ISO/IEC29151标准主体访问

目标

为PII主体提供访问和审核其PII的能力，并对其准确性和完整性提出质疑。

各组织应采取适当措施，为PII主体提供访问其PII的能力，并获得PII的更正或删除.

组织应该：

a）在适用法律允许的情况下，类似于最初收集PII的方法（例如通过邮件或电子邮件），采用PII主体可以理解和接受的形式，使得个人应该能够及时行使这一访问权；

b）分析所选择的方法不可用的情况，在必要时确定备用解决方案；

c）向PII主体提供访问组织所持有的PII的权利，以评估其准确性并在必要时更正；

d）在可能的范围内，答复应以与提出请求相同的形式提供（例如，如果请求是通过普通邮件提出的，应以普通邮件提供答复）；

e）发布关于PII主体如何请求访问其系统中记录的规则和条件；

f）允许PII主体直接或间接对PII的准确性和完整性提出质疑，并在可能的情况下对其进行修改，更正或删除；

g）制定程序，使PII主体能够以简单，快速和有效的方式行使这些权利，而不会造成不适当的延误（例如，应根据适用的立法或法规或按照组织策略的规定提供回应）或成本；

h）建立一个程序，通知PII主体提交：其请求和成功处置的状态（例如，通过邮寄或电子邮件，注意的是：已收到请求以及他们可能收到答复的日期）。

对于已存档的档案，如果PII控制者通知PII主体提交请求处理的时间表，并提供了合理的响应时间，那么在答复日期方面可能需要留有一些余地。

i）在法律允许的范围内，确保始终可以行使获取权；

j）确保PH只能由与该信息相关的人或该人的授权代理人访问：这可能要求请求访问的人以令人满意的方式证明自己（基于适用的法律或法规，可以要求此类身份验证）；

k）如果需要识别和验证请求者，除非法律或法规另有规定，否则应确定适当的身份识别和身份验证形式：组织应仅要求提供确保正确识别所需的最低限度信息；应妥善保护这些信息；并应只要有必要才能保留；

l）确保只将PII发送给相关的PII主体，并以安全的方式发送；

m）确保可以提供PII主体可能要求的所有信息，同时仍保护其他PII主体的PII信息；

n）在隐私声明中通知他们是否打算就访问征收任何费用（在某些司法管辖区，这可能是法律允许的）；

O）要求PII处理者支持PII控制者，以促进PII主体对其数据的访问、更正或删除权利的行使。

PII主体应拥有审查组织记录系统中保存的PII的访问权。访问包括及时，简化和廉价的数据访问。允许访问记录的组织，可能因资源，法律要求，其他因素而异。