lSO29151标准目的合法性

目标:确保处理PII的目的符合适用法律，并依赖于可允许的法律依据。

控制

组织应采取适当措施确保PII处理符合适用法律并依赖于可允许的法律依据。

保护PII的实施指南

组织应该:

a)提出的处理是基于法律基础（例如，执法、公共安全、法律义务或PI主体的合法利益)的同意进行的;

b）确定拟处理过程是否受法律（例执法，公共安全或法律义务)的约束，该法律禁止PII主体在处理其PI时行使其选择权;

注:如果PII的收集或处理是在国际上执行的，则在适用的不同法律框架下，需要同意以及处理它的正确方法可能会有所不同。

c)使用特定的流程或信息系统，确定允许处理PII的合法权限;

d)确保处理流程符合所有适用的法规、主管当局的解释。在确定其目的的合法性时，应考虑处理的情况包括: PII控制者与PII主体之间潜在关系的性质，科学技术发展、社会和文化态度的变化。

组织应制定程序确保PII的处理不以违反或可能违反法律义务的方式进行，包括法定条款，普通法或合同条款。

如果组织有工作委员会或工会，按照适用的法律，处理雇员的PlI时，要求与这些机构协商。

收集记录PII应咨询负责PII保护的人(有时称为CPO),或者就收集PII的计划或活动的授权时，同法律顾问进行咨询。