ISO27701:2019認(rèn)證標(biāo)準(zhǔn)要求包括:
1.收集與處理
識(shí)別處理目的與處理的法律依據(jù)���;明確獲取同意的方式��、時(shí)間����,并留存相應(yīng)記錄;進(jìn)行隱私影響評(píng)估�。
2.廣告營(yíng)銷
在未事先征得個(gè)人信息主體同意的前提下,不會(huì)將個(gè)人信息用于廣告營(yíng)銷����。
3.處理義務(wù)
確定并記錄對(duì)個(gè)人信息主體所履行的法定義務(wù)和商業(yè)道德義務(wù),并提供履行這些義務(wù)的方法�;積極響應(yīng)用戶的修改權(quán)、撤回同意權(quán)���、拒絕權(quán)����、刪除權(quán)�����、訪問權(quán)等個(gè)人信息權(quán)利并留存相應(yīng)記錄��。
4.默認(rèn)的隱私保護(hù)
確保流程和系統(tǒng)的設(shè)計(jì)能夠使個(gè)人信息的收集和處理(包括使用��、披露��、存儲(chǔ)、傳輸和刪除)于小必要范圍�����,并留存相關(guān)記錄��。
5.共享轉(zhuǎn)移
識(shí)別是否存在共享���、轉(zhuǎn)移、披露�����、跨境傳輸個(gè)人信息的情形��,并記錄具體行為��。
6.合同約定
簽署的書面合同應(yīng)約定個(gè)人信息保護(hù)的相關(guān)措施�����,例如操作權(quán)限控制���、個(gè)人信息泄露報(bào)告等����。
7.員工培訓(xùn)
可訪問個(gè)人信息的員工應(yīng)簽署保密協(xié)議,并參與隱私保護(hù)與數(shù)據(jù)安全培訓(xùn)��。
8.整體規(guī)劃
識(shí)別相關(guān)方的需求及期待�,并明確管理體系的范圍;確定內(nèi)部的人員責(zé)任及相應(yīng)的目標(biāo)與規(guī)劃���;明確具體的運(yùn)行計(jì)劃和控制措施��,評(píng)估并處置風(fēng)險(xiǎn)��;內(nèi)部定期評(píng)審并持續(xù)完善管理體系��。
