ISO27701隐私信息管理体系认证标准与GDPR的关系 发布时间: 2020-10-16 15:19
ISO27701隐私信息管理体系认证标准与GDPR的关系
ISO 27701的认证能在极大程度上表明组织符合GDPR的要求。根据附录D ISO 27701与GDPR适用条款(Article 4-42, 44-49)之间的映射关系,通过对比GDPR的原条款,发现ISO 27701覆盖了绝大部分GDPR的要求,仅个别GDPR的条款未被ISO 27701覆盖,条款涉及的主要内容如下:
Article 14个人数据还未从数据主体处获得时(数据控制者)应提供的信息 (5)(a):数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据主体已获知相关信息
Article 23限制:欧盟或成员国法律可以通过立法手段限制本法第12条至第22条和第34条规定的权利义务范围
Article 35数据保护影响评估 (6):此段针对监管机构,规定了在给出数据保护影响评估相关清单时需应用一致性机制的场景
Article 36事先咨询 (4):数据保护影响评估表明在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管机构咨询
尽管根据ISO 27701和GDPR的映射来看,GDPR的内容基本均在ISO 27701中有所体现,但仍不能认为ISO 27701可以作为表明完全符合GDPR的全球性认证。主要是由于通用性的国际标准无法完全符合某个国家或地区具体的法律法规。由于ISO 27701为国际通用地标准,某些要求仅通用性地指出应遵守某些适用地法律法规,未包含具体地规定,而GDPR则明确指出具体地要求
例1:对于儿童个人数据收集方面的规定
GDPR:明确指出对于不满16周岁的儿童,处理行为只有或至少在获得了该儿童的监护人的同意或授权时才是合法的,年龄界限可依据特定目的调整,但不得低于13周岁。
ISO 27701:对某些类型的数据收集(例如用于科学研究)和某些类型的PII主体(例如儿童)可能有额外的要求。组织应考虑此类要求并记录同意的机制如何满足这些要求。
例2:向监管机构报告个人数据泄露
GDPR:数据控制者应当自发现之时起72小时内,按照第55条的规定将个人数据泄露的情况报告监管机构。
ISO 27701:一些司法管辖区对违规响应实施了具体规定,包括通知。在这些司法管辖区运营的组织应确保他们能够证明遵守这些法规。
此外,个别术语的定义和具体要求的颗粒度也有所不同。