熱線:ISO/IEC27701適用于控制者和處理者的關鍵要求
發(fā)布時間:2020-06-18 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
一、適用于控制者和處理者的要求
保密性:經授權訪問 PII 的個人必須履行保密協(xié)議。
分析風險:必須進行隱私風險評估以識別 PII 處理風險。
監(jiān)管:組織機構必須指定負責開發(fā)、實現(xiàn)、維護和監(jiān)視其治理及隱私項目的個人。
培訓:可以訪問 PII 的人員需經過隱私意識培訓。
內部過程:組織機構必須為應對 PII 泄露事件而采納各種策略和規(guī)程,比如事件響應計劃。
記錄保存:ISO 27701 要求組織機構保留所有 PII 處理活動的記錄,包括 PII 在司法轄區(qū)間轉移和向第三方披露等。
二、特定于控制者的要求
隱私通告:組織機構必須提供包含 PII 收集、使用和處理相關具體信息的隱私政策。
處理者合同要求:組織機構必須與其處理者簽訂書面合同,約定具體事項,比如保護 PII、限制處理操作僅可在 PII 特定用途范圍內,以及提供 PII 泄露通報。
個人權益:ISO 27701 要求組織機構實現(xiàn)各種機制,賦予個人訪問、修改和刪除其 PII,以及反對或限制 PII 處理等權益。
設計隱私與默認隱私:組織機構必須采取措施實現(xiàn)設計隱私和默認隱私原則。
三、特定于處理者的要求
處理限制:組織機構必須僅按控制者或處理者(取決于客戶的角色)的說明處理 PII。
輔助個人權益:ISO 27701 要求處理者實現(xiàn)幫助客戶遵從個人權益的種種措施。
轉移與披露:處理者必須于 PII 在司法轄區(qū)間轉移或任何預期變化發(fā)生前通告客戶。
分包商:ISO 27701 要求處理者僅可雇傭一家分包商按照客戶合同的條款處理 PII。
