ИСО: Опубликованы две части нового стандарта ISO 31700 «Запроектированная защита персональных данных для потребительских товаров и услуг»

В конце января 2023 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO 31700-1:2023 «Защита прав потребителей - Запроектированная защита персональных данных для потребительских товаров и услуг – Часть 1: Высокоуровневые требования» (Consumer protection - Privacy by design for consumer goods and services - Part 1: High-level requirements) объёмом 46 страниц, см. https://www.iso.org/standard/84977.html и https://www.iso.org/obp/ui/#!iso:std:84977:en .

Документ подготовлен техническим комитетом ИСО PC 317 «Защита прав потребителей: Запроектированная защита персональных данных для потребительских товаров и услуг» (Consumer protection: privacy by design for consumer goods and services).

О работе над стандартом ISO 31700 я уже рассказывала на блоге, см. http://rusrim.blogspot.com/2019/07/iso-31700.html , http://rusrim.blogspot.com/2022/02/isodis-31700.html и http://rusrim.blogspot.com/2023/02/2023.html .

Во вводной части документа отмечается следующее:

«Термин «запроектированная защита неприкосновенности частной жизни» впервые был введён в оборот Уполномоченным по информации и защите неприкосновенности частной жизни (Information and Privacy Commissioner) канадской провинции Онтарио, с целью сделать так, чтобы субъекту ПДн не нужно было брать на себя бремя усилий по обеспечению такой защиты при использовании потребительского продукта.

Мой комментарий: Канадская концепция включает «7 основополагающих принципов», которые подчеркивают необходимость упреждающего учёта на этапе проектирования (или ранее) требований к обеспечению неприкосновенности частной жизни на протяжении всего жизненного цикла персональных данных.

Термин «Запроектированная защита неприкосновенности частной жизни (персональных данных) охватывает ряд методологий разработки продуктов, процессов, систем, программного обеспечения и услуг., которые принимают во внимание защиту неприкосновенности частной жизни потребителя на всём протяжении проектирования и разработки продукта, с учётом всего жизненного цикла продукта – начиная от момента времени, предшествующего его выходу на рынок, далее в период приобретения и использования его потребителями, и до того момента, когда, как ожидается, окончательно перестанут использоваться все экземпляры этого продукта. Это означает, что в продукте по умолчанию предусмотрены ориентированные на потребителя меры и средства контроля и управления, а также настройки, связанные с защитой неприкосновенности частной жизни (персональных данных), которые обеспечивают надлежащие уровни защиты, не возлагая при этом чрезмерного бремени на потребителя.

… Настоящий документ устанавливает высокоуровневые требования к запроектированной защите неприкосновенности частной жизни (персональных данных), с целью обеспечения такой защиты на протяжении всего жизненного цикла потребительского продукта, в том числе включая обработку данных самим потребителем.

Данный документ не содержит специфических требований в отношения обеспечения уверенности в защищённости персональных данных и обязательств, которые организации могут взять на себя перед потребителями; и он также не указывает ни конкретных методологий, которые организация может внедрить для разработки и реализации мер и средств контроля и управления для защиты персональных данных, ни технологий, которые могут быть использованы для оперативного применения таки мер и средств.»

Содержание стандарта следующее:

Предисловие

Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Общие положения
5. Требования к информационному взаимодействию с потребителями
6. Требования к менеджменту риска
7. Разработка, развертывание и использование разработанных мер и средств защиты неприкосновенности частной жизни
8. Требования к концу жизненного цикла персональных данных (PII)
Библиография

Одновременно была опубликована вторя часть документа – технический отчёт ISO/TR 31700-2:2023 «Защита прав потребителей - Запроектированная защита персональных данных для потребительских товаров и услуг – Часть 2: Варианты использования» (Consumer protection — Privacy by design for consumer goods and services — Part 2: Use cases) объёмом 38 страниц, см. https://www.iso.org/standard/84978.html и https://www.iso.org/obp/ui/#!iso:std:84978:en .

Во вводной части документа отмечается следующее:

«В настоящем документе приведены в качестве иллюстрации, вместе с соответствующим их анализом, возможные варианты использования, отобранные с целью помочь с пониманием требований стандарта ISO 31700-1.

Целевая аудитория включает инженеров и специалистов-практиков, которые участвуют в разработке, внедрении или эксплуатации поддерживаемых цифровыми технологиями потребительских товаров и услуг.»

Содержание технического отчёта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор требований стандарта ISO 31700-1 и взаимосвязанных понятий
6. Анализ вариантов использования
7. Варианты использования
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/84977.html
https://www.iso.org/obp/ui/#!iso:std:84977:en
https://www.iso.org/standard/84978.html
https://www.iso.org/obp/ui/#!iso:std:84978:en