ISO29151标准目的指南
发布时间:2020-06-23 作者:广汇联合 来源:广汇联合
目标:在不迟于收集个人身份信息时指出收集个人身份信息的目的,并限制后续使用以达到原始目的。
控制
组织应该与他们将要收集的PII主体沟通,明确收集、处理PII的目的。这样的通信应该在PII被收集之前。
保护PII的实施指南
组织应在收集或首次使用信息之前向PII主体传达目的,使用本指南的语言要既清楚又适合于具体情况,并在处理敏感的PII时给出充分的解释。
通常,应用法定语言明确的授权PII具体收集和使用。当法定书面语言被广泛书写并因此需要解释时,组织应与CPO和法律顾问协商,确保授权与具体的PII收集之间存在明确的联系。
一旦确定了具体目的,当组织用于收集PII时,应在相关的隐私合规文件或表格中明确说明目的。此外,为避免未经授权收集或使用个人识别信息,处理个人识别值息的人员应接受组织机构的培训。
组织应该:
a)确定PII仅在业务流程中使用;
b)以逻辑方式分离对每个过程有用的PII;
c)业务流程(包括工资管理,休假请求管理,职业发展)管理不同的访问权限,并建立专门的IT环境处理最敏感的PII的系统;
d)定期确认PII有效分离,未被授权的人不能接入网络。