ИСО: Идёт публичное обсуждение стандарта ISO/IEC DIS 29184 «Онлайн-уведомления об обработке персональных данных и согласия на обработку»

ИСО: Идёт публичное обсуждение стандарта ISO/IEC DIS 29184 «Онлайн-уведомления об обработке персональных данных и согласия на обработку»

Как сообщают сайты Международной организации по стандартизации (ИСО) и Британского института стандартов (BSI), в настоящее время идёт публичное обсуждение проекта стандарта ISO/IEC DIS 29184 «Информационные технологии - Онлайн-уведомления об обработке персональных данных и согласия на обработку» (Information technology - Online privacy notices and consent) объёмом 22 страницы, см. https://www.iso.org/standard/70331.html . Стандарт подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность».

Я уже упоминала о работе над этим документом здесь: https://rusrim.blogspot.com/2017/12/2_13.html

На сайте Британского института стандартов до 27 августа 2019 года есть возможность принять участие в обсуждении документа (см. https://standardsdevelopment.bsigroup.com/projects/2016-01083 ).

Страница публичного обсуждения стандарта на сайте BSI
Во вводной части стандарта, в частности, отмечается:
«Настоящий документ содержит описание мер и средств и относящуюся к ним дополнительную информацию, которые помогут  организациям обеспечить основу для представления ясной и легко понимаемой информации тем лицам, чьи персональные данные они собирают, о том, как организация будет обрабатывать их персональные данные (например, при предоставлении услуг потребителям; или в рамках трудовых отношений); и получить согласие субъектов ПДн честным, доказуемым, прозрачным, недвусмысленным образом, с предоставлением возможности отзыва такого согласия.

Настоящий документ подробно говорит о реализации на практике двух принципов обеспечения неприкосновенности частной жизни из стандарта ISO/IEC 29100 (а именно, принципа 1 «Согласие и выбор» и принципа 7 «Открытость, прозрачность и уведомление»).»

Мой комментарий: Свободно распространяемый стандарт ISO/IEC 29100:2011 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, см. https://www.iso.org/standard/45123.html ) адаптирован в России как ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307

«… В данном документе специфицированы меры и средства, которые будут определять содержание и структуру онлайн-уведомлений о политике в области защиты неприкосновенности частной жизни, а также процесс запроса у субъектов персональных данных согласия на сбор и обработку таких данных (personally identifiable information, PII).

Настоящий документ применим в любом онлайн-контексте, где оператор ПДн или любая другая обрабатывающая ПДн сторона информирует о такой обработке субъектов персональных данных.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Общие требования и рекомендации
•    5.1. Общая цель
•    5.2. Уведомление
•    5.3. Содержание уведомления
•    5.4. Согласие
•    5.5. Изменение условий
Приложение A: Примеры пользовательского интерфейса для получения согласия от субъекта персональных данных на персональных компьютерах и смартфонах
Приложение B: Примеры квитанции о предоставлении согласия либо Документа о предоставлении согласия (см. Примечание в п.5.4.3)
Мой комментарий: В принципе, документ, по-моему, неплохой. Он содержит положения, в основном вытекающие из здравого смысла, и действительно может быть полезен разработчикам систем и решений. В то же время у него есть слабые места, главным из которых, на мой взгляд, является слабое представление авторов документа о том, по каким принципам устанавливаются и отслеживаются сроки хранения документов (конкретно, уведомлений об обработке персональных данных).

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/70331.html
https://standardsdevelopment.bsigroup.com/projects/2016-01083
Великобритания информационная безопасность ИСО персональные данные стандарты управление документами BSI
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!