ISO/IEC29151標準主體訪問

目標

為PII主體提供訪問和審核其PII的能力，并對其準確性和完整性提出質疑。

各組織應采取適當措施，為PII主體提供訪問其PII的能力，并獲得PII的更正或刪除.

組織應該：

a）在適用法律允許的情況下，類似于最初收集PII的方法（例如通過郵件或電子郵件），采用PII主體可以理解和接受的形式，使得個人應該能夠及時行使這一訪問權；

b）分析所選擇的方法不可用的情況，在必要時確定備用解決方案；

c）向PII主體提供訪問組織所持有的PII的權利，以評估其準確性并在必要時更正；

d）在可能的范圍內(nèi)，答復應以與提出請求相同的形式提供（例如，如果請求是通過普通郵件提出的，應以普通郵件提供答復）；

e）發(fā)布關于PII主體如何請求訪問其系統(tǒng)中記錄的規(guī)則和條件；

f）允許PII主體直接或間接對PII的準確性和完整性提出質疑，并在可能的情況下對其進行修改，更正或刪除；

g）制定程序，使PII主體能夠以簡單，快速和有效的方式行使這些權利，而不會造成不適當?shù)难诱`（例如，應根據(jù)適用的立法或法規(guī)或按照組織策略的規(guī)定提供回應）或成本；

h）建立一個程序，通知PII主體提交：其請求和成功處置的狀態(tài)（例如，通過郵寄或電子郵件，注意的是：已收到請求以及他們可能收到答復的日期）。

對于已存檔的檔案，如果PII控制者通知PII主體提交請求處理的時間表，并提供了合理的響應時間，那么在答復日期方面可能需要留有一些余地。

i）在法律允許的范圍內(nèi)，確保始終可以行使獲取權；

j）確保PH只能由與該信息相關的人或該人的授權代理人訪問：這可能要求請求訪問的人以令人滿意的方式證明自己（基于適用的法律或法規(guī)，可以要求此類身份驗證）；

k）如果需要識別和驗證請求者，除非法律或法規(guī)另有規(guī)定，否則應確定適當?shù)纳矸葑R 別和身份驗證形式：組織應僅要求提供確保正確識別所需的最低限度信息；應妥善保護這些信息；并應只要有必要才能保留；

l）確保只將PII發(fā)送給相關的PII主體，并以安全的方式發(fā)送；

m）確?？梢蕴峁㏄II主體可能要求的所有信息，同時仍保護其他PII主體的PII信息；

n）在隱私聲明中通知他們是否打算就訪問征收任何費用（在某些司法管轄區(qū)，這可能是法律允許的）；

O）要求PII處理者支持PII控制者，以促進PII主體對其數(shù)據(jù)的訪問、更正或刪除權利的行使。

PII主體應擁有審查組織記錄系統(tǒng)中保存的PII的訪問權。訪問包括及時，簡化和廉價的數(shù)據(jù)訪問。允許訪問記錄的組織，可能因資源，法律要求，其他因素而異。