ISO27701与GDPR的区别和联系
发布时间:2020-09-21 作者:广汇联合 来源:广汇联合
经过对比和分析不难看出,ISO27001的认证能在极大程度上表明组织符合GDPR要求。对照原条款,就会发现仅有4条GDPR的条款未被ISO27701覆盖。接下来我们给大家具体介绍一下。
其一,需要明确一个数据控制者的概念,个人数据还未从数据主体处获得时就是数据控制者,GDPR要求数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据主体已获知相关信息。
其二,欧盟或成员国法律可以通过立法手段限制本法里面共计12条规定的权利义务范围。
(1)与数据主体行使其权利相关的透明信息、交流及其形式;
(2)收集信息时应向数据主体告知的信息;
(3)并非从数据主体处获取个人数据时应向数据主体告知的信息;
(4)数据主体的数据访问权;
(5)纠正权;
(6)删除权(被遗忘权)
(7)限制处理权;
(8)关于纠正或删除个人数据或限制处理的通知义务;
(9)个人数据的移植权;
(10)拒绝;
(11)自动化个人决定,包括数据画像;
(12)就个人数据泄露与数据主体交流。
其三,规定监管公司在给出数据保护影响评估相关清单时需应用一致性机制的场景。
其四,数据保护影响评估表明:在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管公司咨询。
由此可以看出,GDPR的内容基本均在ISO27701中有所体现,但仍不能认为ISO27701可以作为表明完全符合GDPR的全球性认证,两者术语使用不同,通用性程度不同,具体要求的颗粒度也不同。