ISO/IEC29151标准承包商和PII处理者的隐私保护要求

ISO/IEC29151标准承包商和PII处理者的 隐私保护 要求 目标 通过合同或其他方式（如内部的强制性策略）确保第三方接受者至少提供同等水平的 PII保护。 控制 各组织应采取适当措施，确保承包商和PII处理商实施适当水平的PII保护。 保护PII的实施指南 组织应该: a） 服务级别协议中规定了 PII处理者必须满足PII保护要求； b） 监督和审核承包商对这些要求的执行情况； c） 为承包商和

ISO/IEC29151标准隐私影响评估

ISO/IEC29151标准隐私影响评估 目标 建立隐私影响评估流程，并在必要时执行隐私影响评估。 控制 如果一个组织正在处理PII,那么组织应该建立进行PIA所需的程序。 保护PII的实施指南 隐私影响评估通常由认真负责并充分对待PII原则的组织进行。在某些国家地区，PIA 可能需要满足法律和监管要求。ISO/IEC 29134可以用作PIA的指导。 在执行隐私风险评估时，组织应考虑资产，威胁，漏洞

ISO/IEC29151标准有效的PII治理

ISO/IEC29151 标准有效的PII治理 目标 建立有效的PII治理。 控制 组织应采取适当措施，建立与PII处理相关的有效治理。 保护PII的实施指南 组织应该： a） 任命一名负责制定、实施、维护整个组织范围内治理隐私的人员，确保遵守所有和 信息系统处理PH相关的适用法律、法规；被指定的人员可以是CPO;董事会成员可以在专 职工作人员的支持下承担该责任； b）确保被任命的人员具有监

ISO/IEC29151标准投诉管理

ISO/IEC29151 标准投诉管理 目标 建立有效的内部投诉处理和纠正程序，以供PII主体使用。 控制 组织应采取适当措施，有效处理来自PII主体的投诉。 保护PII的实施指南 组织应该： 组织应实施投诉管理流程，并保持一个联系点，以接收和回应PII主体关于组织隐私惯 例的抱怨，疑虑或问题。 各组织应提供以下投诉机制：PH主体随时可以访问这些投诉机制，包括成功提交投诉 所需的所

ISO/IEC29151标准补救和参与

ISO/IEC29151 标准补救和参与 目标 对披露个人数据的PII处理者和第三方提供修改，更正或删除。 控制 除非相关立法或法规禁止，组织应采取适当措施，为PII主体提供纠正，修改或删除组 织维护的PIIo组织还应建立一种机制，通过该机制将任何更正，修改或删除通知PII处理 者，并尽可能通知披露个人身份信息的第三方。 保护PII的实施指南 组织应该： a） 确保委托人总是可以行使纠

ISO/IEC29151标准主体访问

ISO/IEC29151 标准主体访问 目标 为PII主体提供访问和审核其PII的能力，并对其准确性和完整性提出质疑。 控制 各组织应采取适当措施，为PII主体提供访问其PII的能力，并获得PII的更正或删除. 保护PII的实施指南 组织应该： a） 在适用法律允许的情况下，类似于最初收集PII的方法（例如通过邮件或电子邮件）， 采用PII主体可以理解和接受的形式，使得个人应该能够及时行使这一访问