27 Августа, 2019

ИСО: Идёт публичное обсуждение стандарта ISO/IEC DIS 29184 «Онлайн-уведомления об обработке персональных данных и согласия на обработку»

Наталья Храмцовская

Как сообщают сайты Международной организации по стандартизации (ИСО) и Британского института стандартов (BSI), в настоящее время идёт публичное обсуждение проекта стандарта ISO/IEC DIS 29184 «Информационные технологии - Онлайн-уведомления об обработке персональных данных и согласия на обработку» (Information technology - Online privacy notices and consent) объёмом 22 страницы, см. https://www.iso.org/standard/70331.html . Стандарт подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность».

Я уже упоминала о работе над этим документом здесь: https://rusrim.blogspot.com/2017/12/2_13.html

На сайте Британского института стандартов до 27 августа 2019 года есть возможность принять участие в обсуждении документа (см. https://standardsdevelopment.bsigroup.com/projects/2016-01083 ).

Страница публичного обсуждения стандарта на сайте BSI
Во вводной части стандарта, в частности, отмечается:
«Настоящий документ содержит описание мер и средств и относящуюся к ним дополнительную информацию, которые помогут  организациям обеспечить основу для представления ясной и легко понимаемой информации тем лицам, чьи персональные данные они собирают, о том, как организация будет обрабатывать их персональные данные (например, при предоставлении услуг потребителям; или в рамках трудовых отношений); и получить согласие субъектов ПДн честным, доказуемым, прозрачным, недвусмысленным образом, с предоставлением возможности отзыва такого согласия.

Настоящий документ подробно говорит о реализации на практике двух принципов обеспечения неприкосновенности частной жизни из стандарта ISO/IEC 29100 (а именно, принципа 1 «Согласие и выбор» и принципа 7 «Открытость, прозрачность и уведомление»).»

Мой комментарий: Свободно распространяемый стандарт ISO/IEC 29100:2011 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework, см. https://www.iso.org/standard/45123.html ) адаптирован в России как ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307

«… В данном документе специфицированы меры и средства, которые будут определять содержание и структуру онлайн-уведомлений о политике в области защиты неприкосновенности частной жизни, а также процесс запроса у субъектов персональных данных согласия на сбор и обработку таких данных (personally identifiable information, PII).

Настоящий документ применим в любом онлайн-контексте, где оператор ПДн или любая другая обрабатывающая ПДн сторона информирует о такой обработке субъектов персональных данных.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Общие требования и рекомендации
•    5.1. Общая цель
•    5.2. Уведомление
•    5.3. Содержание уведомления
•    5.4. Согласие
•    5.5. Изменение условий
Приложение A: Примеры пользовательского интерфейса для получения согласия от субъекта персональных данных на персональных компьютерах и смартфонах
Приложение B: Примеры квитанции о предоставлении согласия либо Документа о предоставлении согласия (см. Примечание в п.5.4.3)
Мой комментарий: В принципе, документ, по-моему, неплохой. Он содержит положения, в основном вытекающие из здравого смысла, и действительно может быть полезен разработчикам систем и решений. В то же время у него есть слабые места, главным из которых, на мой взгляд, является слабое представление авторов документа о том, по каким принципам устанавливаются и отслеживаются сроки хранения документов (конкретно, уведомлений об обработке персональных данных).

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/70331.html
https://standardsdevelopment.bsigroup.com/projects/2016-01083