ISO/IEC29151标准主体访问
发布时间:2020-07-02 作者:广汇联合 来源:广汇联合
ISO/IEC29151标准主体访问
目标
为PII主体提供访问和审核其PII的能力,并对其准确性和完整性提出质疑。控制
各组织应采取适当措施,为PII主体提供访问其PII的能力,并获得PII的更正或删除.
保护PII的实施指南
组织应该:
a) 在适用法律允许的情况下,类似于最初收集PII的方法(例如通过邮件或电子邮件), 采用PII主体可以理解和接受的形式,使得个人应该能够及时行使这一访问权;
b) 分析所选择的方法不可用的情况,在必要时确定备用解决方案;
c) 向PII主体提供访问组织所持有的PII的权利,以评估其准确性并在必要时更正;
d) 在可能的范围内,答复应以与提出请求相同的形式提供(例如,如果请求是通过普 通邮件提出的,应以普通邮件提供答复);
e) 发布关于PII主体如何请求访问其系统中记录的规则和条件;
f) 允许PII主体直接或间接对PII的准确性和完整性提出质疑,并在可能的情况下对其 进行修改,更正或删除;
g) 制定程序,使PII主体能够以简单,快速和有效的方式行使这些权利,而不会造成 不适当的延误(例如,应根据适用的立法或法规或按照组织策略的规定提供回应)或成本;
h) 建立一个程序,通知PII主体提交:其请求和成功处置的状态(例如,通过邮寄或 电子邮件,注意的是:已收到请求以及他们可能收到答复的日期)。
对于已存档的档案,如果PII控制者通知PII主体提交请求处理的时间表,并提供了合 理的响应时间,那么在答复日期方面可能需要留有一些余地。
i) 在法律允许的范围内,确保始终可以行使获取权;
j) 确保PH只能由与该信息相关的人或该人的授权代理人访问:这可能要求请求访问的 人以令人满意的方式证明自己(基于适用的法律或法规,可以要求此类身份验证);
k) 如果需要识别和验证请求者,除非法律或法规另有规定,否则应确定适当的身份识 别和身份验证形式:组织应仅要求提供确保正确识别所需的最低限度信息;应妥善保护这些 信息;并应只要有必要才能保留;
l) 确保只将PII发送给相关的PII主体,并以安全的方式发送;
m) 确保可以提供PII主体可能要求的所有信息,同时仍保护其他PII主体的PII信息;
n) 在隐私声明中通知他们是否打算就访问征收任何费用(在某些司法管辖区,这可能 是法律允许的);
O)要求PII处理者支持PII控制者,以促进PII主体对其数据的访问、更正或删除权利 的行使。
PII主体应拥有审查组织记录系统中保存的PII的访问权。访问包括及时,简化和廉价 的数据访问。允许访问记录的组织,可能因资源,法律要求,其他因素而异。