ISO27701:2019認證標準要求包括:
1.收集與處理
識別處理目的與處理的法律依據(jù);明確獲取同意的方式����、時間,并留存相應記錄;進行隱私影響評估��。
2.廣告營銷
在未事先征得個人信息主體同意的前提下�����,不會將個人信息用于廣告營銷�。
3.處理義務
確定并記錄對個人信息主體所履行的法定義務和商業(yè)道德義務,并提供履行這些義務的方法��;積極響應用戶的修改權(quán)��、撤回同意權(quán)��、拒絕權(quán)�����、刪除權(quán)�����、訪問權(quán)等個人信息權(quán)利并留存相應記錄��。
4.默認的隱私保護
確保流程和系統(tǒng)的設(shè)計能夠使個人信息的收集和處理(包括使用��、披露�����、存儲����、傳輸和刪除)于小必要范圍,并留存相關(guān)記錄�。
5.共享轉(zhuǎn)移
識別是否存在共享、轉(zhuǎn)移�、披露、跨境傳輸個人信息的情形�����,并記錄具體行為���。
6.合同約定
簽署的書面合同應約定個人信息保護的相關(guān)措施���,例如操作權(quán)限控制、個人信息泄露報告等��。
7.員工培訓
可訪問個人信息的員工應簽署保密協(xié)議�,并參與隱私保護與數(shù)據(jù)安全培訓。
8.整體規(guī)劃
識別相關(guān)方的需求及期待,并明確管理體系的范圍����;確定內(nèi)部的人員責任及相應的目標與規(guī)劃;明確具體的運行計劃和控制措施��,評估并處置風險���;內(nèi)部定期評審并持續(xù)完善管理體系�。
