четверг, 15 сентября 2016 г.

На сайте Британского института стандартов начато публичное обсуждение проекта стандарта BS 10012:2017 требований к системе менеджмента персональных данных


С 7 сентября 2016 года на сайте Британского института стандартов (BSI) выложен для публичного обсуждения проект британского стандарта BS 10012:2017 «Защита персональных данных - Спецификации для системы менеджмента персональной информации» (Data protection – Specification for a personal information management system), см. http://drafts.bsigroup.com/Home/Details/59102 . Текст документа объёмом свыше 50 страниц доступен при условии бесплатной регистрации на сайте. Обсуждение на сайте продлится до 7 ноября 2016 года.

Документ должен заменить действующую редакцию стандарта BS 10012:2009.


Область применения стандарта описана следующим образом: 
«Настоящий британский стандарт устанавливает требования к системам менеджмента персональной информации (personal information management system, PIMS), которые закладывают основу для поддержания и совершенствования соответствия как требованиям законодательства в отношении защиты персональных данных, так и хорошей практике.

Данный британский стандарт предназначен для использования организациями любого размера и отрасли. Он предназначен для использования лицами, ответственными за планирование, создание, внедрение и поддержание в организации системы менеджмента персональной информации. Стандарт призван обеспечить единую основу для управления персональной информацией и для обеспечения уверенности в том, как она управляется, а также способствовать проведению эффективной оценке как внутренними, так и внешними аудиторами соответствия требованиям законодательства и хорошей практики защиты персональных данных.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Content of the organization
5. Лидерство
6. Планирование
7. Поддержка
8. Оперативное использование
9. Оценка эффективности
10. Совершенствование
Библиография
Приложения
  • Приложение A (информационное): Системы менеджмента, стандартизированные ИСО

  • Приложение B (информационное): Сопоставление закона Евросоюза об общих требованиях к защите персональных данных (General Data Protection Regulation, GDPR) 2016 года и британской практики на основе Закона о защите персональных данных (Data Protection Act 1998, DPA)

  • Приложение C (информационное): Коды, печати, сертификации и знаки доверия (trust marks)
Интересны изменения на концептуальном уровне. Если в действующей редакции стандарта назывались восемь основополагающих принципов:
  • Обработка ПДн осуществляется на законных основаниях, честно и справедливо;

  • ПДн собираются только для конкретных целей и не подвергаются дальнейшей обработке в других несовместимых целях;

  • Собираются адекватные, относящиеся к делу и неизбыточные ПДН;

  • ПДн являются точными и актуальными;

  • ПДн не хранятся дольше, чем это необходимо;

  • Обработка ПДн осуществляется с учетом прав, предоставленных их субъектам законодательством, включая право доступа;

  • ПДн хранятся защищённым образом;

  • ПДн не передаются в страны вне Европейской экономической зоны (European Economic Area, EEA), в которых не обеспечивается их адекватная защита.
В выложенной для обсуждения новой редакции количество принципов сокращено до шести:
  • Обработка ПДн осуществляется на законных основаниях, честно и справедливо, прозрачно;

  • ПДн собираются только для конкретных законных целей;

  • ПДн собираются адекватные, относящиеся к делу и ограниченные в соответствии с принципами ограничения объёмов персональных данных;

  • ПДн являются точными и актуальными, причём предпринимаются все возможные усилия для удаления или исправления ПДн без каких-либо задержек;

  • ПДн хранятся в виде, допускающем идентификацию субъекта, не дольше, чем это необходимо;

  • Обеспечивается надлежащая безопасность, целостность и конфиденциальность персональных данных с использованием технологических и организационных мер.
Я вижу здесь следующие существенные отличия:
  • Подчеркнута необходимость обеспечить прозрачность процессов обработки ПДн;

  • Усилено внимание к вопросу своевременного уничтожения и исправления ПДн;

  • Если раньше упор был на уничтожение ПДн по завершении их обработки, то теперь акцент делается на их обезличивание, с тем, чтобы можно было продолжить хранение данных и использовать их для других целей;

  • Появилось понимание, что безопасность данных одними только техническими мерами не обеспечить, поэтому необходимо использовать комплекс правовых, технических и организационных мер;

  • По понятным причинам исчезло упоминание Европейской экономической зоны :)
Источник: сайт Британского института стандартов
http://drafts.bsigroup.com/Home/Details/59102

Комментариев нет:

Отправить комментарий