Документ подготовлен подкомитетом SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединенного технического комитета ИСО/МЭК JTC1.
«В настоящем документе приведены требования и рекомендации для организаций по документированию информации о:
- согласии, полученном от физических лиц до сбора и обработки их персональных данных (ПДн); и
- средствах, с помощью которых субъекты ПДн отслеживают такие согласия.
Стандарт ISO/IEC 29184:2020 «Информационные технологии - Онлайн-уведомления об обработке персональных данных и согласия на обработку» (Information technology - Online privacy notices and consent) определяет элементы управления, которые формируют содержание и структуру онлайн-уведомлений об обработке ПДн, а также процесс запроса согласия на сбор и обработку ПДн у субъектов ПДн. Стандарт ISO/IEC 29184 ориентирован на обязанности операторов ПДн и организаций, обрабатывающих ПДн от имени оператора ПДн, по информированию субъектов ПДн о том, как обрабатываются их персональные данные. ISO/IEC 29184 не учитывает потребности субъектов ПДн.
Настоящий документ развивает подход ISO/IEC 29184, рассматривая вопрос о предоставления субъекту ПДн документа для личного хранения, включающего информацию о соглашении об обработке ПДн и о взаимодействии. Такой документ называется «квитанцией о согласии» (consent receipt).
В настоящем документе определяется структура, которая используется при менеджменте согласий как субъектами ПДн, так и операторами ПДн: а именно, специфицируются данные, которые организация должна хранить для обеспечения надлежащего целостного документирования (с учетом установленных мер и средств контроля и управления), а также объект («квитанция о согласии»), который предоставляется лицу, чьи персональные данные обрабатываются.
В настоящем документе не специфицируется ни протокол обмена документами о согласия или квитанциями о согласии, ни структуры для такого обмена.»
«… Настоящий документ определяет интероперабельную, открытую и расширяемую информационную структуру для документирования согласия субъектов ПДн на обработку ПДн. В данном документе содержатся требования и рекомендации по использованию квитанций о согласии и документов о согласии, связанных с согласием субъекта ПДн на обработку его ПДн, с целью поддержки:
- предоставления субъекту ПДн документа о согласии;
- обмена информацией о согласии между информационными системами;
- управления жизненным циклом задокументированного согласия.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор документов о согласии и квитанций о согласии
6. Элементы документа о согласии и квитанции о согласии
Приложение А: Примеры документов и квитанций о согласии
Приложение B: Пример жизненного цикла документа о согласии
Приложение C: Вопросы производительности и эффективности
Приложение D: Структура кодирования документа о согласии
Приложение E: Безопасность документов и квитанций о согласии
Приложение F: Использование автоматизированных сигналов и механизмов связи для информирования о предпочтениях и решениях субъекта ПДн
Приложение G: Руководство по применению квитанций о согласии в контексте систем менеджмента персональных данных (Privacy Information Management System, PIMS)
Приложение H: Взаимосвязи с положениями стандарта ISO/IEC 29184:2020 «Информационные технологии - Онлайн-уведомления об обработке персональных данных и согласия на обработку» (Information technology - Online privacy notices and consent).
Библиография
На сайте LinkedIn шведский специалист Ян Линдквист (Jan Lindquist – на фото) так отреагировал на публикацию технических спецификаций:
Источник: сайт ИСО / сайт LinkedIn
https://www.iso.org/standard/80392.html
https://www.iso.org/obp/ui/en/#!iso:std:80392:en
https://www.linkedin.com/posts/lindquistjan_privacy-consent-datatransparency-activity-7100878331851513856--KPO/
Комментариев нет:
Отправить комментарий