为了更好地理解新标准,应理解以下关键术语:控制器,联合控制器,处理器和子处理器。

这些或类似术语在包括GDPR在内的许多隐私法律和法规中都可以找到。

通常,“控制者”是指示首先收集和处理PII的原因的实体,“联合控制者”是两个或多个共同提供此方向的实体。

“处理器”是代表该控制器负责处理此类数据的独立法律实体(即,不是雇员),“子处理器”是由另一处理器聘用的处理器。

新发布的标准既适用于PII的控制器(以及联合控制器),也适用于PII的处理器(包括子处理器),而不管其运营所在的管辖区和部门如何,并且还包括对GDPR和ISO / IEC的映射29100,ISO/IEC 27018和ISO/IEC 29151安全框架。

ISO/IEC 27701要求与其他隐私法律的映射,例如《 2018年加利福尼亚消费者隐私法案》(CCPA),《格拉姆-里奇-布莱利法案》(GLBA)和《 1996年健康保险携带和责任法案》(HIPAA)应该是预期的,并且将通过提供证明遵守这些监管制度的通用标准来帮助组织。

下面概述了适用于控制器和处理器的某些关键ISO/IEC 27701关键要求:

适用于控制器和处理器的要求

保密。

被授权访问PII的个人必须签署保密协议。

分析风险。

必须进行隐私风险评估以识别PII处理风险。

监督 组织必须任命一个负责开发,实施,维护和监视其治理和隐私计划的人员。

训练。

需要对有权使用PII的人员进行隐私意识培训。

内部流程。

组织必须采用各种政策和程序,例如针对违反PII的事件响应计划。

保持记录中。

ISO/IEC 27701要求组织保留所有PII处理活动的记录,包括管辖区之间的PII转移和向第三方的披露。

控制器特定要求

隐私权声明。

组织必须提供隐私政策,其中包含有关PII收集,使用和处理的特定信息。

处理器合同要求。

组织必须与处理者签订书面合同,处理特定项目,例如保护PII,将处理限制为收集PII的特定目的,并提供违反PII的通知。

个人权利。

ISO/IEC 27701要求组织实施各种机制,以容纳个人访问,更正和删除其PII的权利,以及反对或限制PII的处理等。

设计和默认情况下的隐私。

组织必须采取措施,通过设计和默认来实施隐私原则。

处理器特定要求

处理限制。

组织必须仅根据控制器或处理器的书面说明来处理PII(取决于客户的角色)。

协助个人权利。

ISO/IEC 27701要求处理者采取措施,协助客户遵守个人权利。

转让和披露。

加工商必须提前将司法管辖区之间的PII转移或其任何预期变更告知客户。

分包商。

ISO/IEC 27701要求处理器仅根据客户合同的条款委聘分包商处理PII。

自动调用自定义字段 投票自定义表单开始自定义表单结束

  • 打印本文
  • 关闭本页