На сайте Британского института стандартов начато публичное обсуждение проекта стандарта BS 10012:2017 требований к системе менеджмента персональных данных

С 7 сентября 2016 года на сайте Британского института стандартов (BSI) выложен для публичного обсуждения проект британского стандарта BS 10012:2017 «Защита персональных данных - Спецификации для системы менеджмента персональной информации» (Data protection – Specification for a personal information management system), см. http://drafts.bsigroup.com/Home/Details/59102 . Текст документа объёмом свыше 50 страниц доступен при условии бесплатной регистрации на сайте. Обсуждение на сайте продлится до 7 ноября 2016 года.

Документ должен заменить действующую редакцию стандарта BS 10012:2009.

Область применения стандарта описана следующим образом: 

«Настоящий британский стандарт устанавливает требования к системам менеджмента персональной информации (personal information management system, PIMS), которые закладывают основу для поддержания и совершенствования соответствия как требованиям законодательства в отношении защиты персональных данных, так и хорошей практике.

Данный британский стандарт предназначен для использования организациями любого размера и отрасли. Он предназначен для использования лицами, ответственными за планирование, создание, внедрение и поддержание в организации системы менеджмента персональной информации. Стандарт призван обеспечить единую основу для управления персональной информацией и для обеспечения уверенности в том, как она управляется, а также способствовать проведению эффективной оценке как внутренними, так и внешними аудиторами соответствия требованиям законодательства и хорошей практики защиты персональных данных.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Content of the organization
5. Лидерство
6. Планирование
7. Поддержка
8. Оперативное использование
9. Оценка эффективности
10. Совершенствование
Библиография
Приложения

• Приложение A (информационное): Системы менеджмента, стандартизированные ИСО


• Приложение B (информационное): Сопоставление закона Евросоюза об общих требованиях к защите персональных данных (General Data Protection Regulation, GDPR) 2016 года и британской практики на основе Закона о защите персональных данных (Data Protection Act 1998, DPA)


• Приложение C (информационное): Коды, печати, сертификации и знаки доверия (trust marks)

Интересны изменения на концептуальном уровне. Если в действующей редакции стандарта назывались восемь основополагающих принципов:

• Обработка ПДн осуществляется на законных основаниях, честно и справедливо;


• ПДн собираются только для конкретных целей и не подвергаются дальнейшей обработке в других несовместимых целях;


• Собираются адекватные, относящиеся к делу и неизбыточные ПДН;


• ПДн являются точными и актуальными;


• ПДн не хранятся дольше, чем это необходимо;


• Обработка ПДн осуществляется с учетом прав, предоставленных их субъектам законодательством, включая право доступа;


• ПДн хранятся защищённым образом;


• ПДн не передаются в страны вне Европейской экономической зоны (European Economic Area, EEA), в которых не обеспечивается их адекватная защита.

В выложенной для обсуждения новой редакции количество принципов сокращено до шести:

• Обработка ПДн осуществляется на законных основаниях, честно и справедливо, прозрачно;


• ПДн собираются только для конкретных законных целей;


• ПДн собираются адекватные, относящиеся к делу и ограниченные в соответствии с принципами ограничения объёмов персональных данных;


• ПДн являются точными и актуальными, причём предпринимаются все возможные усилия для удаления или исправления ПДн без каких-либо задержек;


• ПДн хранятся в виде, допускающем идентификацию субъекта, не дольше, чем это необходимо;


• Обеспечивается надлежащая безопасность, целостность и конфиденциальность персональных данных с использованием технологических и организационных мер.

Я вижу здесь следующие существенные отличия:

• Подчеркнута необходимость обеспечить прозрачность процессов обработки ПДн;


• Усилено внимание к вопросу своевременного уничтожения и исправления ПДн;


• Если раньше упор был на уничтожение ПДн по завершении их обработки, то теперь акцент делается на их обезличивание, с тем, чтобы можно было продолжить хранение данных и использовать их для других целей;


• Появилось понимание, что безопасность данных одними только техническими мерами не обеспечить, поэтому необходимо использовать комплекс правовых, технических и организационных мер;


• По понятным причинам исчезло упоминание Европейской экономической зоны :)

Источник: сайт Британского института стандартов
http://drafts.bsigroup.com/Home/Details/59102