ИСО и МЭК: Продолжается работа над новой редакцией стандарта ISO/IEC DIS 27555 «Руководство по уничтожению персональных данных»

Как сообщил сайт Международной организации по стандартизации (ИСО), в конце мая началось публичное обсуждение повой, второй редакции стандарта ISO/IEC DIS 27555 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Руководство по уничтожению персональных данных» (Information security, cybersecurity and privacy protection - Guidelines on personally identifiable information deletion, см. https://www.iso.org/standard/92950.html и https://www.iso.org/obp/ui/en/#!iso:std:92950:en ) , которое продлится до конца июля 2026 года.

Над документом работает технический подкомитет SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он заменит первую редакцию 2021 года, о которой см. мой пост http://rusrim.blogspot.com/2021/11/isoiec-275552021.html .

Первоначально стандарт был подготовлен на основе немецкого стандарта DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ), о котором я рассказывала здесь: http://rusrim.blogspot.com/search?q=27555 .

Во вводной части документа отмечается следующее:

«Многие функциональные процессы и ИТ-приложения используют персональные данные (personally identifiable information, PII), на которые распространяются различные законодательно-нормативные и иные обязательные требования, касающиеся обеспечения неприкосновенности частной жизни. В этой связи организациям необходимо обеспечить, чтобы персональные данные не хранились дольше, чем это необходимо, и чтобы она удалялись в надлежащее время. Это может потребовать от организаций соблюдения прав субъектов персональных данных, таких, как право добиваться их уничтожения («право быть забытым»). Стандарт ISO/IEC 29100 определяет для персональных данных принципы «минимизации данных» и «ограничения использования, хранения и раскрытия», соблюдение которых может быть обеспечено с использованием уничтожения в качестве меры безопасности.

Уничтожение персональных данных требует набора тщательно разработанных, четких и легко понимаемых правил уничтожения, учитывающих соответствующие сроки хранения, которые удовлетворяют требованиям множества заинтересованных сторон. Эти правила также должны соответствовать требованиям, вытекающим из сводов практики и других стандартов. Механизмы уничтожения должны быть корректно реализованы и надлежащим образом эксплуатироваться. Чтобы обеспечить соответствующее законодательно-нормативным требованиям уничтожение персональных данных, оператору персональных данных необходимо разработать политики и процедуры уничтожения, включающие набор правил и устанавливающие ответственность за соответствующие процессы. Шансы на успех разработки и реализации этих политик и процессов могут быть увеличены, если оператор персональных данных будет использовать общепризнанный подход к их разработке и внедрению.

В настоящем документе предлагается концепция разработки и реализации политик и процедур уничтожения персональных данных, которая может быть внедрена в организации. Данная концепция обеспечивает согласованное уничтожение персональных данных в рамках организации, включая уничтожение и приостановление обработки ПДн по индивидуальным запросам.

… В настоящем документе содержатся рекомендации по разработке и реализации политик и процедур уничтожения персональных данных, в организациях, описывающие:

• гармонизированную терминологию в области уничтожения персональных данных,
  
  
• подход, обеспечивающий эффективное установление правил уничтожения,
  
  
• необходимую документацию, и
  
  
• достаточно общее определение ролей, обязанностей и процессов.

Настоящий документ предназначен для использования организациями, в которых хранятся или обрабатываются персональные данные. В нём не рассматриваются:

• специфические правовые положения, установленные национальным законодательством или контрактами,
  
  
• специфические правила уничтожения для определенных типов персональных данных, которые определяются осуществляющими обработку персональных данных операторами персональных данных;
  
  
• механизмы уничтожения,
  
  
• надёжность, безопасность и уместность механизмов уничтожения,
  
  
• конкретные методы деидентификации (обезличивания) данных.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Концепция уничтожения
6. Типы (clusters) персональных данных
7.  Установление сроков хранения / уничтожения (deletion periods)
8. Классификация указаний по срокам хранения / уничтожения данных (deletion classes)
9. Требования к исполнению правил уничтожения
10. Ответственность
Библиография

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/92950.html
https://standardsdevelopment.bsigroup.com/projects/2025-03287 

CEN: Завершается работа над европейским стандартом prEN 18235-2 «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия» (1)

(Продолжение)

Сайт Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) в феврале 2026 года сообщил о завершении публичного обсуждения европейского стандарта prEN 18235-2 «Доверенные транзакции с данными – Часть 2: Требования к обеспечению доверия» (Trusted data transactions - Part 2: Trustworthiness requirements) объёмом 25 страниц, см. https://standards.cencenelec.eu/... 

Над стандартом работает европейский комитет по стандартизации CEN/CLC/JTC 25 «Управление данными, пространства данных, облачные технологии и периферийные вычисления» (Data management, Dataspaces, Cloud and Edge).
 

Во вводной части стандарта отмечается:

«Настоящий документ содержит требования и рекомендации по обеспечению доверия для участников информационного пространства, поддерживающие доверенные транзакции с данными.

В частности, он устанавливает набор основополагающих принципов для доверенных транзакций с данными; общие требования и рекомендации, применимые ко всем этапам доверенной транзакции с данными; а также специфические требования для каждого этапа доверенной транзакции с данными.

Данный документ применим в участвующих в пространствах данных организациях всех видов, вне зависимости от их типа и размера.»

Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения 
4. Принципы доверенных транзакций с данными
5. Требования к обеспечению доверия

5.1. Введение
5.2. Общие требования
5.3. Предоставляемые права 
5.4. Публикация
5.5. Поиск и извлечение
5.6. Переговоры
5.7. Предоставление данных
5.8. Доступ к данным и их использование

Приложение A (справочное): Концепции обеспечения доверия (trust frameworks)
Приложение ZA (справочное): Взаимосвязь между данным европейским стандартом и требованиями к интероперабельности Регламента (ЕС) 2023/2854 Европейского парламента и Совета от 13 декабря 2023 года о гармонизированных правилах справедливого доступа к данным и их использования, также вносящий поправки в Регламент (ЕС) 2017/2394 и Директиву (ЕС) 2020/1828 («Закон о данных») (Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)), которые планируется охватить.
Библиография

(Окончание следует)

Источник: сайт CEN / сайт BSI / сайт DIN
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:82007,3485479&cs=1070928C2E39633009E24B400A15D7B4A 
https://standardsdevelopment.bsigroup.com/projects/2025-03860 
https://www.din.de/en/getting-involved/standards-committees/nia/drafts/wdc-beuth:din21:398257912 

Арбитражная практика: На сайте не был реализован функционал по получению согласия пользователей на обработку их персональных данных

Арбитражный суд города Санкт-Петербурга и Ленинградской области в ноябре 2025 года вынес решение по делу № А56-72349/2025, в котором Санкт-Петербургская академия постдипломного педагогического образования имени К.Д.Ушинского (далее СПб АППО) была привлечена к ответственности за то, что на сайте организации не был реализован функционал по получению согласия пользователей сайта на обработку их персональных данных (далее ПДн).

Суть спора

В мае 2025 года была проведена внеплановая выездная проверка в отношении Государственного бюджетного учреждения дополнительного профессионального образования «Санкт-Петербургская академия постдипломного педагогического образования имени К.Д.Ушинского». В ходе проверки было установлено, что академии принадлежит интернет-ресурс https://spbappo.ru . В ходе оценки содержания сайта было установлено, что на нём размещены формы, посредством которых осуществляется сбор персональных данных посетителей Интернет-сайта в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты.

На одной из страниц сайта были опубликованы документы, определяющие политику оператора в отношении персональных данных; однако на остальных страницах сайта, где собственно осуществлялся сбор ПДн, определяющий политику оператора в отношении ПДн документ отсутствовал.

Также в ходе оценки содержания сайта было установлено, что на нём используется Яндекс-Метрика, использование функционала которой позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, что указывает на обработку его ПДн. Вместе с тем, на сайте не реализован функционал по получению согласия пользователей сайта на обработку их ПДн, обрабатываемых с использованием подобных сервисов, а также не обеспечено наличие иных правовых оснований обработки персональных данных, предусмотренных ч.1 ст.6 федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных».

В соответствии с п.18 «Условий использования сервиса Яндекс.Метрика» все данные, собираемые и хранимые сервисом, компания Яндекс рассматривает как персональные данные и конфиденциальную информацию пользователя ( https://yandex.ru/legal/metrica_termsofuse ).

В выложенных на сайте документах отсутствуют сведения об обработке персональных данных пользователей интернет-сайта https://spbappo.ru с использованием сервисов Яндекс.Метрика, что не соответствует требованиям ч.2 ст.18.1 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по северо-западному федеральному округу обратилось в Арбитражный суд города Санкт-Петербурга и Ленинградской области с заявлением о привлечении академии к административной ответственности, предусмотренной частью 3 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ).

Позиция Арбитражного суда города Санкт-Петербурга и Ленинградской области

Суд отметил, что функционалом сайта не предусмотрено предоставление согласия посетителей сайта на обработку персональных данных, собираемых, посредством метрических программ.

В действиях СПб АППО было допущено административное правонарушение, ответственность за которое установлена ч. 3 ст. 13.11 КоАП РФ.

Доказательств, свидетельствующих о принятии академией необходимых и достаточных мер по соблюдению законодательства, по недопущению правонарушения и невозможности его предотвращения, в материалы дела не представлено, что свидетельствует о наличии вины академии во вмененном ей правонарушении.

Арбитражный суд привлек Санкт-Петербургскую академию постдипломного педагогического образования имени К.Д.Ушинского к административной ответственности, предусмотренной частью 3 статьи 13.11 КоАП РФ и назначил наказание в виде штрафа в размере 30 тыс. руб.

Позиция Тринадцатого арбитражного апелляционного суда

Тринадцатый арбитражный апелляционный суд в марте 2026 года принял во внимание устранение академией нарушения путем реализации на сайте механизма получения согласия на обработку персональных данных, доработки формы обратной связи и раздела «отзывы и благодарности» путем добавления чек-боксов «Даю согласие на обработку персональных данных» и «Ознакомлен с политикой конфиденциальности» с соответствующими ссылками на документы учреждения.

Суд также отметил, что правонарушение было совершено академией впервые и не нанесло существенного ущерба охраняемым законом правам и интересам. По мнению суда апелляционной инстанции, при таких обстоятельствах административное наказание в форме предупреждения согласуется с принципами юридической ответственности и обеспечивает достижение целей административного наказания, перечисленных в статье 3.1 КоАП РФ.

Тринадцатый арбитражный апелляционный суд изменил решение Арбитражного суда города Санкт-Петербурга и Ленинградской области, заменив административный штраф на предупреждение.

В Арбитражном суде Северо-Западного округа решение не обжаловалось.

Мой комментарий: Суды подтвердили, что:

• Использование метрических программ – это обработка персональных данных, и на это нужно получать согласие субъекта ПДн;
  
  
• Документы, определяющие политику оператора в отношении персональных данных, должны быть доступны на всех страницах сайта, где обрабатываются ПДн – в противном случае имеет место нарушение установленных требований;
  
  
• При своевременном добровольном устранении нарушения возможно смягчение наказания до предупреждения.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/ 

Европейская комиссия опубликовала для публичного обсуждения проект «Рекомендаций по классификации систем искусственного интеллекта высокого риска»

Данная новость была опубликована 19 мая 2026 года на сайте Еврокомиссии.

19 мая 2026 года Европейская комиссия опубликовала на своём сайте проект «Рекомендаций по классификации систем искусственного интеллекта высокого риска» (Draft Guidelines on the classification of high risk AI systems) в 3-х частях, см. https://digital-strategy.ec.europa.eu/en/library/draft-commission-guidelines-classification-high-risk-ai-systems 

Мой комментарий: Данные рекомендации очень важны ввиду того, что если система ИИ признается системой высокого риска, то разрабатывающие и развёртывающие её стороны подпадают под многочисленные, весьма обременительные и по большей части бюрократические требования и ограничения.

В извещении о публикации проекта говорится:

«Настоящие Рекомендации призваны помочь поставщикам систем ИИ и развёртывающим системы ИИ сторонам, а также компетентным органам по надзору за рынком, в оценке того, следует ли классифицировать ту или иную систему ИИ как систему высокого риска - тем самым способствуя единообразному применению и эффективному исполнению положений статьи 6 Закона об ИИ (AI Act).

В Рекомендациях излагается толкование Еврокомиссией определенных понятий, имеющих значение для целей классификации, и - в соответствии со статьей 6(5) Закона об ИИ - приводятся практические примеры систем ИИ, которые следует или не следует классифицировать как системы высокого риска. Набор приведенных в настоящих Рекомендациях примеров стремится охватить все сферы и сценарии использования; однако его не следует рассматривать как исчерпывающий, и со временем данные примеры могут быть обновлены.

Рекомендации состоят из разделов, структура которых соответствует структуре статьи 6 Закона об ИИ. Согласно данной статье, система ИИ должна считаться системой высокого риска в двух случаях:

• Если система предназначена для использования в качестве компонента безопасности какого-либо продукта; или если сама система ИИ представляет собой продукт, подпадающий под действие законодательно-нормативных актов Евросоюза по гармонизации, перечисленных в Приложении I, - и при этом продукт, компонентом безопасности которого является система ИИ (или же сама система ИИ), подлежит обязательной оценке соответствия третьей стороной, - такая система классифицируется как система высокого риска в соответствии со статьей 6(1) Закона об ИИ.
  
  
• Если система ИИ относится к одному из сценариев использования, перечисленных в рамках сфер деятельности, указанных в Приложении III к Закону об ИИ, она классифицируется как система высокого риска в соответствии со статьей 6(2) Закона об ИИ.

Раздел III Рекомендаций посвящен первой категории систем ИИ высокого риска, а Раздел IV — второй категории. Ниже Вы можете скачать каждый раздел по отдельности; таким образом, Вам не придется обращаться к полному тексту документа в случае, если вас интересует лишь конкретная сфера или сценарий использования. Такой подход призван упростить доступ к проекту Рекомендаций, облегчить его распространение и использование с целью подготовки замечаний и предложений.»

Части документа, полное название которого - «Проект для проведения консультаций с заинтересованными сторонами Рекомендаций Еврокомиссии по классификации систем искусственного интеллекта высокого риска в соответствии со статьей 6 Регламента (ЕС) 2024/1689 (Закон об ИИ)» (Draft Commission guidelines on the classification of high-risk AI systems under Article 6 of Regulation (EU) 2024/1689 (AI Act) for stakeholder consultation) доступны по ссылкам:

• Раздел II: Общие принципы классификации систем ИИ высокого риска (General principles for classification of high-risk AI systems) объёмом 6 страниц, см. https://ec.europa.eu/newsroom/dae/redirection/document/128559 
  
  
• Раздел III: «Классификации систем ИИ высокого риска в соответствии со статьей 6(1) и Приложением I к Закону Евросоюза об ИИ» (High-risk classification according to Article 6(1) and Annex I AI Act) объёмом 13 страниц, см. https://ec.europa.eu/newsroom/dae/redirection/document/128560 
  
  
• Раздел IV: «Классификации систем ИИ высокого риска в соответствии со статьей 6(2) и Приложением III к Закону Евросоюза об ИИ» (Draft Guidelines on the classification of high risk AI systems: Annex III of AI Act) объёмом 148 страниц, см. https://ec.europa.eu/newsroom/dae/redirection/document/128561 

Замечания и предложения будут приниматься до 23 июня 2026 года.

Источник: сайт Еврокомиссии
https://digital-strategy.ec.europa.eu/en/library/draft-commission-guidelines-classification-high-risk-ai-systems 
https://digital-strategy.ec.europa.eu/en/news/commission-seeks-feedback-draft-guidelines-classification-high-risk-artificial-intelligence-systems