Здесь я как бы вкладываю слова в уста уполномоченного по вопросам защиты неприкосновенности частной жизни (privacy commissioner), - но хочу сказать, что я не думаю, что этого уполномоченного будет хоть сколько-нибудь волновать, соответствует ли хранящая персональные данные документная система в Вашей организации стандарту ISO 16175.
Мой комментарий: Речь идёт о стандарте ISO 16175-1:2020 «Информация и документация – Процессы и функциональные требования к программному обеспечению для управления документами - Часть 1: Функциональные требования и связанные с ними рекомендации для всех приложений, управляющих электронными документами» (Information and documentation - Processes and functional requirements for software for managing records - Part 1: Functional requirements and associated guidance for any applications that manage digital records), см. https://www.iso.org/standard/74294.html и https://www.iso.org/obp/ui/#!iso:std:74294:en , а также мои посты http://rusrim.blogspot.com/2020/07/iso-16175.html и http://rusrim.blogspot.com/2020/10/isots-16175-22020.html . В настоящее время идёт работа по адаптации данного документа в качества российского национального стандарта, см. http://rusrim.blogspot.com/2023/03/16175-1.html .
Уполномоченного будут заботить лишь то, адекватно ли обеспечивается защита неприкосновенности частной жизни (персональных данных).
Если Вы широкое трактуете понятие «документ» и управляете всей информацией, документируемой в Вашей организации – в какой бы системе она ни находилась – то защита персональных данных, будет для Вас важным стратегическим вопросом.
Если, с другой стороны, Вы в своей организации допустили ошибку, заявив, что существует лишь одна-единственная документная система, - и если Вы догматически придерживаетесь позиции, что, как следствие, деловые системы не являются документными системами, - то возможности, связанные с защитой персональных данных, вероятно, ускользнут от Вас.
Если у службы управления документами и есть какая-то своя «фишка», так это использование новых проблем в качестве повода сказать обслуживаемым нами организациям, что «понимаете, вот почему Вы должны делать это по-нашему».
Организации обычно всё это игнорировали, потому что стандарты управления документами для них не важны. Их гораздо больше волнует выполнение своих основных задач, и когда кто-либо создает для этого препятствия, не обосновывая, как эти препятствия позволят им выполнять их основные задачи лучше, быстрее и дешевле, - организации просто обходят их.
Каким-то образом у многих специалистов по управлению документами сохраняется убеждение в том, что если мы будем создавать одни и те же препятствия всякий раз, когда появляется новая проблема, то мы в конечном итоге добьемся успеха.
Реальность же такова, что всякий раз, когда создаем препятствие и его игнорируют, то в следующий раз игнорировать его становится легче, потому что неизбежно кто-то иной вмешивается, чтобы решить проблемы, которые на самом деле мешают работе организации. В результате нас перестают приглашать занять место за столом обсуждений, поскольку всё, что мы делаем, это говорим «нет, Вы не можете», в то время как организация регулярно доказывает, что «да, она может».
Именно по этой причине я полагаю, что вопрос зашиты неприкосновенности частной жизни (персональных данных) будет иметь решающее значение для судьбы управления документами.
Защита персональных данных сделает успешными прагматичных специалистов по управлению документами, которые обращают внимание на все собираемые организацией данные, и продумывают, как упреждающе ими управлять.
Та же защита персональных данных (ПДн) «сломает» того специалиста по управлению документами, который использует тему ПДн, чтобы догматически заявить, что «это должна быть документная система, и если данная система не соответствует требованиям к документной системе, то, значит, она не соответствует законодательно-нормативным требованиям». Потому что уполномоченному по вопросам защиты неприкосновенности частной жизни будет на это наплевать. Уполномоченного волнует лишь, чтобы персональными данными надлежащим образом управляли. Организации это знают. Если мы не будем управлять этими документами, то они найдут кого-то ещё, кто сможет это сделать.
Карл Мелроуз (Karl Melrose)
Источник: блог Meta-IRM
https://metairm.substack.com/p/the-privacy-commissioner-and-iso16175
Комментариев нет:
Отправить комментарий