Над документом работает технический подкомитет SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он заменит первую редакцию 2021 года, о которой см. мой пост http://rusrim.blogspot.com/2021/11/isoiec-275552021.html .
Первоначально стандарт был подготовлен на основе немецкого стандарта DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ), о котором я рассказывала здесь: http://rusrim.blogspot.com/search?q=27555 .
Во вводной части документа отмечается следующее:
«Многие функциональные процессы и ИТ-приложения используют персональные данные (personally identifiable information, PII), на которые распространяются различные законодательно-нормативные и иные обязательные требования, касающиеся обеспечения неприкосновенности частной жизни. В этой связи организациям необходимо обеспечить, чтобы персональные данные не хранились дольше, чем это необходимо, и чтобы она удалялись в надлежащее время. Это может потребовать от организаций соблюдения прав субъектов персональных данных, таких, как право добиваться их уничтожения («право быть забытым»). Стандарт ISO/IEC 29100 определяет для персональных данных принципы «минимизации данных» и «ограничения использования, хранения и раскрытия», соблюдение которых может быть обеспечено с использованием уничтожения в качестве меры безопасности.
Уничтожение персональных данных требует набора тщательно разработанных, четких и легко понимаемых правил уничтожения, учитывающих соответствующие сроки хранения, которые удовлетворяют требованиям множества заинтересованных сторон. Эти правила также должны соответствовать требованиям, вытекающим из сводов практики и других стандартов. Механизмы уничтожения должны быть корректно реализованы и надлежащим образом эксплуатироваться. Чтобы обеспечить соответствующее законодательно-нормативным требованиям уничтожение персональных данных, оператору персональных данных необходимо разработать политики и процедуры уничтожения, включающие набор правил и устанавливающие ответственность за соответствующие процессы. Шансы на успех разработки и реализации этих политик и процессов могут быть увеличены, если оператор персональных данных будет использовать общепризнанный подход к их разработке и внедрению.
В настоящем документе предлагается концепция разработки и реализации политик и процедур уничтожения персональных данных, которая может быть внедрена в организации. Данная концепция обеспечивает согласованное уничтожение персональных данных в рамках организации, включая уничтожение и приостановление обработки ПДн по индивидуальным запросам.
… В настоящем документе содержатся рекомендации по разработке и реализации политик и процедур уничтожения персональных данных, в организациях, описывающие:
- гармонизированную терминологию в области уничтожения персональных данных,
- подход, обеспечивающий эффективное установление правил уничтожения,
- необходимую документацию, и
- достаточно общее определение ролей, обязанностей и процессов.
Настоящий документ предназначен для использования организациями, в которых хранятся или обрабатываются персональные данные. В нём не рассматриваются:
- специфические правовые положения, установленные национальным законодательством или контрактами,
- специфические правила уничтожения для определенных типов персональных данных, которые определяются осуществляющими обработку персональных данных операторами персональных данных;
- механизмы уничтожения,
- надёжность, безопасность и уместность механизмов уничтожения,
- конкретные методы деидентификации (обезличивания) данных.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Концепция уничтожения
6. Типы (clusters) персональных данных
7. Установление сроков хранения / уничтожения (deletion periods)
8. Классификация указаний по срокам хранения / уничтожения данных (deletion classes)
9. Требования к исполнению правил уничтожения
10. Ответственность
Библиография
Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/92950.html
https://standardsdevelopment.bsigroup.com/projects/2025-03287
Комментариев нет:
Отправить комментарий