ISO27001认证
热线:
Q Q:ISO29151标准PII的同意权
发布时间:2020-06-22 作者:广汇联合 来源:广汇联合
目标:通过行使有意义、知情、自由的同意权,使PII主体积极参与有关处理其PII的决策过程,除非法律和法规另有限制。
组织应为PII主体提供必要的手段,以行使有意义的、知情的、明确的和自由的同意权。除非:PII主体不能自由拒绝同意,适用法律允许在没有主体同意的情况下处理PIL保始PII的实施指南组织应该:
a)确定获得PII主体同意的流程,并分析所选择的流程不可用的情况下,确定替代解决方案,以确保在任何处理开始前获得同意;
b)在可行、适当、法律上要求的情况下,为PII主体提供同意的手段,以确保在任何处理开始前获得同意。处理内容包括收集,存储,更改,检索,咨询,披露,识别,匿名,传播或以其他方式提供,删除或销毁PH;
c)在法律代理人(例如代表儿童或法定无行为能力的人)提供同意的情况下,存储同意记录;
d)如有必要,向PII主体通报PII转让给第三方的所有情况,并为PU主体提供他们同意此类转让的适当方式;
e)在任何新的使用或披需先前收集的PH之前,从PI1主体获得同意,并确保在进一步处理开始前获得该同意;
f)确保在处理目的方面以知情和透明的方式获得同意,并确保为某一种特定目的而获得同意;
g)例如通过更新的公告通知;
h)为PII主体修改其同意范围提供了一种机制:任何修改同意都应该及时采取行动,并且应该根据修改后的同意,修改或停止处理;
i)确保同意遵守所有适用的法律要求,包括在适当情况下明确同意敏感PII的要求;
j)在适当的情况下,允许隐含的同意’其中PII主体已经清楚地知道处理并且没有反对;
k)在所有加工操作实施之前事先通知所有加工操作;
l)在需要时确认PII主体或PII主体授权代理人的身份,提交处理同意书:
要求评审的信息应保持在最低限度,只有在必要时才能保留,并且在不再需要时应妥善处理。
其他信息用干保护PII
根据适用法律,组织应通过选择或默示同意方式获得同意。
选择同意是首选的方法,但并不总是可行的。选择加入,则要求PII主体应采取肯定行动,允许组织收集或使用PII。如果使用电子介质收集同意,则组织应确定是否需要简单的选择,或是否需要双重选择。
如果选择退出,组织可以假定PII主体已经隐含同意处理其PII,除非PII主体采取肯定行动以其他方式发出信号。
默示同意通常是由个人的行为、缺省行为、特殊情况推断出来的。
默示同意示例:客户向在线零售商提供送货地址,零售商严格使用该值息以交付客户购买的商品。
在收集识别号码(例如,社会安全号码,居民身份证号码,护照号码)时,组织应提供切实可行的手段以获得PH主体的单独同意。
例如,组织可以提供PII主体的分项选择,以便他们为了不同目的而联系他们。在这种情况下,组织会建立同意机制,以确保组织的运营尽可能符合PII主体的选择。
根据适用的监管要求和实际考虑,同意可以是电子版或硬拷贝。
如果PII转移到另一个组织或从另一个组织转移而来,那么组织应建立一个更新其记录的流程,以反映PII主体做出的内容更新和同意变更(例如,修改,撤销),并确保这些更新/更改将传递给与其共享PII的组织。
只有确保所需记录、更新的信息最小量,才能从PII主体收集并与其他组织共享。组织应定期审査他们的过程,以确保不会处理不必要的PII。
