ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

5.9 Индивидуальное участие и доступ

 

Соблюдение принципа индивидуального участия и доступа означает:

- предоставление субъектом ПДн возможности доступа к ПДн и возможности проверки их ПДн при условии, что их идентификационные данные сначала аутентифицируются с соответствующим уровнем обеспечения уверенности и такой доступ не запрещен действующим законом;

- наличие у субъектов ПДн возможности оспорить точность и полноту ПДн и добиться внесения в них поправок, исправлений или их удаления;

 

- предоставление возможности любых изменений или удалений обработчикам ПДн и третьим лицам, которым ПДн были раскрыты и где они стали известны (Изменение Amd.1:2018);

 

- установление процедур, позволяющих субъектам ПДн осуществить эти права простым, быстрым и эффективным способом, который не влечет за собой неуместное промедление или неоправданные затраты.

Оператор ПДн должен применять соответствующие меры защиты ПДн для обеспечения уверенности в том, что субъектам ПДн доступны строго их собственные ПДн, а не те, которые доступны другим субъектам ПДн, за исключением случаев, когда физическое лицо, осуществляющее доступ, действует в рамках полномочий от лица субъекта ПДн, который неспособен осуществлять свои права доступа. Применимый закон может предоставить физическому лицу право доступа, просмотра и, в определенных случаях, отказа от обработки ПДн. Если физическое лицо не удовлетворено решением проблемы, то содержание неразрешенной проблемы должно быть зарегистрировано организацией. При необходимости, о существовании неразрешенной проблемы должны быть оповещены третьи стороны, имеющие доступ к рассматриваемой информации.