在之前的文章里我们分析了ISO27701认证在体系架构和体系实施层面的价值,今天我们来简单介绍一下它在法律符合性层面的价值。
ISO/IEC 27701:2019是一部兼顾不同国家地区法规要求的标准,ISO/IEC 27701:2019无法完全符合GDPR作为欧盟法规的细节性要求(例如:发现Data Breach之后72小时上报监管机构、DPIA评估之 后无法有效降低高风险时应在处理前向监管机构咨询等) ,但在隐私原则、数据主体权利方面,与GDPR几乎是吻合的。
对于面向欧盟客户(不论是To B还是ToC)开展个人数据处理业务的组织,如果希望更好的证明自身对标GDPR的符合程度,ISO/IEC 27701和BS 10012“双证模式”是个不错的选择;对于其他面向非欧盟客户开展个人数据处理业务的组织,认证ISO/IEC 27701是很好的选择。