Европейские стандарты по ПДн

Европейские стандарты по ПДн
Мне казалось, что я знаю почти все нормативные документы и особенно стандарты в области персональных данных. Но оказалось это не так. Как говорится, слона-то я и не заметил. Я писал про законы и стандарты в области ПДн США. Я писал про аналогичные документы АТЭС и ОЭСР. Я разбирал, что сделано в России. Я смотрел, что делает сейчас ISO. Я анализировал документы различных европейских стран, но... Я совершенно упустил из виду, что Европа - это не только самостоятельные страны, но и Евросоюз, как единое целое. И в Евросюзе есть такая организация, как CEN - Европейский комитет по стандартизации (аналог нашего Ростехрегулирования, BSI, NIST и других аналогичных организаций по стандартизации). И эта организация одной из первых разработала стандарты по персональным данным и их защите.

Собственно начал CEN свою работу в части ПДн не совсем стандартно. Он пошел не от требований по обработке и защите ПДн, а от аудита этих операций. Идея CEN, зафиксированная в первых документах, звучит следующим образом: утечки персданных и иные нарушения прав субъектов могут разрешить доверие между заказчиками и их поставщиками, работниками и их работодателями, гражданами и государством. При этом обработка ПДн становится все сложнее, а обеспечение доверия становится важнейшей задачей при взаимодействии указанных выше сторон. Доверие может быть достигнуто путем демонстрации соответствия. А уверенность, что ПДн обрабатываются в соответствие с принципами, указанными в Евроконвенции, может быть обеспечена аудитом. Ну а дальше эта логика отражается в разработанных документах:

  • CWA 15262-2005. Inventory of Data Protection Auditing Practices. Документ описывает, что необходимо предоставить для эффективного и адекватного аудита ПДн в организации. Из особо интересного в этом документе я обнаружил список ссылок на готовые опросники, чеклисты и т.п. материалы всех стран Евросоюза и ряда других государств.
  • CWA 15263-2005. Analysis of Privacy Protection Technologies, Privacy- Enhancing Technologies (PET), Privacy Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization. Здесь все понятно из названия.
  • CWA 15292-2005. Standard form contract to assist compliance with obligations imposed by article 17 of the Data Protection Directive 95/46/EC (and implementation guide). Это пример договора между оператором и обработчиком ПДн.
  • CWA 15499-1-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part I: Baseline Framework. Это базовый документ, в основу которого легли материалы PwC, описывает цикл PDCA применительно к теме персональных данных.
  • CWA 15499-2-2006. Personal Data Protection Audit Framework (EU Directive EC 95/46) - Part II: Checklists, questionnaires and templates for users of the framework. Вторая часть стандарта имеет более практическое значение. Это различные чеклисты и опросники, которые облегчают прохождение аудита. Если бы наши регуляторы подготовили бы что-нибудь аналогичные, уже не зря прожирали бы деньги налогоплательщиков.
  • CWA 16111-2010. Voluntary Technology Dialogue Framework (VTDF). Представить, что такой документ родится в России сложно. В его преамбуле написано примерно следующее. Требования по ПДн есть и они важны. Бизнесу может не хватать осведомленности в вопросах защиты прав субъектов ПДн и самих ПДн. Регуляторам может не хватать знаний о новых технологиях и потребностях бизнеса. Им нужен диалог и некоторые правила для того, чтобы диалог был продуктивным. VTDF и обеспечивает такие правила.
  • CWA 16112-2010. Self-assessment framework for managers. Этот документ разбит на две части. В первой описывает процесс самооценки процессов обработки ПДн со стороны руководителей подразделений и компаний. Вторая описывает ответственность менеджеров за процессы обработки ПДн, их роли и форматы участия в данных процессах и т.д.
  • CWA 16113-2010. Personal Data Protection Good Practices. Содержание этого документа тоже понятно из названия - это лучшие практики по обработке и защите ПДн. Интересно, что это, пожалуй, один из немногих стандартов по защите, где упоминаются DLP-решения.
Также к этим документам добавляется несколько Excel'овских форм, облегчающих решение описанных выше вопросов. Например, опросник для самооценки состояния защиты ПДн в организации. Сильно облегчает жизнь и не дает делать шагов в сторону на пути оптимального приведения себя в соответствие с требованиям Евроконвенции по защите прав субъектов ПДн.

стандарты персональные данные
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале