1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 幼儿/小学教育
  5. 教育管理

HYK-MS-231-S01 PII收集管理制度.docxVIP

HYK-MS-231-S01 PII收集管理制度.docx

    1. 1、本文档共9页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    第PAGE1页共NUMPAGES9页

    深圳市企启信息科技有限公司

    PII收集管理制度

    文档编号:HYK-MS-231-S01

    版本信息:V1.0

    创建人:信息安全与隐私安全小组

    审核者:周静

    批准人:黄伟

    编制日期:2022年5月10日

    批准日期:2022年5月10日

    文件变更记录

    版本

    变更描述

    日期

    修订人

    批准日期

    批准人

    V1.0

    初始版本,文档建立

    2022年5月10日

    周静

    2022年5月10日

    黄伟

    目录

    TOC\o1-2\h\u1目的 4

    2适用范围 4

    3术语 4

    4职责 4

    5制度 4

    5.1PII控制者在收集和处理阶段的要求 4

    5.2PII处理者在收集和处理阶段的要求 8

    6相关记录 9

    目的

    为明确PII控制者和PII处理者在PII收集和处理阶段的具体要求,制定本制度。

    适用范围

    适用对象:PII控制者、PII处理者、PII主体

    适用范围:PII收集、PII处理

    术语

    PII收集

    PII处理

    职责

    行政部负责法律法规的识别,客户合同/协议的合规性识别

    行政部负责收集和处理过程中的技术实施

    行政部负责与PII主体的沟通以及确认,并按要求保留相关记录。

    制度

    PII控制者在收集和处理阶段的要求

    收集的目的

    行政部应明确并定义收集PII主体信息的目的,并交领导层审批确认。将收集PII主体信息的目的反馈给行政部,由行政部编制在《客户告知书》中,以清晰的文件化信息告知PII主体,使每一个PII主体知晓本公司收集其信息的目的,PII主体的同意与否的内容应形成在《PII收集记录》中。

    识别法律法规的要求

    行政部负责识别司法管辖区内法律法规的要求,并形成《法律法规清单》,确保行政部在PII的收集和处理过程中符合相关法律法规的要求。

    限制收集

    行政部应充分考虑5.1中定义的收集的目的,并限制PII的收集是适当的和相关的。要求行政部依据《客户告知书》约定的PII收集的目的,制定所要收集的《PII信息目录》,PII信息目录内容按照最小化原则,杜绝收集与目的无关信息,或重复收集与有关的信息;

    当有针对已存在的PII收集和处理过程的任何可选项,PII主体的默认隐私保护意味着每一项选择不能通过默认完成,只能由这个PII主体清楚地选择完成,关于PII主体的默认隐私详见《设计隐私和默认隐私管理制度》。

    确定何时与如何获得同意

    除非法律法规的特殊规定,行政部应在PII处理之前获得PII主体的同意记录,例如签署客户告知书,以何方式获得了PII主体签署的客户告知书表示同意参见5.1.1,并保存相关记录,以便可以将PII主体的同意信息和处理目的相关联。

    行政部识别了某些司法管辖区的特殊要求,详见《法律法规清单》。

    获取和记录同意

    行政部负责获取以及记录PII主体同意的记录,例如客户告知书,应按照文件管理制度要求保管。

    PII主体的同意记录(例如客户告知书)应是:

    -自愿的

    -指定的处理目的

    -清晰无隐瞒的

    与PII处理者合同

    行政部负责识别与PII处理者的合同合规性,要求PII处理者实施ISO27701中附录B红的所有适用的控制措施。

    与PII处理者的合同中,应清晰规定各方职责。

    联合PII控制者

    行政部负责识别与联合PII控制者的协议或合同的合规性,应至少包括以下内容:

    -分享PII的目的或联合PII控制者的关系

    -联合PII控制者与PII控制者的关系

    -联合PII控制者和PII控制者的角色和职责

    -确定收集/处理/分享PII的内容

    -处理过程各项操作的评审(如转移、适用)

    -为PII保护实施技术和管理的安全措施责任

    -防止PII危害责任

    -PII保留或消除的术语

    -违反协议的后果

    -如何满足PII主体的义务

    -如何向PII主体提供联合PII控制者之间签署的协议要素

    -PII主体如何获取另外他们有权获知的信息

    -与PII主体的联系方式

    限制处理过程

    行政部应充分考虑处理PII的目的,利用处理PII的ICT系统操作权限管理限制相关的、成比例的PII的处理过程。

    PII的处理过程,包括

    -公布

    -PII存储

    -访问PII信息

    限制PII处理过程应通过信息和隐私安全和隐私策略以及制度进行管理。默认应被限制为最小化,需要识别默认的目的,限制处理过程的默认隐私,详见《设计隐私和默认隐私管理制度》。

    与PII相关的处理记录

    行政部依据收集的《PII信息目录》中PII数据信息,按照PII处理流程负责建立《PII处理活动列表》,应包括以下内容

    -处理的类型

    -处理的目的

    -PII信息类型和数据主体的描述(例如儿童)

    -PII信息类型的接收人,公开的内容(包括第三国家或国际组织的接收人)

    -技术和管理的安全措施的描述

    -隐私

    您可能关注的文档

    最近下载

    文档评论(0)

    152****3299 + 关注
    实名认证
    文档贡献者

    四川省南充市人,在重庆汽车行业从事质量工程师一职

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >