ISO/IEC29151标准公开性和透明度

目标

向PII主体提供关于PII控制人清晰且易于获取的策略信息，有关处理PII的程序和做法。

组织应实施适当的措施，向PII主体提供有关PII处理的策略，程序和实践的适当信息。

组织应该：

a）向PII主体提供关于PII控制方有关策略，程序和实践的清晰且易于获取的信息；

b）披露PII控制方为了限制，访问，纠正，删除其信息，而向PII主体提供的选择和方式。

另外，组织应该描述：

a）组织收集的PII和收集该信息的目的；

b）组织如何在内部使用PII；

c）该组织是否与外部实体共享PII,这些实体的类别以及此类共享的目的；

d）PII主体是否有能力同意PII的具体使用或分享以及如何行使此类同意权。

另外，组织应该描述：

e）PII将被保留多久；

f）组织是否销售或转发数据以供数据分析组织处理，以及适用于PII风险的控制细节；

g）在适当的情况下，PII主体如何获得PII的访问权限，以便修改、更正；

h）关于个人身份信息如何得到保护的适当信息；

i）确保PII主体获得其隐私活动信息的访问权，并能够与其CPO进行沟通；

j）根据要求提供有关隐私违规的信息，这些信息已经或可能导致了请求人PII的隐私泄露，以及请求人可以采取的相关行动，以减轻由于违规所引起的额外风险。

组织还应该采用不同的机制向公众宣传他们的隐私惯例，包括但不限于PIA报告，隐私报告，公开可用网页，电子邮件发布，博客和定期出版物（例如季度通讯）。组织还应该使用面向公众的电子邮件地址或电话热线，以便公众提供反馈，或向隐私办公室提出有关隐私惯例的问题。