隱私政策。
處理者合同要求:組織機(jī)構(gòu)必須與其處理者簽訂書面合同,約定具體事項,比如保護(hù) PII、限制處理操作僅可在 PII 特定用途范圍內(nèi),以及提供 PII 泄露通報。
個人權(quán)益:ISO 27701 要求組織機(jī)構(gòu)實現(xiàn)各種機(jī)制,賦予個人訪問、修改和刪除其 PII,以及反對或限制 PII 處理等權(quán)益。
設(shè)計隱私與默認(rèn)隱私:組織機(jī)構(gòu)必須采取措施實現(xiàn)設(shè)計隱私和默認(rèn)隱私原則。
三、特定于處理者的要求
處理限制:組織機(jī)構(gòu)必須僅按控制者或處理者(取決于客戶的角色)的說明處理 PII。
輔助個人權(quán)益:ISO 27701 要求處理者實現(xiàn)幫助客戶遵從個人權(quán)益的種種措施。
轉(zhuǎn)移與披露:處理者必須于 PII 在司法轄區(qū)間轉(zhuǎn)移或任何預(yù)期變化發(fā)生前通告客戶。
分包商:ISO 27701 要求處理者僅可雇傭一家分包商按照客戶合同的條款處理 PII。
