суббота, 23 сентября 2023 г.

ИСО и МЭК: Опубликованы технические спецификации ISO/IEC TS 27560:2023 «Структура информации в документе о согласии на обработку ПДн»

25 августа 2023 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации технических спецификаций ISO/IEC TS 27560:2023 «Технологии защиты персональных данных – Структура информации в документе о согласии на обработку ПДн» (Privacy technologies - Consent record information structure) объёмом 60 страниц, см. https://www.iso.org/standard/80392.html и https://www.iso.org/obp/ui/en/#!iso:std:80392:en .

Документ подготовлен подкомитетом SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединенного технического комитета ИСО/МЭК JTC1.

Во вводной части документа отмечается

«В настоящем документе приведены требования и рекомендации для организаций по документированию информации о:

  • согласии, полученном от физических лиц до сбора и обработки их персональных данных (ПДн); и

  • средствах, с помощью которых субъекты ПДн отслеживают такие согласия.

Стандарт ISO/IEC 29184:2020 «Информационные технологии - Онлайн-уведомления об обработке персональных данных и согласия на обработку» (Information technology -  Online privacy notices and consent) определяет элементы управления, которые формируют содержание и структуру онлайн-уведомлений об обработке ПДн, а также процесс запроса согласия на сбор и обработку ПДн у субъектов ПДн. Стандарт ISO/IEC 29184 ориентирован на обязанности операторов ПДн и организаций, обрабатывающих ПДн от имени оператора ПДн, по информированию субъектов ПДн о том, как обрабатываются их персональные данные. ISO/IEC 29184 не учитывает потребности субъектов ПДн.

Настоящий документ развивает подход ISO/IEC 29184, рассматривая вопрос о предоставления субъекту ПДн документа для личного хранения, включающего информацию о соглашении об обработке ПДн и о взаимодействии. Такой документ называется «квитанцией о согласии» (consent receipt).

В настоящем документе определяется структура, которая используется при менеджменте согласий как субъектами ПДн, так и операторами ПДн: а именно, специфицируются данные, которые организация должна хранить для обеспечения надлежащего целостного документирования (с учетом установленных мер и средств контроля и управления), а также объект («квитанция о согласии»), который предоставляется лицу, чьи персональные данные обрабатываются.

В настоящем документе не специфицируется ни протокол обмена документами о согласия или квитанциями о согласии, ни структуры для такого обмена.»


«… Настоящий документ определяет интероперабельную, открытую и расширяемую информационную структуру для документирования согласия субъектов ПДн на обработку ПДн. В данном документе содержатся требования и рекомендации по использованию квитанций о согласии и документов о согласии, связанных с согласием субъекта ПДн на обработку его ПДн, с целью поддержки:

  • предоставления субъекту ПДн документа о согласии;

  • обмена информацией о согласии между информационными системами;

  • управления жизненным циклом задокументированного согласия.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор документов о согласии и квитанций о согласии
6. Элементы документа о согласии и квитанции о согласии
Приложение А: Примеры документов и квитанций о согласии
Приложение B: Пример жизненного цикла документа о согласии
Приложение C: Вопросы производительности и эффективности
Приложение D: Структура кодирования документа о согласии
Приложение E: Безопасность документов и квитанций о согласии
Приложение F: Использование автоматизированных сигналов и механизмов связи для информирования о предпочтениях и решениях субъекта ПДн
Приложение G: Руководство по применению квитанций о согласии в контексте систем менеджмента персональных данных (Privacy Information Management System, PIMS)
Приложение H: Взаимосвязи с положениями стандарта ISO/IEC 29184:2020 «Информационные технологии - Онлайн-уведомления об обработке персональных данных и согласия на обработку» (Information technology -  Online privacy notices and consent).
Библиография

На сайте LinkedIn шведский специалист Ян Линдквист (Jan Lindquist – на фото) так отреагировал на публикацию технических спецификаций:

«Это достижение знаменует собой важный шаг вперед в пропаганде машиночитаемой прозрачности при использования персональных данных. Эта работа не только позволяет устранить недостатки традиционных куки-баннеров и сложных политик обработки персональных данных, но и создает основу для инновационных решений. Это достижение является результатом совместных усилий сообщества преданных своему делу экспертов, вложивших годы упорного труда. Огромный привет этим замечательным людям и их непоколебимой приверженности своей работе!»

Источник: сайт ИСО / сайт LinkedIn
https://www.iso.org/standard/80392.html
https://www.iso.org/obp/ui/en/#!iso:std:80392:en
https://www.linkedin.com/posts/lindquistjan_privacy-consent-datatransparency-activity-7100878331851513856--KPO/ 

Комментариев нет:

Отправить комментарий