Вопросы защиты персональных данных продолжают находиться в центре внимания разработчиков стандартов, и в настоящее время в Европе постепенно подходит к завершению работа над новым стандартом ЕN 17529 «Запроектированная и по умолчанию защита персональных данных и неприкосновенности частной жизни» (Data protection and privacy by design and by default).
На сайте Британского института стандартов можно познакомиться с проектом данного документа и (до 11 августа 2020 года) принять участие в его публичном обсуждении, см. https://standardsdevelopment.bsigroup.com/projects/2020-00802#/section
Страница стандарта BS EN 17529 на сайте BSI
Во вводной части документа сказано следующее:
«Настоящий документ предлагает разработчикам компонентов и подсистем формализованный процесс выявления объектов и требований по защите неприкосновенности частной жизни, а также необходимое руководство по проведению соответствующей оценки. Он также помогает понять многоуровневую структуру ответственности и обязательств производителей и поставщиков услуг (с отсылкой к «Общих правилах защиты персональных данных» Евросоюза (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 ) – в частности, к статье 23 (эта статья ограничивает защиту ПДн, если это требуется в интересах национальной безопасности и т.п. – Н.Х.), а также к правилам, применимым к приложениям, используемым государственными органами).Содержание документа следующее:
В ст. 25 «Общих правил защиты персональных данных» (которая называется «Запроектированная и по умолчанию защита персональных данных» - Н.Х.) операторам персональных данных и, неявным, производителям вменяется в обязанность внедрить запроектированную и по умолчанию защиту персональных данных. Цель настоящего документа – предоставить производителям и / или поставщикам услуг требования в отношении реализации запроектированной и по умолчанию защиты персональных данных и неприкосновенности частной жизни (Data protection and Privacy by Design and by Default, DPbDD) на ранних стадиях разработки их продуктов и услуг, то есть до (или независимо от) какого-либо конкретного применения или интеграции, - с тем, чтобы убедиться, что они максимально готовы к обеспечению неприкосновенности частной жизни на предполагаемых рынках.
Система менеджмента качества в соответствии с европейским стандартом EN ISO 9001 закладывает основу для процесса создания продуктов и услуг, которые запроектировано включают защиту персональных данных и неприкосновенности частной жизни. Где это необходимо, требования EN ISO 9001 соответствующим образом расширяются. Кроме того, - и в той степени, насколько это применимо на этапе разработки продуктов или услуг, - на основе GDPR сформулированы конкретные цели управления и требования, исполнение которых ожидается от соответствующего поставщика продуктов или услуг. Наконец, описан механизм самодекларирования, который будет применяться, когда это возможно и с учётом разнообразия ожидаемых вариантов использования, в отношении соответствующим образом спроектированных и разработанных продуктов и услуг, помогая тем самым ориентироваться операторам персональных данных, субъектам персональных данных и обществу в целом.
Для некоторых целей обработки и для некоторых категорий персональных данных необходимо провести оценка воздействия на неприкосновенность частной жизни и защиту персональных данных (privacy impact assessment, PIA / data protection impact assessment, DPIA) в соответствии со стандартом EN ISO/IEC 29134 «Информационные технологии - Методы и средства обеспечения безопасности – Руководство по оценке воздействия на неприкосновенность частной жизни» (Information technology - Security techniques - Guidelines for privacy impact assessment), и в дополнение к требованиям, приведенным в настоящем документе. Необходимо также привести в исполнение следующий из такой оценки план обработки рисков для неприкосновенности частной жизни.
Настоящий документ предназначен для использования производителями, поставщиками, разработчиками аппаратного и программного обеспечения, системными интеграторами, предоставляющими продукты и услуги для использования операторами персональных данных; а также для использования операторами персональных данных при выборе продуктов и услуг для обработки данных.
Европейское введениеИсточники: сайт BSI / сайт DIN
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общие положения
5. Процесс разработки продуктов и услуг с учётом требований по защите персональных данных (privacy aware)
6. Базовые требования к проектированию продуктов и услуг
7. Требования к самодекларированию того, что при проектировании были учтены требования к защите персональных данных
https://standardsdevelopment.bsigroup.com/projects/2020-00802#/section
https://www.din.de/en/getting-involved/standards-committees/nia/projects/wdc-proj:din21:264709040
Комментариев нет:
Отправить комментарий