среда, 23 февраля 2022 г.

ИСО: Готовится новый стандарт ISO/DIS 31700 «Запроектированная защита персональных данных для потребительских товаров и услуг»

Как сообщил сайт Международной организации по стандартизации (ИСО), в настоящее время идёт голосование национальных органов по стандартизации по проекту стандарта ISO/DIS 31700 «Защита прав потребителей - Запроектированная защита персональных данных для потребительских товаров и услуг» (Consumer protection - Privacy by design for consumer goods and services), объёмом 38 страниц основного текста, см. https://www.iso.org/standard/76772.html и https://www.iso.org/obp/ui/#!iso:std:76772:en . Документ подготовлен техническим комитетом ИСО PC 317 «Защита прав потребителей: Запроектированная защита персональных данных для потребительских товаров и услуг» (Consumer protection: privacy by design for consumer goods and services).

О работе над данным документом я уже рассказывала здесь: http://rusrim.blogspot.com/2019/07/iso-31700.html

Во вводной части документа отмечается следующее:

«Запроектированная защита неприкосновенности частной жизни (персональных данных) - это подход, при котором обеспечение неприкосновенности частной жизни потребителя принимается во внимание во время проектирования и разработки продукта, с учётом всего жизненного цикла продукта - от момента времени, предшествующего его выходу на рынок, затем покупки и использования его потребителями, и до конечной фазы жизненного цикла, когда, наконец, перестают использоваться все экземпляры этого продукта.

Это означает, что в продукте по умолчанию предусмотрены ориентированные на потребителя меры и средства контроля и управления, а также настройки, связанные с защитой неприкосновенности частной жизни (персональных данных), которые обеспечивают надлежащие уровни защиты, не создавая при этом чрезмерного бремени на потребителя.

Примечание: Термин «запроектированная защита неприкосновенности частной жизни» впервые был введён в оборот Уполномоченным по информации и защите неприкосновенности частной жизни (Information and Privacy Commissioner) канадской провинции Онтарио. Канадская концепция включает «7 основополагающих принципов», которые подчеркивают необходимость упреждающего учёта на этапе проектирования (или ранее) требований к обеспечению неприкосновенности частной жизни на протяжении всего жизненного цикла персональных данных. Субъекту ПДн не нужно брать на себя бремя усилий по включению такой защиты при использовании услуги или продукта, поскольку ему «автоматически» (нет необходимости совершения им активных действий) обеспечивается соблюдение его фундаментального права на защиту персональных данных.

Запроектированная защита неприкосновенности частной жизни (персональных данных) может быть описана с помощью трех руководящих принципов, приведенных ниже.

Предоставление возможностей и обеспечение прозрачности

Растёт потребность в декларировании реализации программным обеспечением защиты персональных данных, в систематических методах обеспечения должной предусмотрительности в отношении защиты ПДн, и в большей прозрачности и подотчётности при разработке и эксплуатации обрабатывающих персональные данные программных систем. Цель состоит в том, чтобы способствовать более широкому внедрению, завоевать доверие, получить доступ к рынку и добиться успеха на рынке, а также продемонстрировать соответствие законодательно-нормативным требованиям. Намерение заключается в продвижении инновационных решений посредством анализа точки зрения потребителей и сжатого и точного документирования того, как обеспечивался учёт соображений, связанных защитой неприкосновенности частной жизни.

Институционализация (организационное закрепление) и ответственность за защиту ПДн

В современном цифровом мире коллективно используемых платформ, взаимосвязанных устройств, облачных приложений и персонализации, становится всё более важным разграничить ответственность и точки зрения потребителя продуктов, которые осуществляют обработку ПДн, от ответственности и точек зрения других заинтересованных сторон в тех экосистемах, в которых этот продукт функционирует.

Запроектированная защита неприкосновенности частной жизни (персональных данных) уделяет основное внимание точке зрения потребителя при институционализации продуманных норм защиты ПДн во всей экосистеме. Поведенческое взаимодействие потребителя с продуктом (продуктами) и его потребности в плане защиты ПДн на протяжении всего жизненного цикла продукта принимаются во внимание на ранних этапах [создания продукта – Н.Х.]. При таком подходе решения, касающиеся потребностей потребителей в защите ПДн, будут не только более последовательными и систематическими, но и станут функциональными требованиями наряду с интересами других заинтересованных сторон.

В рамках запроектированной защиты неприкосновенности частной жизни (персональных данных) внимание также фокусируется на подотчетности, ответственности и лидерстве. Эти три элемента абсолютно необходимы для успешного внедрения и организационного закрепления процесса запроектированной защиты неприкосновенности частной жизни. Демонстрация приверженность руководства идее запроектированной защиты неприкосновенности частной жизни необходима для внедрения и организационного закрепления учёта вопросов защиты неприкосновенности частной жизни в процессе разработки продукта.

Экосистема и жизненный цикл

Запроектированная защита неприкосновенности частной жизни (персональных данных) может использоваться применительно к более широким информационным экосистемам, в рамках которых работают и функционируют как технологии, так и организации. Защита как неприкосновенности частной жизни, так и прав потребителя выигрывает от применения всестороннего комплексного подхода, учитывающего максимально возможное количество контекстуальных факторов, -даже (или особенно) в тех случаях, когда эти факторы находятся вне прямого контроля какого-либо конкретного действующего лица, организации или компоненты системы.

Подход запроектированной защиты неприкосновенности частной жизни (персональных данных) применим в отношении любых продуктов, которые используют персональные данные, будь то физические товары, нематериальные услуги, такие как «программное обеспечение как услуга», или же их сочетание. Данный подход задуман как масштабируемый в соответствии с потребностями организаций любого типа, действующих в различных странах и разных секторах, вне зависимости от размера организации или её зрелости.

Существует возможность того, что на любом из этапов жизненного цикла продукта будут выявлены дополнительные проблемы, связанные с защитой неприкосновенности частной жизни (ПДн) и потребность в соответствующих мерах и средствах контроля и управления, в том числе во время разработки продуктов или после их развёртывания потребителями. Методологии запроектированной защиты неприкосновенности частной жизни (персональных данных) поддерживают итерационные подходы к разработке продуктов, когда дополнительные меры усиления защиты ПДн могут быть разработаны и развёрнуты спустя длительное времени после этапа первоначального проектирования.

Основной целевой аудиторией настоящего документа являются те сотрудники организаций и третьих сторон, которые несут ответственность за концептуализацию, проектирование, производство, тестирование, эксплуатацию, обслуживание, поддержание и уничтожение потребительских товаров или услуг.

... Настоящий документ устанавливает высокоуровневые требования к запроектированной защите неприкосновенности частной жизни (персональных данных), с целью обеспечения такой защиты на протяжении всего жизненного цикла потребительского продукта, в том числе включая обработку данных самим потребителем.»

Познакомиться с текстом проекта и принять участие в его обсуждении (до 1 марта 2022 года, при условии регистрации на сайте) сейчас можно на сайте Британского института стандартов (см. рис.) по адресу https://standardsdevelopment.bsigroup.com/projects/2019-01426#/section .


Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Общие положения
5. Требования к информационному взаимодействию с потребителями
6. Требования к менеджменту риска
7. Разработка, развертывание и использование разработанных мер и средств защиты неприкосновенности частной жизни
8. Требования к концу жизненного цикла персональных данных (PII)
Библиография

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/76772.html
https://www.iso.org/obp/ui/#!iso:std:76772:en
https://standardsdevelopment.bsigroup.com/projects/2019-01426#/section

Комментариев нет:

Отправить комментарий