ISO27001認(rèn)證
熱線:
Q Q:ISO29151標(biāo)準(zhǔn)目的合法性
發(fā)布時(shí)間:2020-06-23 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
目標(biāo):確保處理PII的目的符合適用法律,并依賴于可允許的法律依據(jù)。
控制
組織應(yīng)采取適當(dāng)措施確保PII處理符合適用法律并依賴于可允許的法律依據(jù)。
保護(hù)PII的實(shí)施指南
組織應(yīng)該:
a)提出的處理是基于法律基礎(chǔ)(例如,執(zhí)法、公共安全、法律義務(wù)或PII主體的合法利益)的同意進(jìn)行的;
b)確定擬處理過程是否受法律(例如執(zhí)法,公共安全或法律義務(wù))的約束,該法律禁止PII主體在處理其PII時(shí)行使其選擇權(quán);
注:如果PII的收集或處理是在國際上執(zhí)行的,則在適用的不同法律框架下,需要同意以及處理它的正確方法可能會(huì)有所不同。
c)使用特定的流程或信息系統(tǒng),確定允許處理PII的合法權(quán)限;
d)確保處理流程符合所有適用的法規(guī)、主管當(dāng)局的解釋。在確定其目的的合法性時(shí),應(yīng)考慮處理的情況包括:PII控制者與PII主體之間潛在關(guān)系的性質(zhì),科學(xué)技術(shù)發(fā)展、社會(huì)和文化態(tài)度的變化。
組織應(yīng)制定程序確保PII的處理不以違反或可能違反法律義務(wù)的方式進(jìn)行,包括法定條款,普通法或合同條款。
如果組織有工作委員會(huì)或工會(huì),按照適用的法律,處理雇員的PII時(shí),要求與這些機(jī)構(gòu)協(xié)商。
收集記錄PII應(yīng)咨詢負(fù)責(zé)PII保護(hù)的人(有時(shí)稱為CPO),或者就收集PII的計(jì)劃或活動(dòng)的授權(quán)時(shí),同法律顧問進(jìn)行咨詢。
