Документ по заказу немецкого национального органа по стандартизации DIN был разработан Фолькером Хаммером (Volker Hammer) и Карин Шулер (Karin Schuler) из консультационной фирмы по вопросам безопасности Secorvo. Текст проекта стандарта доступен по адресу
Стандарт был также переведен на английский язык (DIN 66398:2016,
Guideline for development of a concept for data deletion with derivation of deletion periods for personal identifiable information - см., например,
Этот успех стал поводом для представления DIN 66398 на международную стандартизацию (проект ISO/IEC 27555), и данный вопрос решается сейчас в совместном техническом подкомитете JTC1/SC27 Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК).
Как отмечается во вводной части документа, «рекомендации данного стандарта будут способствовать реализации проектов по уничтожению персональных данных. Предлагаемый стандартом согласованный подход к таким проектам приведет, как ожидается, к появлению согласованных правил уничтожения для различных секторов экономики. Такие отраслевые правила будут содержать четкие наборы требований к ИТ-продуктам, используемым при обработке персональных данных.»
«В настоящем документе описывается концепция уничтожения персональных данных. В стандарте даются рекомендации по разработке реализующих эту концепцию политик организации, посредством описания:
- согласованной терминологии, касающейся уничтожения персональных данных,
- метода эффективного определения правил уничтожения / обезличивания,
- требуемой документации, и
- ролей, обязанностей и процессов.»
- конкретные правовые положения, установленные национальным законодательством или контрактами,
- конкретные правила уничтожения для определенных типов персональных данных, которые должны быть определены операторами персональных данных;
- механизмы уничтожения, в том числе для данных в облачных хранилищах,
- безопасность механизмов уничтожения,
- конкретные методы обезличивания данных.»
Предисловие Введение 1. Область применения 2. Термины и определения 3. Сокращения 4. Основы политики уничтожения 5. Определение типов персональных данных 6. Установление сроков хранения 7. Классификация указаний по срокам хранения и уничтожению данных по их истечении 8. Требования к исполнению правил уничтожения 9. Оперативная и организационная структура: ответственность и процессы уничтожения персональных данных Приложение A (справочное): Руководство по проекту разработки политики уничтожения Приложение B (справочное): Руководство по анонимизации персональных данных Приложение C (справочное): Руководство по требованиям к безопасности механизмов уничтожения Приложение D (справочное): Руководство по ограничению доступа к массивам данных (блокированию) Библиография |
Hammer, Volker; Schuler, Karin: Löschen nach Regeln - die neue Norm hilft, CuA 1/2016, S. 30-34,
Hammer, Volker: DIN 66398 - Die Leitlinie Löschkonzept als Norm, Datenschutz und Datensicherheit (DuD) 8/2016, S. 528-533,
Источник: сайт издательства Beuth Verlag GmbH