Спустя четырнадцать лет после того, как он был впервые представлен канадским Уполномоченным по вопросам защиты персональных данных, документ «Запроектированная защита персональных данных» (Privacy by Design, PbD) вот-вот станет международным стандартом защиты неприкосновенности частной жизни в сфере потребительских товаров и услуг.
Мой комментарий: Я уже рассказывала на блоге о работе технического комитета ИСО PC 317 «Защита прав потребителей: Запроектированная защита персональных данных для потребительских товаров и услуг» (Consumer protection: privacy by design for consumer goods and services) над стандартом ISO 31700 «Защита прав потребителей - Запроектированная защита персональных данных для потребительских товаров и услуг» (Consumer protection - Privacy by design for consumer goods and services), см. http://rusrim.blogspot.com/2019/07/iso-31700.html и http://rusrim.blogspot.com/2022/02/isodis-31700.html .
На последнем этапе работы документ было решено разделить на две части:
- Стандарт ISO 31700-1 «Защита прав потребителей - Запроектированная защита персональных данных для потребительских товаров и услуг – Часть 1: Высокоуровневые требования» (Consumer protection — Privacy by design for consumer goods and services — Part 1: High-level requirements), см. https://www.iso.org/standard/84977.html
- Технический отчёт ISO/TR 31700-2 «Защита прав потребителей - Запроектированная защита персональных данных для потребительских товаров и услуг – Часть 2: Варианты использования» (Consumer protection — Privacy by design for consumer goods and services — Part 2: Use cases), см. https://www.iso.org/standard/84978.html
Стандарт ISO 31700, однако, первоначально сертификационным не будет.
Мой комментарий: Маловероятно, что ISO 31700 когда-либо в обозримом будущем станет самостоятельным сертификационным стандартом, поскольку для этого его придётся переработать в соответствии с особыми правилами разработки стандартов систем менеджмента. Довольно узкая сфера его охвата и пока что небольшой интерес рынка также не способствуют этому.
Опубликованный в 2009 году документ «Запроектированная защита персональных данных» (Privacy by Design, https://www.ipc.on.ca/wp-content/uploads/resources/7foundationalprinciples.pdf ) представляет собой набор принципов, призывающих учитывать вопросы защиты неприкосновенности частной жизни на протяжении всего процесса менеджмента данных в организации.
С тех пор идея запроектированной защиты персональных данных был принята Международной ассамблеей уполномоченных по защите неприкосновенности частной жизни и органов по защите персональных данных (International Assembly of Privacy Commissioners and Data Protection Authorities) и включена в «Общие правила защиты персональных данных» Евросоюза (General Data Protection Regulation, GDPR, https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504 ). Однако соблюдать закон GDPR обязаны только те организации, которые хранят данные о лицах, постоянно проживающих в Евросоюзе. В 2018 году Международная организация по стандартизации сформировала рабочую группу для того, чтобы начать планирование включения идей PbD в свои стандарты.
Принятие ИСО «вдыхает новую жизнь и открывает возможности для внедрения концепции запроектированной защиты персональных данных в оперативную деятельность», - отмечает Кавукян, «помогая организациям понять, как это делать. Стандарт предназначен для использования целым рядом компаний - стартапами, многонациональными предприятиями, организациями всех размеров. Вы можете заставить этот стандарт работать вместе с любым продуктом, потому что его легко адаптировать. Мы надеемся, что защита неприкосновенности частной жизни будет опережающим образом встраиваться в структуру операций [организации] и будет дополнять законы о защите персональных данных».
Как правило, концепция запроектированной защиты персональных данных применяется в отношении ИТ-систем, подотчётных практик и методов ведения деловой деятельности, а также проектирования физических объектов и сетевой инфраструктуры.
В своей первоначальной редакции «Запроектированная защита персональных данных» включала семь принципов, в том числе те, согласно которым защита неприкосновенности частной жизни должна быть используемым организацией подходом (в продуктах – настройкой – Н.Х.) по умолчанию (т.е. от человека (пользователя продуктов и услуг – Н.Х.) не требуется никаких действий для защиты неприкосновенности своей частной жизни), эта защита должна быть встроена в структуру ИТ-систем и деловых практик, и должна стать частью всего жизненного цикла данных.
Окончательный стандарт ISO 31700 более детализирован и содержит 30 требований. Судя по проекту этого документа, объём стандарта будет порядка 32 страниц. Стандарт содержит общие рекомендации по разработке мер и возможностей, позволяющих потребителям обеспечивать соблюдение своих прав на неприкосновенность частной жизни; по назначению соответствующих ролей и полномочий; предоставлению потребителям соответствующей информации; проведению оценок рисков для неприкосновенности частной жизни; установлению и документированию требований к мерам и средствам обеспечения неприкосновенности частной жизни и способам их разработки; по управлению жизненным циклом персональных данных; а также по обеспечению готовности и реагированию в случае утечки данных.
Во введении в стандарт отмечается, что термин «запроектированная защита неприкосновенности частной жизни / персональных данных» относится к нескольким методологиям разработки продуктов, процессов, систем, программного обеспечения и услуг. Включённая в документ библиография содержит ссылки на другие стандарты с более подробными требованиями в отношении идентификации персональных данных, контроля доступа, согласия потребителей, корпоративного стратегического управления и иных аспектов.
Наряду со стандартом будет опубликован отдельный документ, в котором будут описаны возможные варианты использования.
К официальному представлению стандарта будет приурочен часовой вебинар ( https://www.eventbrite.co.uk/e/launch-event-iso-31700-privacy-by-design-for-consumer-goods-and-services-tickets-488718479127 ), на котором будет дан обзор стандарта для бизнес-менеджеров, владельцев компаний, активистов-защитников неприкосновенности частной жизни потребителей и специалистов-практиков по технологиям.
Энн Кавукян повторила аргумент, который она приводила в течение многих лет: защита неприкосновенности частной жизни может стать конкурентным преимуществом для реализовавших её компаний. «Избавьтесь от устаревшей модели защиты неприкосновенности частной жизни и ведения деловой деятельности по принципу «или одно, или другое», - сказала она. «Возможен взаимно-выигрышный вариант - как для неприкосновенности частной жизни, так и для деловых интересов. Вы можете одновременно обеспечивать и то, и другое».
Говард Соломон (Howard Solomon)
Источник: Сайт издания IT World Canada
https://www-itworldcanada-com.cdn.ampproject.org/c/s/www.itworldcanada.com/article/privacy-by-design-to-become-an-iso-standard-next-month/521415?amp=1
Комментариев нет:
Отправить комментарий