ИСО и МЭК: Опубликован новый стандарт ISO/IEC 27556:2022 управления предпочтениями в плане обеспечения неприкосновенности частной жизни

В начале октября 2022 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27556:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Ориентированная на пользователя концепция управления предпочтениями в плане обеспечения неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection – User-centric privacy preferences management framework) объёмом 30 страниц основного текста, см. https://www.iso.org/standard/71674.html и https://www.iso.org/obp/ui/#!iso:std:71674:en .

О подготовке данного документа я уже рассказывала на блоге здесь: http://rusrim.blogspot.com/2022/02/isoiec-27556.html .

Документ подготовлен подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».

Во вводной части документа отмечается следующее:

«В настоящем документе описывается ориентированная на пользователя концепция обработки персональных данных (ПДн, англ.: PII – Н.Х.) на основе предпочтений в плане обеспечения неприкосновенности частной жизни и их администрирования в информационно-коммуникационных (ИКТ) системах.

В обрабатывающих персональные данные ИКТ-системах реализуются механизмы контроля и управления для обеспечения неприкосновенности частной жизни. Чтобы внедрить эффективные механизмы контроля и управления для обеспечения неприкосновенности частной жизни в ИКТ-системах, контроль над персональными данными осуществляется с использованием соответствующих предпочтений, установленных (прямо или косвенно) соответствующим субъектом персональных данных, включая сведения о согласии на обработку ПДн.

Когда персональные данные обрабатывается на отличных от согласия правовых основаниях, ИКТ-системы могут, где это уместно, включать механизмы для повышения прозрачности и корректировки обработки персональных данных в соответствии с предпочтениями субъекта персональных данных.

Субъекты персональных данных могут осознанно использовать систему только тогда, когда они понимают спектр последствий этого для неприкосновенности их частной жизни, и такое понимание улучшается, когда учитываемые при обработке опции обеспечения неприкосновенности частной жизни интуитивно понятным образом согласуются с обработкой персональных данных, осуществляемой в ИКТ-системе.

Могут оказаться полезными механизмы, которые включают предпочтения субъекта ПДн в плане обеспечения неприкосновенности частной жизни в машиночитаемые настройки для каждой системы, обрабатывающей персональные данные. Кроме того, собранные таким образом персональные данные может быть раскрыты или переданы другим поставщикам услуг в соответствии с предпочтениями субъекта персональных данных.

Данная концепция предназначена для того, чтобы помочь организациям включить ориентированные на пользователя механизмы обработки персональных данных в свои системы в соответствии с принципами «запроектированного обеспечения неприкосновенности частной жизни» (privacy-by-design), и реализовать обработку персональных данных на основе предпочтений субъектов ПДн в плане обеспечения неприкосновенности частной жизни.

Концепция включает компонент, предназначенный для управления информацией о предпочтениях в плане обеспечения неприкосновенности частной жизни; и в настоящем документе описаны суб-компоненты, реализованные в рамках этого компонента. Однако настоящий документ не устанавливает контент и формат информации о предпочтениях в плане обеспечения неприкосновенности частной жизни.

Данный документ можно использовать:

• Для разработки и внедрения ИКТ-систем, которые обрабатывают персональные данные или передают их между организациями;
  
  
• Для разработки платформ обмена персональными данными на основе предпочтений в плане обеспечения неприкосновенности частной жизни;
  
  
• Для предоставления услуг по управлению предпочтениями в плане обеспечения неприкосновенности частной жизни.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Ориентированная на пользователя концепция обработки персональных данных (PII)
6. Требования и рекомендации в отношении инструмента управления предпочтениями в плане обеспечения неприкосновенности частной жизни (privacy preference manager, PPM)
7. Дополнительные соображения по поводу PPM-инструмента в системе менеджмента персональных данных (или «системе менеджмента информации, относящейся к неприкосновенности частной жизни» - Privacy Information Management System, PIMS – Н.Х.)
Приложение A: Варианты обработки персональных данных на основе предпочтений в плане обеспечения неприкосновенности частной жизни
Приложение B: Роли, выполняемые действующими лицами и компонентами в рамках каждого сервиса, приведенного в качестве варианта применения
Приложение C: Руководство по конфигурированию (настройке) управления предпочтениями в плане обеспечения неприкосновенности частной жизни
Приложение D: Поддержка проектирования управления предпочтениями в плане обеспечения неприкосновенности частной жизни
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/71674.html
https://www.iso.org/obp/ui/#!iso:std:71674:en