ISO27701:2019認(rèn)證標(biāo)準(zhǔn)要求包括:
1.收集與處理
識別處理目的與處理的法律依據(jù)����;明確獲取同意的方式�����、時(shí)間,并留存相應(yīng)記錄��;進(jìn)行隱私影響評估����。
2.廣告營銷
在未事先征得個(gè)人信息主體同意的前提下,不會(huì)將個(gè)人信息用于廣告營銷����。
3.處理義務(wù)
確定并記錄對個(gè)人信息主體所履行的法定義務(wù)和商業(yè)道德義務(wù),并提供履行這些義務(wù)的方法���;積極響應(yīng)用戶的修改權(quán)、撤回同意權(quán)�����、拒絕權(quán)�����、刪除權(quán)���、訪問權(quán)等個(gè)人信息權(quán)利并留存相應(yīng)記錄�����。
4.默認(rèn)的隱私保護(hù)
確保流程和系統(tǒng)的設(shè)計(jì)能夠使個(gè)人信息的收集和處理(包括使用��、披露�����、存儲(chǔ)����、傳輸和刪除)于小必要范圍,并留存相關(guān)記錄��。
5.共享轉(zhuǎn)移
識別是否存在共享��、轉(zhuǎn)移��、披露�、跨境傳輸個(gè)人信息的情形,并記錄具體行為�。
6.合同約定
簽署的書面合同應(yīng)約定個(gè)人信息保護(hù)的相關(guān)措施,例如操作權(quán)限控制�����、個(gè)人信息泄露報(bào)告等。
7.員工培訓(xùn)
可訪問個(gè)人信息的員工應(yīng)簽署保密協(xié)議�����,并參與隱私保護(hù)與數(shù)據(jù)安全培訓(xùn)���。
8.整體規(guī)劃
識別相關(guān)方的需求及期待��,并明確管理體系的范圍����;確定內(nèi)部的人員責(zé)任及相應(yīng)的目標(biāo)與規(guī)劃����;明確具體的運(yùn)行計(jì)劃和控制措施��,評估并處置風(fēng)險(xiǎn)�;內(nèi)部定期評審并持續(xù)完善管理體系。
