ISO 27701(PIMS)与GDPR的比较。性质、范围、数据主体权利、国际传输和拉丁美洲组织的合规策略。
ISO 27701和GDPR共同致力于保护个人隐私,但方法截然不同。ISO 27701是ISO 27001的扩展,建立可认证的隐私信息管理体系(PIMS);GDPR是具有法律效力的法规,规定可执行的权利和可量化的处罚。
| 方面 | ISO 27701:2019 | GDPR (EU Reg. 2016/679) |
|---|---|---|
| 性质 | ISO 27001的可认证扩展。不能独立实施:需要符合ISO 27001的ISMS作为基础。为控制者和处理者增加个人数据(PII)处理的专门控制和指南。 | 欧盟法规,在27个成员国具有直接效力和域外效力。适用于处理欧盟居民个人数据的任何组织,无论组织设立在何处。 |
| 数据主体权利 | 要求组织建立管理数据主体权利的程序,但不定义具体权利。参考根据司法管辖区和当地数据保护法律的适用义务。 | 定义8项具体可执行权利:访问、更正、删除(被遗忘权)、限制处理、可携带性、反对、不受自动化决策约束和撤回同意。30天响应期限。 |
| 国际传输 | 要求组织识别和记录跨司法管辖区的PII传输并应用适当控制,但不规定具体的传输法律机制。与司法管辖区无关。 | 禁止向没有充分保护水平的国家传输数据,除非适用特定保障措施:标准合同条款(SCC)、约束性企业规则(BCR)、欧盟委员会充分性决定或数据主体明确同意。 |
| 违规通知 | 要求隐私事件管理程序和影响评估,但不规定具体通知期限。组织根据其司法管辖区的法律义务确定程序。 | 有义务在检测到个人数据泄露后72小时内通知数据保护机构。如果泄露对个人权利构成高风险,还必须及时通知受影响的数据主体。 |
| 处罚 | 无直接法律制裁。不合规的后果是失去或无法获得认证。但ISO 27701认证可作为在数据保护监管机构面前的尽职调查证据。 | 罚款最高2000万欧元或年全球营业额4%(以较高者为准)。每个成员国的数据保护机构拥有独立的处罚权。最高罚款因缺乏处理的法律依据和不充分的国际传输而施加。 |
ISO 27701和GDPR直接互补。ISO标准提供保护个人数据的管理体系和运营控制;GDPR建立法律权利、义务和处罚。对于处理欧洲居民数据的拉丁美洲组织,ISO 27701认证是向监管机构证明尽职调查的最有力方式之一。
不能。ISO 27701是ISO 27001的扩展,需要已实施的ISMS作为前提。ISO 27701的隐私控制建立在ISO 27001的安全控制之上。27001+27701联合认证是标准路径。
不能自动证明,但是尽职调查的实质性证据。ISO 27701在其附件D中包含对GDPR的具体映射。数据保护机构认可认证证明了系统化的合规努力,但不免除72小时违规通知等具体监管义务。
是的。ISO 27701与司法管辖区无关,与多部数据保护法律保持一致:LGPD(巴西)、第25.326号法律(阿根廷)、LFPDPPP(墨西哥)等。PIMS结构适用于处理个人数据的任何组织。
拥有成熟的ISO 27001 ISMS,扩展到ISO 27701需要额外3至6个月。主要工作包括识别个人数据流、实施专门的隐私控制、指定隐私负责人和准备额外的PIMS文档。