Как сообщил сайт Международной организации по стандартизации (ИСО), в конце октября был опубликован новый стандарт ISO/IEC 27555:2021 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Руководство по уничтожению персональных данных» (Information security, cybersecurity and privacy protection - Guidelines on personally identifiable information deletion) объёмом 32 страницы, см. https://www.iso.org/standard/71673.html и https://www.iso.org/obp/ui/#!iso:std:71673:en .
Стандарт разработан подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он был подготовлен на основе немецкого стандарта DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ), о котором я рассказывала здесь: http://rusrim.blogspot.com/search?q=27555 . По сравнению с прототипом, новый стандарт ИСО вдвое уменьшился в объёме, в первую очередь за счёт отказа от ряда приложений.
«Многие функциональные процессы и ИТ-приложения используют персональные данные (personally identifiable information, PII), на которые распространяются различные законодательно-нормативные и иные обязательные требования, касающиеся обеспечения неприкосновенности частной жизни. В этой связи организациям необходимо обеспечить, чтобы персональные данные не хранились дольше, чем это необходимо, и чтобы она удалялись в надлежащее время. Это может потребовать от организаций соблюдения прав субъектов персональных данных, таких, как право добиваться их уничтожения («право быть забытым»). Стандарт ISO/IEC 29100 определяет для персональных данных принципы «минимизации данных» и «ограничения использования, хранения и раскрытия», соблюдение которых может быть обеспечено с использованием уничтожения в качестве меры безопасности.
Уничтожение персональных данных требует набора тщательно разработанных, четких и легко понимаемых правил уничтожения, учитывающих соответствующие сроки хранения, которые удовлетворяют требованиям множества заинтересованных сторон. Эти правила также должны соответствовать требованиям, вытекающим из сводов практики и других стандартов. Механизмы уничтожения должны быть корректно реализованы и надлежащим образом эксплуатироваться. Чтобы обеспечить соответствующее законодательно-нормативным требованиям уничтожение персональных данных, оператору персональных данных необходимо разработать политики и процедуры уничтожения, включающие набор правил и устанавливающие ответственность за соответствующие процессы. Шансы на успех разработки и реализации этих политик и процессов могут быть увеличены, если оператор персональных данных будет использовать общепризнанный подход к их разработке и внедрению.
В настоящем документе предлагается концепция разработки и реализации политик и процедур уничтожения персональных данных, которая может быть внедрена в организации. Данная концепция делает возможным согласованное уничтожение персональных данных в рамках организации.
… В настоящем документе содержатся рекомендации по разработке и реализации политик и процедур уничтожения персональных данных, в организациях, описывающие:
- гармонизированную терминологию в области уничтожения персональных данных,
- метод эффективного установления правил уничтожения,
- необходимую документацию, и
- достаточно общее определение ролей, обязанностей и процессов.
Настоящий документ предназначен для использования организациями, в которых хранятся или обрабатываются персональные данные. В нём не рассматриваются:
- специфические правовые положения, установленные национальным законодательством или контрактами,
- специфические правила уничтожения для определенных типов персональных данных, которые определяются осуществляющими обработку персональных данных операторами персональных данных;
- механизмы уничтожения,
- надёжность, безопасность и уместность механизмов уничтожения,
- конкретные методы обезличивания данных.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Концепция уничтожения
6. Типы (clusters) персональных данных
7. Установление сроков хранения / уничтожения (deletion periods)
8. Классификация указаний по срокам хранения / уничтожения данных (deletion classes)
9. Требования к исполнению правил уничтожения
10. Ответственность
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/71673.html
https://www.iso.org/obp/ui/#!iso:std:71673:en
Комментариев нет:
Отправить комментарий