ISO29151标准目的合法性
发布时间:2020-06-23 作者:广汇联合 来源:广汇联合
目标:确保处理PII的目的符合适用法律,并依赖于可允许的法律依据。
控制
组织应采取适当措施确保PII处理符合适用法律并依赖于可允许的法律依据。
保护PII的实施指南
组织应该:
a)提出的处理是基于法律基础(例如,执法、公共安全、法律义务或PII主体的合法利益)的同意进行的;
b)确定拟处理过程是否受法律(例如执法,公共安全或法律义务)的约束,该法律禁止PII主体在处理其PII时行使其选择权;
注:如果PII的收集或处理是在国际上执行的,则在适用的不同法律框架下,需要同意以及处理它的正确方法可能会有所不同。
c)使用特定的流程或信息系统,确定允许处理PII的合法权限;
d)确保处理流程符合所有适用的法规、主管当局的解释。在确定其目的的合法性时,应考虑处理的情况包括:PII控制者与PII主体之间潜在关系的性质,科学技术发展、社会和文化态度的变化。
组织应制定程序确保PII的处理不以违反或可能违反法律义务的方式进行,包括法定条款,普通法或合同条款。
如果组织有工作委员会或工会,按照适用的法律,处理雇员的PII时,要求与这些机构协商。
收集记录PII应咨询负责PII保护的人(有时称为CPO),或者就收集PII的计划或活动的授权时,同法律顾问进行咨询。