ISO27001認(rèn)證
熱線:
Q Q:ISO/IEC29151標(biāo)準(zhǔn)公開性和透明度
發(fā)布時(shí)間:2020-07-01 作者:廣匯聯(lián)合 來源:廣匯聯(lián)合
ISO/IEC29151標(biāo)準(zhǔn)公開性和透明度
目標(biāo)
向PII主體提供關(guān)于PII控制人清晰且易于獲取的策略信息,有關(guān)處理PII的程序和 做法。
控制
組織應(yīng)實(shí)施適當(dāng)?shù)拇胧?,向PII主體提供有關(guān)PII處理的策略,程序和實(shí)踐的適當(dāng)信息。
保護(hù)PII的實(shí)施指南
組織應(yīng)該:
a)向PII主體提供關(guān)于PII控制方有關(guān)策略,程序和實(shí)踐的清晰且易于獲取的信息;
b)披露PII控制方為了限制,訪問,糾正,刪除其信息,而向PII主體提供的選擇和方 式。
另外,組織應(yīng)該描述:
a)組織收集的PII和收集該信息的目的;
b)組織如何在內(nèi)部使用PII;
c)該組織是否與外部實(shí)體共享PII,這些實(shí)體的類別以及此類共享的目的;
d)PII主體是否有能力同意PII的具體使用或分享以及如何行使此類同意權(quán)。
另外,組織應(yīng)該描述:
e)PII將被保留多久;
f)組織是否銷售或轉(zhuǎn)發(fā)數(shù)據(jù)以供數(shù)據(jù)分析組織處理,以及適用于PII風(fēng)險(xiǎn)的控制細(xì)節(jié);
g)在適當(dāng)?shù)那闆r下,PII主體如何獲得PII的訪問權(quán)限,以便修改、更正;
h)關(guān)于個(gè)人身份信息如何得到保護(hù)的適當(dāng)信息;
i)確保PII主體獲得其隱私活動(dòng)信息的訪問權(quán),并能夠與其CPO進(jìn)行溝通;
j)根據(jù)要求提供有關(guān)隱私違規(guī)的信息,這些信息已經(jīng)或可能導(dǎo)致了請(qǐng)求人PII的隱私泄 露,以及請(qǐng)求人可以采取的相關(guān)行動(dòng),以減輕由于違規(guī)所引起的額外風(fēng)險(xiǎn)。
組織還應(yīng)該采用不同的機(jī)制向公眾宣傳他們的隱私慣例,包括但不限于PIA報(bào)告,隱 私報(bào)告,公開可用網(wǎng)頁,電子郵件發(fā)布,博客和定期出版物(例如季度通訊)。組織還應(yīng)該使用面向公眾的電子郵件地址或電話熱線,以便公眾提供反饋,或向隱私辦公室提出有關(guān)隱私慣例的問題。
