Немецкий стандарт DIN 66398:2016 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных»

Немецкий национальный стандарт DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ), в котором рассматривается разработка политики уничтожения персональных данных, пользуется в Германии большим спросом со стороны организаций.

Документ по заказу немецкого национального органа по стандартизации DIN был разработан Фолькером Хаммером (Volker Hammer) и Карин Шулер (Karin Schuler) из консультационной фирмы по вопросам безопасности Secorvo. Текст проекта стандарта доступен по адресу https://www.secorvo.de/publikationen/din-leitlinie-loeschkonzept-hammer-schuler-2012.pdf или https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Hilfsmittel/Extern/Leitlinie_zur_Entwicklung_eines_Loesch­konzepts.pdf?__blob=publicationFile&v=2

Стандарт был также переведен на английский язык (DIN 66398:2016,
Guideline for development of a concept for data deletion with derivation of deletion periods for personal identifiable information - см., например, https://webstore.ansi.org/RecordDetail.aspx?sku=DIN+66398%3A2016 ) и, как сообщают немецкие коллеги, вызвал большой интерес вне Германии.

Этот успех стал поводом для представления DIN 66398 на международную стандартизацию (проект ISO/IEC 27555), и данный вопрос решается сейчас в совместном техническом подкомитете JTC1/SC27 Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).

Как отмечается во вводной части документа, «рекомендации данного стандарта будут способствовать реализации проектов по уничтожению персональных данных. Предлагаемый стандартом согласованный подход к таким проектам приведет, как ожидается, к появлению согласованных правил уничтожения для различных секторов экономики. Такие отраслевые правила будут содержать четкие наборы требований к ИТ-продуктам, используемым при обработке персональных данных.»

«В настоящем документе описывается концепция уничтожения персональных данных. В стандарте даются рекомендации по разработке реализующих эту концепцию политик организации, посредством описания:

• согласованной терминологии, касающейся уничтожения персональных данных,
• метода эффективного определения правил уничтожения / обезличивания,
• требуемой документации, и
• ролей, обязанностей и процессов.»
  

«Настоящий документ предназначен для использования организациями, в которых хранятся или обрабатываются персональные данные. В нём не рассматриваются:

• конкретные правовые положения, установленные национальным законодательством или контрактами,
• конкретные правила уничтожения для определенных типов персональных данных, которые должны быть определены операторами персональных данных;
• механизмы уничтожения, в том числе для данных в облачных хранилищах,
• безопасность механизмов уничтожения,
• конкретные методы обезличивания данных.»
  

Содержание документа следующее:
Дополнительная информация:

Hammer, Volker; Schuler, Karin: Löschen nach Regeln - die neue Norm hilft,  CuA 1/2016, S. 30-34, https://www.secorvo.de/publikationen/din66398-loeschen-hammer-schuler-2016.pdf

Hammer, Volker: DIN 66398 - Die Leitlinie Löschkonzept als Norm, Datenschutz und Datensicherheit (DuD) 8/2016, S. 528-533, https://www.secorvo.de/publikationen/din-66398-hammer-2016.pdf

Источник: сайт издательства Beuth Verlag GmbH
https://www.beuth.de/de/norm/din-66398/249218525
https://www.beuth.de/en/fachdaten-einzelsicht/wdc-beuth:din21:249218525/toc-2657431/download