ИСО и МЭК: Опубликована новая редакция стандарта ISO/IEC 15944-8:2026 «Выявление требований к защите персональных данных в качестве внешних ограничений на деловые операции»

В феврале 2026 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой, второй редакции международного стандарта ISO/IEC 15944-8:2026 «Информационные технологии – Взгляд с точки зрения деловых операций - Часть 8. Выявление требований к защите персональных данных в качестве внешних ограничений на деловые операции» (Information technology - Business operational view - Part 8: Identification of privacy protection requirements as external constraints on business transactions) объёмом 150 страниц, см. https://www.iso.org/standard/85329.html и https://www.iso.org/obp/ui/en/#!iso:std:85329:en . Стандарт заменил предыдущую редакцию ISO/IEC 15944-8:2012.

Стандарт разработан подкомитетом SC32 «Управление и обмен данными» (Data management and interchange) Объединенного технического комитета ИСО/МЭК JTC1 «Информационные технологии» (Information technology). О подготовке этого документа я уже рассказывала на блоге здесь: http://rusrim.blogspot.com/2025/10/isoiec-15944.html .

Во вводной части стандарта отмечается:

Настоящий документ:

• Описывает методы для выявления, в рамках технологий моделирования Open-EDI и разработки сценариев, дополнительных требований в спецификациях «с точки зрения деловых операций» (Business Operational View, BOV) для установления дополнительных внешних ограничений в отношении документированной информации в деловых операциях, касающейся персональных данных физического лица, как того требуют законодательно-нормативные требования соответствующих юрисдикций, регламентирующие обработку персональных данных, обмен которыми осуществляется между сторонами деловой операции (транзакции);
  
  
• Интегрирует существующие нормативные элементы, поддерживающие исполнение требований по защите ПДн, которые уже описаны в стандартах ISO/IEC 14662 и ISO/IEC 15944 (части 1, 2, 4 и 5), которые применимы в отношении информации, касающейся идентифицируемых живых физических лиц как покупателей в рамках деловой транзакции, или лиц, чьи ПДн используются в деловой транзакции;
  
  
• Предлагает «зонтичные» оперативные заявления о передовой практике, касающиеся ассоциированных (и не обязательно автоматизированных) процессов, процедур, практик и требований к стратегическому управлению, которые должны поддерживать механизмы реализации и обеспечения исполнения, необходимые для исполнения требований к защите ПДн в транзакционных средах Open-EDI;
  
  
• Выявляет и предлагает пример сценария и реализации (вариант использования) для одного или нескольких вариантов защиты ПДн в деловых транзакциях;
  
  
• Даёт рекомендации относительно потребности в процедурных механизмах в случае необходимости внедрения обязательных правил раскрытия транзакционной информации.

В данном документе не специфицируются технические механизмы, необходимые для реализации «представления с точки зрения функциональных сервисов» (Functional Services View).»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Фундаментальные принципы и предположения, определяющие требования к защите ПДн в деловых транзакциях с участием физических лиц (с точки зрения внешних ограничений)
6. Пространство сотрудничества и защита ПДн
7. Требования государственной политики юрисдикций
8. Принципы и правила, регулирующие установление, управление и использование личных данных физического лица
9. Компонент «Лицо» — подтип «Индивид»
10. Компонент «Процесс»
11. Компонент «Данные»
12. Шаблон для выявления требований к защите ПДн в деловых транзакциях
13. Заявление о соответствии
Приложения
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/85329.html 
https://www.iso.org/obp/ui/en/#!iso:std:85329:en 

Национальные Архивы Великобритании представили на конференции DLM-форума доклад об использовании ИИ для экспертизы ценности

Данная заметка известного испанского специалиста, координатора рабочей группы технического подкомитета TC46/SC11 Международной организации по стандартизации (ИСО) и ведущего консультанта компании Gabinete Umbus SL Карлоты Бустело (Carlota Bustelo Ruesta – на фото) была опубликована 24 марта 2026 года в социальной сети LinkedIn.

Мой комментарий: Очередная пленарная встреча-конференция членов DLM-форума прошла 24-25 марта 2026 года в Берне, Швейцария. Программа конференции доступна здесь: http://www.dlmforum.eu/files/events/2026Bern/Programme_Bern_20032026.pdf 

В этот раз, с моей точки зрения, наибольший интерес представляла сессия 1 «Будущее, ориентированное на данные – ИИ и укрепление доверия» (Data-Centric Futures – AI and Building Trust).

Члены DLM-форума ( https://www.linkedin.com/company/dlm-forum/ ) Балинт Чёллей (Bálint Adam Csöllei,  https://www.linkedin.com/in/balintcsollei/ - на фото), являющийся руководителем отдела межведомственного сотрудничества Национальных Архивов Великобритании, и Крис Ройдс (Chris Royds) - выступили на этой сессии с докладом «Использование ИИ при проведении экспертизы ценности – Новости» (AI for Appraisal – Update), в котором представили результаты усилий Национальных Архивов Великобритании по использованию ИИ в ходе экспертизы ценности документов.

Слайд из презентации Балинта Чёллея

Мой комментарий: На приведенном слайде, в частности, отмечается:

«Применение традиционных подходов к огромным объемам изначально–электронных  документов нецелесообразно; эффективно проводить экспертизу ценности, отбор и экспертизу на предмет конфиденциальности электронных документов возможно будет только при использовании подходов, основанных на данных и искусственном интеллекте.

Для создания условий для проведения электронного анализа как унаследованных, так и современных документов, потребуются инвестиции в компетенции, развитие инфраструктуры и межведомственное сотрудничество.»

Карлота Бустело (Carlota Bustelo Ruesta)

Источник: сайт LinkedIn
https://www.linkedin.com/feed/update/urn:li:activity:7442193469458132992/ 

ИСО: Опубликована новая редакция стандарта ISO 14001:2026 «Системы экологического менеджмента - Требования и руководство по применению»

В начале апреля 2026 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой, четвёртой редакции международного стандарта ISO 14001:2026 «Системы экологического менеджмента - Требования и руководство по применению» (Environmental management systems — Requirements with guidance for use) объёмом 46 страниц, см. https://www.iso.org/standard/14001 и https://www.iso.org/obp/ui/en/#!iso:std:92300:en . Документ заменил предыдущую редакцию ISO 14001:2015 (о ней см. мой пост здесь http://rusrim.blogspot.com/2015/09/iso-140012015.html - Н.Х.) с поправкой ISO 14001:2015/Amd 1:2024.

Стандарт подготовлен подкомитетом SC1 «Системы экологического менеджмента» (Environmental management systems) технического комитета ИСО TC 207 «Экологический менеджмент» (Environmental management).

В России данный стандарт был адаптирован как ГОСТ Р ИСО 14001-2016 (ISO 14001:2015) «Системы экологического менеджмента. Требования и руководство по применению», см. https://meganorm.ru/Data2/1/4293755/4293755229.pdf 

Во аннотации на стандарт говорится:

Что представляет собой стандарт ISO 14001?

ISO 14001 - это международно признанный стандарт для систем экологического менеджмента (или «менеджмента окружающей среды» - environmental management systems, EMS). Он предоставляет организациям концептуальную основу для разработки и внедрения систем экологического менеджмента, а также для постоянного улучшения их экологических показателей. Придерживаясь этого стандарта, организации могут обеспечить принятие ими упреждающие мер для минимизации своего воздействия на окружающую среду, для исполнения соответствующих законодательно-нормативных требований и для достижения своих целей в плане экологии. Концепция охватывает различные аспекты, от использования ресурсов и управления отходами до мониторинга экологических показателей и вовлечения заинтересованных сторон в экологические обязательства.

В редакции 2026 года ещё раз подчеркивается наиболее важные аспекты: защита окружающей среды и результаты для деловой деятельности. Обновленный стандарт основан на завоевавшей доверие концептуальной структуре ISO 14001, имеет более четкую структуру, более удобную навигацию и лучшую согласованность с современными экологическими приоритетами.

Почему стандарт ISO 14001 важен?

В настоящее время организации сталкиваются с растущими ожиданиями со стороны регулирующих органов, клиентов, инвесторов и цепочек поставок в отношении демонстрации убедительных усилий по защите экологии. Стандарт ISO 14001 предлагает структурированный, систематический подход к удовлетворению этих ожиданий.

Внедряя стандарт ISO 14001, организации могут:

• Последовательно и измеримо улучшать экологические показатели,
  
  
• Сокращать количество отходов и оптимизировать использование энергии и ресурсов,
  
  
• С меньшими усилиями обеспечивать соответствие экологическим нормам,
  
  
• Укреплять доверие заинтересованных сторон,
  
  
• Способствовать участию в глобальных рынках и цепочках поставок.

Обновленная редакция ISO 14001:2026 упрощает достижение этих преимуществ благодаря более четким рекомендациям и более плавной реализации. Онаа также полностью совместима и разработана для бесшовной интеграции с существующими системами менеджмента ИСО.

Преимущества

• Улучшение экологических показателей,
  
  
• Соответствие законодательно-нормативным требованиям,
  
  
• Управление рисками,
  
  
• Экономия затрат,
  
  
• Высокие стандарты профессиональной деятельности,
  
  
• Доверие заинтересованных сторон и клиентов.

Во вводной части стандарта отмечается следующее:

«Настоящий документ устанавливает требования к системе экологического менеджмента, которую организация может использовать для повышения своей экологической рациональности. Он предназначен для использования организациями, стремящимися систематическим образом управлять своими экологическими обязательствами, что способствует достижению экологических целей устойчивого развития.

Данный документ помогает организации достичь намеченных результатов при использовании своей системы экологического менеджмента, которые приносят пользу окружающей среде, самой организации и заинтересованным сторонам. Целевые результаты системы экологического менеджмента включают:

• повышение показателей экологической эффективности;
  
  
• исполнение законодательно-нормативных требований;
  
  
• достижение целей в области экологии.

Данный документ применим в любых организациях, вне зависимости от их размера, типа или характера деятельности, - и распространяется на экологические аспекты деятельности, продукции и услуг организации, которые та, по её мнению, может контролировать или на которые может влиять, с точки зрения жизненного цикла. В данном документе не устанавливаются конкретные критерии экологической эффективности.

Данный документ может использоваться полностью или частично для систематического совершенствования экологического менеджмента. Заявления о соответствии данному документу, однако, будут приемлемыми только в случае, когда все его требования будет интегрированы в систему экологического менеджмента организации и будут выполняются без каких-либо исключений.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Контекст организации
5. Лидерство
6. Планирование
7. Поддержка
8. Эксплуатация
9. Оценка эффективности
10. Совершенствование
Приложение А: Руководство по использованию настоящего документа
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/14001   
https://www.iso.org/obp/ui/en/#!iso:std:92300:en 

Голландия: Относятся ли фотографии к биометрическим данным и к специальным категориям персональных данных?

Данная заметка голландского юриста Йеруна Терстегге (Jeroen Terstegge – на фото), специализирующегося на защите персональных данных, была опубликована 15 марта 2026 года в социальной сети LinkedIn.

Верховный суд Голландии намерен обратиться в Суд Европейского союза (Court of Justice of the European Union, CJEU) с просьбой разъяснить, следует ли считать фотографию в составе  полной копии удостоверяющего личность документа, представленного в рамках проверки личности в соответствии с законодательством о борьбе с отмыванием денег (anti-money laundering, AML) - персональными данными, раскрывающими расовое или этническое происхождение, в значении статьи 9(1) европейского Закона о защите персональных данных (GDPR).

Мой комментарий: Речь идёт о рассматриваемом Верховным судом деле ECLI:NL:HR:2026:392, см. https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:HR:2026:392 . В аннотации на это дело сказано:

Договорное право. Финансовое право. Право Евросюза: Обязанность владельца карты идентифицировать себя с помощью фотографии в паспорте, при этом сохраняется копия удостоверяющего личность документа, содержащего эту фотографию. 

Обязаны ли учреждения, - в соответствии с Законом о борьбе с отмыванием денег и финансированием терроризма, и статьей 40 Четвертой Европейской директивы о борьбе с отмыванием денег, - сохранять фотографию в паспорте, используемую для идентификации? 

Является ли фиксирование или хранение копии фотографии в паспорте обработкой биометрических данных, согласно статье 9 п.1 Закона GDPR) и определению понятия «биометрические данные» в статье 4 (14) Закона GDPR? См также положения статей 5 и 6 Закона GDPR об обработке персональных данных, и ст.9 об обработке особых категорий персональных данных. 

За ходом этого дела стоит внимательно проследить, поскольку удостоверяющие личность документы копируются и хранятся во многих местах, особенно (онлайн-)банками и работодателями. 

Речь идёт о женщине, от которой выпустившая кредитную карту компания потребовала загрузить копию удостоверяющего личность документа через онлайн-инструмент с целью повторной проверки личности в соответствии со статьей 40(1) Директивы Евросоюза №2015/849 по борьбе с отмыванием денег.

Образец голландского удостоверения личности

В первом и самом важном вопросе, заданном Суду Европейского союза, Верховный суд Голландии просит Суд ЕС ответить, требует ли статья 40(1) Директивы о борьбе с отмыванием денег, в свете принципа минимизации данных согласно статье 5(1)(c) Закона GDPR, хранения полных копий удостоверяющих личность документов.

Й.Т.: Поскольку борьба с отмыванием денег не является моей областью компетенции, я не могу комментировать - за исключением того, что если ответ будет дан утвердительный, то правовым основанием, согласно GDPR, является статья 6(1)(c) (обработка необходима для исполнения законодательно-нормативных требований, под которые подпадает оператор ПДн – Н.Х.).

Если ответ на первый вопрос утвердительный, то задается следующий вопрос: Подразумевает ли требование о сохранении полной копии удостоверяющего личность документа также хранение фотографии, имеющейся в этом документе?

Й.Т.: Ответ Суда ЕС на этот вопрос будет чрезвычайно интересен, поскольку он повлияет на исполнение многие законодательно-нормативных требований о сохранении копий удостоверений личности, таких, как статья 28(1)(f) Закона Нидерландов о налоге на заработную плату.

В своём третьем вопросе Верховный суд просит Суд Европейского союза уточнить, следует ли считать фотографию на удостоверении личности персональными данными, раскрывающими расовое или этническое происхождение.

Й.Т.: Ответ на этот вопрос также может иметь огромное значение, поскольку фотографии на удостоверениях личности встречаются на служебных удостоверениях и картах доступа сотрудников, а также на картах клиентов, в справочниках сотрудников и членов организации, и на страницах «Наша команда» на сайтах компаний.

Интересно также отметить, что Верховный суд Голландии уже дал утвердительный ответ на этот вопрос еще в 2010 году в деле, рассматриваемом в соответствии с голландским Законом о защите персональных данных, действовавшим до принятия европейского закона GDPR. Поскольку законодательство по этому вопросу не изменилось при переходе от европейской Директивы 95/46 к европейскому Закону GDPR, то Верховному суду следует надеяться, что Суд Европейского союза согласится со его решением, принятым в 2010 году. 

Вероятно, вторым по важности из заданных вопросов вопрос является вопрос 3а: Имеет ли значение при ответе на третий вопрос, обрабатывается ли фотография с целью дискриминации людей по признаку расовой или этнической принадлежности?

Й.Т.: Начиная с решения 2010 года, голландские суды уже постановляли, что фотография НЕ считается персональными данными, раскрывающими расовое или этническое происхождение в том случае, если эта фотография не используется в «дискриминационном контексте». В противном случае каждую фотографию, - а не только фотографии в удостоверениях личности, - пришлось бы относить к специальным категориям персональных данных в соответствии с законодательством о защите персональных данных. Вполне логично, что Верховный суд Голландии хотел бы убедиться в обоснованности этой линии рассуждений. 

Если Суд ЕС постановит, что цель обработки НЕ имеет значения (ввиду высокого уровня защиты для специальных категорий ПДн, см. пункт 10 Преамбулы Закона GDPR), то каждая фотография лица человека (за исключением тех, которые подпадают под положения статьи 2.2.c Закона GDPR), будет считаться специальными персональными данными в смысле Закона GDPR.

Йерун Терстегге (Jeroen Terstegge)

Мой комментарий: Все же помнят о том, как Роскомнадзор борется с теми организациями, которые хранят у себя, без оформления соответствующих разрешений на обработку, копии паспортов, свидетельств о рождении и т.п.? Как видим, на те же «грабли» наступают и в Голландии :)

Источник: сайт LinkedIn
https://www.linkedin.com/posts/jeroenterstegge_dutch-supreme-court-to-ask-cjeu-to-share-7438871016589692928-PFtg