вторник, 26 июня 2018 г.

Немецкий стандарт DIN 66398:2016 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных»


Немецкий национальный стандарт DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ), в котором рассматривается разработка политики уничтожения персональных данных, пользуется в Германии большим спросом со стороны организаций.

Документ по заказу немецкого национального органа по стандартизации DIN был разработан Фолькером Хаммером (Volker Hammer) и Карин Шулер (Karin Schuler) из консультационной фирмы по вопросам безопасности Secorvo. Текст проекта стандарта доступен по адресу https://www.secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf или https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Extern/Leitlinie_zur_Entwicklung_eines_Loeschkonzepts.pdf?__blob=publicationFile&v=2


Стандарт был также переведен на английский язык (DIN 66398:2016,
Guideline for development of a concept for data deletion with derivation of deletion periods for personal identifiable information - см., например, https://webstore.ansi.org/RecordDetail.aspx?sku=DIN+66398%3A2016 ) и, как сообщают немецкие коллеги, вызвал большой интерес вне Германии.

Этот успех стал поводом для представления DIN 66398 на международную стандартизацию (проект ISO/IEC 27555), и данный вопрос решается сейчас в совместном техническом подкомитете JTC1/SC27 Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Как отмечается во вводной части документа, «рекомендации данного стандарта будут способствовать реализации проектов по уничтожению персональных данных. Предлагаемый стандартом согласованный подход к таким проектам приведет, как ожидается, к появлению согласованных правил уничтожения для различных секторов экономики. Такие отраслевые правила будут содержать четкие наборы требований к ИТ-продуктам, используемым при обработке персональных данных.»

«В настоящем документе описывается концепция уничтожения персональных данных. В стандарте даются рекомендации по разработке реализующих эту концепцию политик организации, посредством описания:
  • согласованной терминологии, касающейся уничтожения персональных данных,

  • метода эффективного определения правил уничтожения / обезличивания,

  • требуемой документации, и

  • ролей, обязанностей и процессов.»
«Настоящий документ предназначен для использования организациями, в которых хранятся или обрабатываются персональные данные. В нём не рассматриваются:
  • конкретные правовые положения, установленные национальным законодательством или контрактами,

  • конкретные правила уничтожения для определенных типов персональных данных, которые должны быть определены операторами персональных данных;

  • механизмы уничтожения, в том числе для данных в облачных хранилищах,

  • безопасность механизмов уничтожения,

  • конкретные методы обезличивания данных.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Термины и определения
3. Сокращения
4. Основы политики уничтожения
5. Определение типов персональных данных
6. Установление сроков хранения
7. Классификация указаний по срокам хранения и уничтожению данных по их истечении
8. Требования к исполнению правил уничтожения
9. Оперативная и организационная структура: ответственность и процессы уничтожения персональных данных
Приложение A (справочное): Руководство по проекту разработки политики уничтожения
Приложение B (справочное): Руководство по анонимизации персональных данных Приложение C (справочное): Руководство по требованиям к безопасности механизмов уничтожения
Приложение D (справочное): Руководство по ограничению доступа к массивам данных (блокированию)
Библиография
Дополнительная информация:

Hammer, Volker; Schuler, Karin: Löschen nach Regeln - die neue Norm hilft,  CuA 1/2016, S. 30-34, https://www.secorvo.de/publikationen/din66398-loeschen-hammer-schuler-2016.pdf

Hammer, Volker: DIN 66398 - Die Leitlinie Löschkonzept als Norm, Datenschutz und Datensicherheit (DuD) 8/2016, S. 528-533, https://www.secorvo.de/publikationen/din-66398-hammer-2016.pdf

Источник: сайт издательства Beuth Verlag GmbH
https://www.beuth.de/de/norm/din-66398/249218525
https://www.beuth.de/en/fachdaten-einzelsicht/wdc-beuth:din21:249218525/toc-2657431/download

Комментариев нет:

Отправить комментарий