воскресенье, 21 июня 2026 г.

О чём сегодня пишет французская архивная пресса: Выпуск «Архивной газеты» №277

Данная новость была опубликована 18 июня 2026 года на сайте и в новостной рассылке Ассоциация французских архивистов (Association des Archivistes Français, AAF).

Открыт предзаказ свежего номера №277 «Архивной газеты» (La Gazette des archives)

Мы рады сообщить, что 277-й номер «Архивной газеты» теперь доступен для предзаказа на сайте Ассоциация французских архивистов (AAF)! Координатором номера является главный редактор издания Магали Мойсан (Magalie Moysan).

В этом новом номере по разнообразной тематике, в состав которого входят 5 оригинальных статей и три описания примеров из практики, авторы исследуют роль архивов в сохранении коллективной памяти, рассматривая распространение документов и свидетельств в социальной сети Facebook, а также сбор Национальными Архивами Бразилии у частных лиц архивных материалов, относящихся к периоду военной диктатуры. 

Данный выпуск также отражает интерес архивистов к собственной истории и стремление к само-осознанию как профессии, будь то через рассказ о деятельности португальских архивистов, через изучение развития образа специализирующегося на хартиях архивиста в XIX веке или же через ретроспективный взгляд на важный момент в деятельности Ассоциации французских архивистов – мобилизацию сил против предложенного в то время европейского закона о защите персональных данных (GDPR).

Мой комментарий: Протест против закона о защите персональных данных был связан с тем, что закон не содержал достаточных исключений для архивов и фактически допускал возможность уничтожения/порчи архивных документов, под предлогом защиты ПДн, по инициативе заинтересованных физических лиц.

В номере уделяется особое внимание экспертизе ценности архивных документов, посредством аналитического описания двух примеров из практики: один пример посвящён методологии проведения во французских региональных архивах экспертизы ценности архивных документов, связанных деятельностью судебной системы; а второй - сбору Службой экономических и финансовых архивов (Service des archives économiques et financières, SAEF) архивных материалов, относящихся к пандемии COVID-19. Наконец, в заключительной статье рассматриваются цели и этапы распространения Национальными Архивами Франции (Archives nationales de France) архивных материалов в качестве открытых данных.

Мой комментарий: За последнее время, это чуть ли не первый случай, когда отраслевое европейское издание рассматривает на своих страницах по-настоящему важные для отрасли вопросы, а не занимается продвижение политической «повестки».

Источник: сайт Ассоциации французских архивистов
https://www.archivistes.org/publications/varia-106/ 

ИСО и МЭК: Продолжается работа над новой редакцией стандарта ISO/IEC DIS 27555 «Руководство по уничтожению персональных данных»

Как сообщил сайт Международной организации по стандартизации (ИСО), в конце мая началось публичное обсуждение повой, второй редакции стандарта ISO/IEC DIS 27555 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Руководство по уничтожению персональных данных» (Information security, cybersecurity and privacy protection - Guidelines on personally identifiable information deletion, см. https://www.iso.org/standard/92950.html и https://www.iso.org/obp/ui/en/#!iso:std:92950:en ) , которое продлится до конца июля 2026 года.

Над документом работает технический подкомитет SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он заменит первую редакцию 2021 года, о которой см. мой пост http://rusrim.blogspot.com/2021/11/isoiec-275552021.html .

Первоначально стандарт был подготовлен на основе немецкого стандарта DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ), о котором я рассказывала здесь: http://rusrim.blogspot.com/search?q=27555 .

Во вводной части документа отмечается следующее:

«Многие функциональные процессы и ИТ-приложения используют персональные данные (personally identifiable information, PII), на которые распространяются различные законодательно-нормативные и иные обязательные требования, касающиеся обеспечения неприкосновенности частной жизни. В этой связи организациям необходимо обеспечить, чтобы персональные данные не хранились дольше, чем это необходимо, и чтобы она удалялись в надлежащее время. Это может потребовать от организаций соблюдения прав субъектов персональных данных, таких, как право добиваться их уничтожения («право быть забытым»). Стандарт ISO/IEC 29100 определяет для персональных данных принципы «минимизации данных» и «ограничения использования, хранения и раскрытия», соблюдение которых может быть обеспечено с использованием уничтожения в качестве меры безопасности.

Уничтожение персональных данных требует набора тщательно разработанных, четких и легко понимаемых правил уничтожения, учитывающих соответствующие сроки хранения, которые удовлетворяют требованиям множества заинтересованных сторон. Эти правила также должны соответствовать требованиям, вытекающим из сводов практики и других стандартов. Механизмы уничтожения должны быть корректно реализованы и надлежащим образом эксплуатироваться. Чтобы обеспечить соответствующее законодательно-нормативным требованиям уничтожение персональных данных, оператору персональных данных необходимо разработать политики и процедуры уничтожения, включающие набор правил и устанавливающие ответственность за соответствующие процессы. Шансы на успех разработки и реализации этих политик и процессов могут быть увеличены, если оператор персональных данных будет использовать общепризнанный подход к их разработке и внедрению.

В настоящем документе предлагается концепция разработки и реализации политик и процедур уничтожения персональных данных, которая может быть внедрена в организации. Данная концепция обеспечивает согласованное уничтожение персональных данных в рамках организации, включая уничтожение и приостановление обработки ПДн по индивидуальным запросам.

… В настоящем документе содержатся рекомендации по разработке и реализации политик и процедур уничтожения персональных данных, в организациях, описывающие:

  • гармонизированную терминологию в области уничтожения персональных данных,

  • подход, обеспечивающий эффективное установление правил уничтожения,

  • необходимую документацию, и

  • достаточно общее определение ролей, обязанностей и процессов.

Настоящий документ предназначен для использования организациями, в которых хранятся или обрабатываются персональные данные. В нём не рассматриваются:

  • специфические правовые положения, установленные национальным законодательством или контрактами,

  • специфические правила уничтожения для определенных типов персональных данных, которые определяются осуществляющими обработку персональных данных операторами персональных данных;

  • механизмы уничтожения,

  • надёжность, безопасность и уместность механизмов уничтожения,

  • конкретные методы деидентификации (обезличивания) данных.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Концепция уничтожения
6. Типы (clusters) персональных данных
7.  Установление сроков хранения / уничтожения (deletion periods)
8. Классификация указаний по срокам хранения / уничтожения данных (deletion classes)
9. Требования к исполнению правил уничтожения
10. Ответственность
Библиография

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/92950.html
https://standardsdevelopment.bsigroup.com/projects/2025-03287 


суббота, 20 июня 2026 г.

CEN: Завершается работа над европейским стандартом prEN 18235-2 «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия» (1)

(Продолжение)

Сайт Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) в феврале 2026 года сообщил о завершении публичного обсуждения европейского стандарта prEN 18235-2 «Доверенные транзакции с данными – Часть 2: Требования к обеспечению доверия» (Trusted data transactions - Part 2: Trustworthiness requirements) объёмом 25 страниц, см. https://standards.cencenelec.eu/... 

Над стандартом работает европейский комитет по стандартизации CEN/CLC/JTC 25 «Управление данными, пространства данных, облачные технологии и периферийные вычисления» (Data management, Dataspaces, Cloud and Edge).
 

Во вводной части стандарта отмечается:

«Настоящий документ содержит требования и рекомендации по обеспечению доверия для участников информационного пространства, поддерживающие доверенные транзакции с данными.

В частности, он устанавливает набор основополагающих принципов для доверенных транзакций с данными; общие требования и рекомендации, применимые ко всем этапам доверенной транзакции с данными; а также специфические требования для каждого этапа доверенной транзакции с данными.

Данный документ применим в участвующих в пространствах данных организациях всех видов, вне зависимости от их типа и размера.»

Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения 
4. Принципы доверенных транзакций с данными
5. Требования к обеспечению доверия
5.1. Введение
5.2. Общие требования
5.3. Предоставляемые права 
5.4. Публикация
5.5. Поиск и извлечение
5.6. Переговоры
5.7. Предоставление данных
5.8. Доступ к данным и их использование
Приложение A (справочное): Концепции обеспечения доверия (trust frameworks)
Приложение ZA (справочное): Взаимосвязь между данным европейским стандартом и требованиями к интероперабельности Регламента (ЕС) 2023/2854 Европейского парламента и Совета от 13 декабря 2023 года о гармонизированных правилах справедливого доступа к данным и их использования, также вносящий поправки в Регламент (ЕС) 2017/2394 и Директиву (ЕС) 2020/1828 («Закон о данных») (Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)), которые планируется охватить.
Библиография

(Окончание следует)

Источник: сайт CEN / сайт BSI / сайт DIN
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:82007,3485479&cs=1070928C2E39633009E24B400A15D7B4A 
https://standardsdevelopment.bsigroup.com/projects/2025-03860 
https://www.din.de/en/getting-involved/standards-committees/nia/drafts/wdc-beuth:din21:398257912 

Арбитражная практика: На сайте не был реализован функционал по получению согласия пользователей на обработку их персональных данных

Арбитражный суд города Санкт-Петербурга и Ленинградской области в ноябре 2025 года вынес решение по делу № А56-72349/2025, в котором Санкт-Петербургская академия постдипломного педагогического образования имени К.Д.Ушинского (далее СПб АППО) была привлечена к ответственности за то, что на сайте организации не был реализован функционал по получению согласия пользователей сайта на обработку их персональных данных (далее ПДн).

Суть спора

В мае 2025 года была проведена внеплановая выездная проверка в отношении Государственного бюджетного учреждения дополнительного профессионального образования «Санкт-Петербургская академия постдипломного педагогического образования имени К.Д.Ушинского». В ходе проверки было установлено, что академии принадлежит интернет-ресурс https://spbappo.ru . В ходе оценки содержания сайта было установлено, что на нём размещены формы, посредством которых осуществляется сбор персональных данных посетителей Интернет-сайта в объеме: фамилия, имя, отчество, номер телефона, адрес электронной почты.

На одной из страниц сайта были опубликованы документы, определяющие политику оператора в отношении персональных данных; однако на остальных страницах сайта, где собственно осуществлялся сбор ПДн, определяющий политику оператора в отношении ПДн документ отсутствовал.

Также в ходе оценки содержания сайта было установлено, что на нём используется Яндекс-Метрика, использование функционала которой позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, что указывает на обработку его ПДн. Вместе с тем, на сайте не реализован функционал по получению согласия пользователей сайта на обработку их ПДн, обрабатываемых с использованием подобных сервисов, а также не обеспечено наличие иных правовых оснований обработки персональных данных, предусмотренных ч.1 ст.6 федерального закона от 27.07.2006г. № 152-ФЗ «О персональных данных».

В соответствии с п.18 «Условий использования сервиса Яндекс.Метрика» все данные, собираемые и хранимые сервисом, компания Яндекс рассматривает как персональные данные и конфиденциальную информацию пользователя ( https://yandex.ru/legal/metrica_termsofuse ).

В выложенных на сайте документах отсутствуют сведения об обработке персональных данных пользователей интернет-сайта https://spbappo.ru с использованием сервисов Яндекс.Метрика, что не соответствует требованиям ч.2 ст.18.1 федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Управление федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по северо-западному федеральному округу обратилось в Арбитражный суд города Санкт-Петербурга и Ленинградской области с заявлением о привлечении академии к административной ответственности, предусмотренной частью 3 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ).

Позиция Арбитражного суда города Санкт-Петербурга и Ленинградской области

Суд отметил, что функционалом сайта не предусмотрено предоставление согласия посетителей сайта на обработку персональных данных, собираемых, посредством метрических программ.

В действиях СПб АППО было допущено административное правонарушение, ответственность за которое установлена ч. 3 ст. 13.11 КоАП РФ.

Доказательств, свидетельствующих о принятии академией необходимых и достаточных мер по соблюдению законодательства, по недопущению правонарушения и невозможности его предотвращения, в материалы дела не представлено, что свидетельствует о наличии вины академии во вмененном ей правонарушении.

Арбитражный суд привлек Санкт-Петербургскую академию постдипломного педагогического образования имени К.Д.Ушинского к административной ответственности, предусмотренной частью 3 статьи 13.11 КоАП РФ и назначил наказание в виде штрафа в размере 30 тыс. руб.

Позиция Тринадцатого арбитражного апелляционного суда

Тринадцатый арбитражный апелляционный суд в марте 2026 года принял во внимание устранение академией нарушения путем реализации на сайте механизма получения согласия на обработку персональных данных, доработки формы обратной связи и раздела «отзывы и благодарности» путем добавления чек-боксов «Даю согласие на обработку персональных данных» и «Ознакомлен с политикой конфиденциальности» с соответствующими ссылками на документы учреждения.

Суд также отметил, что правонарушение было совершено академией впервые и не нанесло существенного ущерба охраняемым законом правам и интересам. По мнению суда апелляционной инстанции, при таких обстоятельствах административное наказание в форме предупреждения согласуется с принципами юридической ответственности и обеспечивает достижение целей административного наказания, перечисленных в статье 3.1 КоАП РФ.

Тринадцатый арбитражный апелляционный суд изменил решение Арбитражного суда города Санкт-Петербурга и Ленинградской области, заменив административный штраф на предупреждение.

В Арбитражном суде Северо-Западного округа решение не обжаловалось.

Мой комментарий: Суды подтвердили, что:

  • Использование метрических программ – это обработка персональных данных, и на это нужно получать согласие субъекта ПДн;

  • Документы, определяющие политику оператора в отношении персональных данных, должны быть доступны на всех страницах сайта, где обрабатываются ПДн – в противном случае имеет место нарушение установленных требований;

  • При своевременном добровольном устранении нарушения возможно смягчение наказания до предупреждения.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/