不难发现,ISO27701的认证能在极大程度上表明组织符合GDPR的要求。对照原条款,就会发现仅有4条GDPR的条款未被ISO27701覆盖。那么,此项证和GDPR之间的区别和联系到底有哪些呢?下面给大家具体介绍一下。
其一,需要明确一个数据控制者的概念,个人数据还未从数据主体处获得时就是数据控制者,GDPR要求数据控制者应当向数据主体提供所规定提供给数据主体的信息,除非数据主体已获知相关信息。
其二,欧盟或成员国法律可以通过立法手段限制本法里面共记12条规定的权利义务范围。
(1) 与数据主体行使其权利相关的透明信息、交流及其形式
(2) 收集信息时应向数据主体告知的信息
(3) 并非从数据主体处获取个人数据时应向数据主体告知的信息
(4) 数据主体的数据访问权
(5) 纠正权
(6) 删除权(被遗忘权)
(7) 限制处理权
(8) 关于纠正或删除个人数据或限制处理的通知义务
(9) 个人数据的移植权
(10) 拒绝
(11) 自动化个人决定,包括数据画像
(12) 就个人数据泄露与数据主体交流
其三,规定监管公司在给出数据保护影响评估相关清单时需应用一致性机制的场景。
其四,数据保护影响评估表明:在数据控制者缺乏减轻风险的措施会导致高风险时,数据控制者应当在处理前向监管公司咨询。
由此可以看出,GDPR的内容基本均在ISO 27701中有所体现,但仍不能认为ISO 27701可以作为表明完全符合GDPR的全球性认证。两者术语使用不同,通用性程度不同,具体要求的颗粒度也不同。