Товары в корзине: 0 шт Оформить заказ
Стр. 1 

19 страниц

396.00 ₽

Купить ГОСТ Р 53647.6-2012 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Устанавливает требования к системе менеджмента персональной информации, направленные на обеспечение выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области. Стандарт применим к организациям разных размеров и форм собственности, и может быть использован лицами, ответственными за разработку, внедрение и поддержание в рабочем состоянии процессов системы менеджмента персональной информации организации. Стандарт применяется при управлении персональной информацией, в том числе при обеспечении ее достоверности, а также при проведении внутренней и внешней оценки соответствия законодательным и обязательным требованиям в области защиты информации и передовому опыту.

 Скачать PDF

Оглавление

1 Область применения

2 Термины, определения и обозначения

3 Планирование СМПИ

4 Внедрение и функционирование СМПИ

5 Мониторинг и анализ СМПИ

6 Улучшение СМПИ

Приложение А (справочное) Цикл PDCA «Планирование — Осуществление — Проверка — действие»

Библиография

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19

ФЕДЕРАЛЬНОЕ АГЕНТСТВО

ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

ГОСТ Р

(иГт

\ СТАНДАРТ / РОССИЙСКОЙ

53647.6—

Х>*Иу

ФЕДЕРАЦИИ

2012

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Требования к системе менеджмента персональной информации для обеспечения защиты данных

Издание официальное



Предисловие

1    ПОДГОТОВЛЕН Автономной некоммерческой организацией «Научно- исследовательский центр контроля и диагностики технических систем» (АНО «НИЦ КД») на основе собственного аутентичного перевода международного стандарта, указанного в разделе 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 10 «Менеджмент риска»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 ноября 2012 г. № 1421-ст

4    Настоящий стандарт соответствует основным положениям национального стандарта Великобритании BS 10012:2009 «Защита данных. Требования к системе менеджмента персональной информации» (BS 10012:2009 «Data protection - Specification for a personal information management system»).

Наименование настоящего стандарта изменено относительно наименования указанного национального стандарта для приведения в соответствие с ГОСТ Р 1.5 - 2004 (подраздел 3.5).

5    ВВЕДЕН ВПЕРВЫЕ

Правипа применения настоящего стандарта устаноепены в ГОСТ Р 1.0-2012 (раздел 8). Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок - в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены наслюящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

© Стандартинформ. 2014

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р 53647.6-2012

Введение

0.1 Система менеджмента персональной информации

Применение настоящего стандарта может позволить организациям внедрить в рамках общей структуры управления информацией систему менеджмента персональной информации (СМПИ), которая служит основой повышения степени соответствия законодательным и обязательным требованиям о защите данных и передовому опыту в данной области деятельности.

Основным законом в этой сфере является Федеральный Закон о защите персональных данных № 152 от 27.07.2006 г (1J. Он реализует положения Конституции РФ и Европейской директивы 95/46/ЕС от 24 октября 1995 года [2] и применяется к «персональным данным», которые определены как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), такая как его фамилия, имя. отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.

В настоящем стандарте термин «персональная информация» используется в качестве синонима термину «персональные данные». В качестве синонимов термина «менеджмент персональной информации» часто используют термины «менеджмент персональных данных», «управление персональной информацией», «управление персональными данными». Выбор терминов зависит от потребностей организации и требований ее причастных сторон.

Закон о защите персональных данных регулируется и приводится в исполнение уполномоченным органом по защите прав субъектов персональных данных (далее уполномоченный орган), ответственным за содействие защите персональной информации. Уполномоченный орган распространяет передовой мировой опыт путем опубликования руководств, правил по правомерным претензиям, предоставляет необходимую информацию физическим лицам и организациям, а также принимает соответствующие меры в случае нарушения закона.

Уполномоченный орган обладает полномочиями по расследованию претензий, проведению оценки соответствия обработки информации требованиям (1). выпуску информационных сообщений и уведомлений о принудительном исполнении требований законодательства.

0.2 Принципы защиты персональной информации

В соответствии с мировой практикой операторы, работающие с персональными данными, должны соблюдать восемь принципов защиты персональной информации, согласно которым персональная информация должна:

1- ый принцип - быть обработана квалифицировано и с учетом законодательных и обязательных требований;

2- ой принцип - быть собрана только для определенных целей и обработана только в соответствии с этими целями;

3- ий принцип - быть адекватной, соответствующей целям и не избыточной;

4- ый принцип - быть достоверной и актуальной;

5- ый принцип - не должна храниться больше установленного срока;

6- ой принцип - быть обработана с соблюдением законных прав физических лиц. включая право на получение доступа к личной информации;

7- ой принцип - быть защищена;

8- ой принцип - не должна передаваться в страны, находящиеся за пределами РФ, без обеспечения надлежащей защиты.

Из данных принципов защиты данных могут быть сделаны исключения. Большая часть таких исключений составляет следующие категории:

исключения из принципа неразглашения;

исключения из положений о предоставлении информации субъекту персональных данных; исключения, относящиеся к обработке информации в исторических и (или) исследовательских целях;

прочие исключения, например, конфиденциальные ссылки и экзаменационные работы

Дополнительная информация приведена в (1). инструкциях уполномоченного органа и в прочих руководствах и рекомендациях.

0.3 Уведомление

С целью обеспечения открытости в соответствие с (1] организация должна уведомлять уполномоченный орган об обработке персональной информации, за исключением случаев применения исключений в отношении уведомлений.

ГОСТ P 53647.6—2012

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕНЕДЖМЕНТ НЕПРЕРЫВНОСТИ БИЗНЕСА

Требования к системе менеджмента персональной информации для обеспечения защиты данных

Business continuity management Specification for a personal information management system for data

protect on

Дата введения — 2013—12—01

1    Область применения

Настоящий стандарт устанавливает требования к системе менеджмента персональной информации (СМПИ), направленные на обеспечение выполнения законодательных и обязательных требований по защите персональной информации, а также внедрения передового мирового опыта в этой области.

Примечание - Ко всем процессам СМПИ применяется цикл PDCA (планироеание-осуществление-проверка-действие) (см приложение А)

Настоящий стандарт применим к организациям разных размеров и форм собственности, и может быть использован лицами, ответственными за разработку, внедрение и поддержание в рабочем состоянии процессов СМПИ организации. Настоящий стандарт применяется при управлении персональной информацией, в том числе при обеспечении ее достоверности, а также при проведении внутренней и внешней оценки соответствия законодательным и обязательным требованиям в области защиты информации и передовому опыту.

2    Термины, определения и обозначения

2.1    Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

2.1.1    аудит (audit): Систематический, независимый и документированный процесс получения свидетельств аудита (проверки) и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита.

[ГОСТ Р ИСО 9000-2008]

Примечание - Внутренние аудиты, иногда называемые аудиты первой стороной, проводятся обычно самой организацией или от ее имени для внутренних целей и могут служить основанием для декларации о соответствии

2.1.2    физическое лицо (individual): Лицо, являющееся субъектом персональных данных.

2.1.3    система менеджмента (management system): Система для разработки политики и целей и достижения этих целей.

[ГОСТ Р ИСО 9000-2008]

2.1.4    несоответствие (nonconformity): Невыполнение требования.

[ГОСТ Р ИСО 9000-2008. ГОСТ Р ИСО 14001-2007]

2.1.5    организация (organization): Группа работников и необходимых средств с указанием распределения ответственности, полномочий и взаимоотношений.

Примеры -    Компания,    корпорация, фирма, предприятие,    учреждение,

бпаготворитепьная организация, предприятие торговли, ассоциация, а также их подразделения или комбинации из них.

2.1.6    персональная информация (personal information): Информация, относящаяся к определенному физическому лицу, по которой его можно идентифицировать.

Издание официальное

2.1.7    политика менеджмента персональной информации (personal information management policy): Официально оформленное и утвержденное высшим руководством заявление об общих намерениях и направлении развития организации в области защиты персональной информации, в том числе соответствии законодательным и обязательным требованиям и передовому опыту.

2.1.8    система менеджмента персональной информации, СМПИ (personal information management system. PIMS): Часть общей системы менеджмента, направленная на создание, внедрение, функционирование, мониторинг, анализ, поддержание в рабочем состоянии и постоянное улучшение менеджмента персональной информации.

2.1.9    процедура (procedure): Установленный способ осуществления деятельности или процесса, которые могут быть документированными и недокументированными.

2.1.10    процесс (process): Набор действий, направленных на достижение результата.

2.1.11    обработка (processing): Получение, запись, хранение и иные виды операций с персональной информацией.

Примечание - В понятие «обработка» входит сбор, организация, адаптация, изменение, раскрытие, обмен, распространение, согласование, объединение, блокирование, удаление и уничтожение персональной информации

2.1.12    персональная информация особой ответственности (sensitive personal information): Персональная информация о:

a)    национальности или отношении к этнической группе;

b)    политических взглядах;

c)    вероисповедании:

d)    членстве в профсоюзе;

e)    физическом или психическом здоровье или состоянии;

f)    сексуальной ориентации;

д)    правонарушениях, включая судебные разбирательства, прекращение судебного разбирательства, приговоры суда, вынесенные в ходе судебного разбирательства за правонарушение, совершенных или предполагаемых.

2.1.13    система (system): Совокупность взаимосвязанных и взаимодействующих элементов.

(ГОСТ Р ИСО 9000-2008)

2.1.14    работники (workers): Люди, работающие в организации и на нее.

Примечание - К работникам, работающим на организацию, могут быть отнесены постоянный и временный персонал организации, подрядчики, добровольцы и консультанты

2.2 Сокращения

PDCA 1    Планирование,    осуществление,    проверка, действие.

PIMS'1    Система    менеджмента персональной информации (СМПИ).

3 Планирование СМПИ

Цель:    Планирование    внедрения    системы    менеджмента персональной информации,

определяющей направления развития системы, и обеспечивающее соответствие передовому опыту в области защиты персональных данных и соблюдение законодательных и обязательных требований.

3.1    Создание и управление СМПИ

Организация должна разработать, задокументировать, внедрить, поддерживать в рабочем состоянии и постоянно упучшать СМПИ в требованиями настоящего стандарта.

3.2    Область применения и цели СМПИ

Организация должна определить область применения и цели СМПИ с учетом:

a)    требований к менеджменту персональной информации;

b)    целей и обязательств высшего руководства организации;

c)    уровня приемлемого риска организации;

d)    законодательных, обязательных, договорных и/или профессиональных требований;

е)    интересов физических лиц и ключевых заинтересованных сторон.

v PDCA - Plan-Do-Check-Act ■ PIMS - Personal Information management system

ГОСТ P 53647.6—2012

3.3    Политика в области персональной информации

Высшее руководство организации должно официально сформулировать и нести ответственность за разработку и актуализацию политики организации в области персональной информации, обеспечить основу для соблюдения законодательных и обязательных требований и соответствие передовому опыту в области защиты данных.

Примечание - Высшее руководство обычно включает в себя совет директоров, генерального директора и руководителей высшего звена организации и/или владельца индивидуального предприятия.

В политике должна быть определена область применения СМПИ:

a)    ко всей организации;

b)    к соответствующим подразделениям и уровням организации.

Политика менеджмента персональной информации должна быть доведена до сведения всего персонала организации.

3.4    Содержание политики

В политике должны быть определены обязательства высшего руководства организации по соблюдению законодательных и обязательных требований и соответствию передовому опыту в области защиты персональных данных, включая:

a)    обработку персональной информации только в случаях, когда это необходимо для достижения целей организации;

b)    отказ от обработки излишней персональной информации;

c)    предоставление физическим лицам достоверной информации о том. как их персональная информация будет использована и кем;

d)    обработку только необходимой и адекватной персональной информации;

e)    добросовестную и законную обработку персональной информации (см. п 4.7);

0 ведение реестра категорий персональной информации, обрабатываемой организацией (см. п. 4 2);

д) обеспечение достоверности и. при необходимости, актуальности персональной информации;

h) хранение персональной информации в течение срока, установленного в соответствии с законодательными и обязательными требованиями для достижения установленных целей организации;

О соблюдение прав лиц в отношении их персональной информации, включая их право на доступ к личным данным;

j)    обеспечение защиты всей персональной информации;

k)    трансграничную передачу персональной информации только при условии, что эта информация может быть должным образом защищена;

l)    применение различных исключений, допустимых в соответствии с законодательством о защите персональных данных;

т) разработку и внедрение СМПИ с целью реализации политики;

л) если целесообразно, определение внутренних и внешних заинтересованных лиц и степени их участия в управлении СМПИ организации;

о) определение персональной ответственности уполномоченного персонала за менеджмент персональной информации организации (см. п. 3.5).

3.5    Ответственность и подотчетность

Из числа высшего руководства должен быть назначен представитель, ответственный за менеджмент персональной информации в организации, который должен быть способен продемонстрировать соблюдение законодательных и обязательных требований и соответствие передовому опыту в области защиты персональных данных (см. п. 4.1.1). Ответственный представитель должен нести ответственность за:

a)    утверждение высшим руководством политики менеджмента персональной информации;

b)    разработку и внедрение СМПИ в соответствие с политикой менеджмента персональной информации:

c)    менеджмент безопасности и риска, направленный на выполнение политики менеджмента персональной информации (см. п. 4 13.1).

Должны быть назначены лицо или группа лиц из числа персонала, обладающих соответствующей квалификацией и опытом, ответственными за каждодневное выполнение политики менеджмента персональной информации в организации (см. п. 4.1.2).

3

В реализации политики менеджмента персональной информации должен участвовать весь персонал организации, выполняя процессы и процедуры организации. Это может быть достигнуто путем повышения квалификации работников, внедрением процедур по устранению несоответствий и применения соответствующих санкций.

3.6    Выделение ресурсов

Организация должна обеспечить необходимые ресурсы для создания, внедрения, функционирования и поддержания в рабочем состоянии СМПИ.

3.7    Внедрение СМПИ в организации

Для того, чтобы менеджмент персональной информации стал частью основных ценностей, активов и менеджмента, организация должна:

a)    повышать и поддерживать осведомленность персонала о СМПИ путем организации постоянного обучения и выполнения программ повышения осведомленности персонала;

b)    установить процесс оценки результативности в области повышения осведомленности о СМПИ;

c)    информировать персонал о важности:

1)    выполнения целей СМПИ;

2)    соблюдения политики в области персональной информации;

3)    постоянного улучшения политики в области персональной информации;

d)    информировать персонал о его вкладе в достижение целей СМПИ организации и последствиях несоблюдения политики СМПИ

4 Внедрение и функционирование СМПИ

4.1    Распределение ответственности и полномочий

Цель: Распределение ответственности и полномочий персонала в соответствии с политикой организации в области персональной информации._

4.1.1    Высшее руководство

Должен быть назначен представитель высшего руководства ответственный за менеджмент персональной информации в организации, который должен осуществляться таким образом, чтобы можно было продемонстрировать соблюдение законодательных и обязательных требований и соответствие передовому опыту в области защиты персональных данных

Примечание - В небольших организациях представитель высшего руководства и работник, ответственный за соблюдение политики (см п 4 12). может быть одним и тем же лицом

4.1.2    Ответственность за соблюдение политики

Один или несколько работников, обладающих соответствующей квалификацией и опытом работы, должны быть назначены ответственными за соблюдение политики менеджмента персональной информации организации. Возложенные обязанности могут выполняться на основе полной или частичной занятости в зависимости от размера организации и характера обработки персональной информации.

Назначенный персонал должен нести ответственность за:

a)    соблюдение политики менеджмента персональной информации;

b)    разработку и пересмотр политики менеджмента персональной информации;

c)    обеспечение внедрения политики в области персональной информации;

d)    анализ политики в области персональной информации со стороны высшего руководства (см. п. 5.2);

e)    обучение и постоянное повышение осведомленности персонала организации в соответствии с политикой в области персональной информации (см. п. 4 3);

0 утверждение процедур, предусматривающих обработку персональной информации, таких

как:

1)    управление уведомлениями о конфиденциальности и обмен информацией о них (см. п.

4.7.1);

2)    работу с запросами физических лиц (см. п. 4.12.1);

3)    сбор и обработку персональной информации (см. п. 4.7.1);

4)    работу с претензиями (см.п. 4.12.2);

5)    устранение инцидентов в области безопасности (см. п. 4 13.6);

6)    аутсорсинг и передачу персональных данных в другие организации (см. п 4.14).

4

ГОСТ P 53647.6—2012

g)    связь с лицами, ответственными за менеджмент риска и безопасности в организации (см. п.4.13);

h)    предоставление консультаций и рекомендаций экспертов по вопросам защиты персональных данных;

О интерпретацию и применение различных исключений при обработке персональной информации (см. введение и л. 4.8.1);

j)    предоставление рекомендаций по проектам, связанным с обменом данными (включая вопросы безопасности в ситуации, когда данные находятся вне зоны контроля) (см. п. 4.8.3);

k)    обеспечение доступа организации к актуализированным законодательным требованиям и рекомендациям о защите персональных данных (см. п. 4.5);

О мониторинг изменений в законодательстве, методах и технологиях в области защиты информации в СМПИ (см. л. 4.5);

ш) оформление, передачу и управление уведомлениями в адрес уполномоченного органа по защите прав субъектов персональных данных (далее уполномоченный орган), если это требуется согласно закону о защите персональных данных (см. п. 4.6);

л) внедрение методов, связанных с обработкой персональной информации, установленных в стандартах и/или рекомендациях.

4.1.3 Уполномоченные представители по защите данных

Если в организации существуют несколько подразделений, занимающихся обработкой персональной информации, или систем по обработке информации, то организация должна создать сеть уполномоченных представителей по защите персональных данных, которые:

a)    представляют подразделения или системы с высоким уровнем риска в отношении менеджмента персональной информации (в п. 4.2.2 см. примеры персональной информации, входящие в категории высокого уровня риска);

b)    помогают персоналу, ответственному за выполнение политики.

4.2 Идентификация и регистрация используемых персональных данных

Цель:    Обеспечение    понимания    персоналом    организации категорий обрабатываемой

персональной информации и уровня риска, возникающего при ее обработке._

4.2.1    Общие положения

Организация должна вести реестр категорий обрабатываемой персональной информации. В реестре должны быть указаны цели использования каждой категории персональной информации.

Примечание - Реестр должен обеспечивать все необходимые данные для уведомления уполномоченного органа об обработке персональных данных

Организация должна отслеживать и документально оформлять прохождение персональной информации в рамках действующих процессов организации.

4.2.2    Персональная информация с высоким уровнем риска

Порядок ведения реестра (см. п.4.2.1) должен обеспечивать идентификацию и регистрацию категории обрабатываемой персональной информации с высоким уровнем риска.

Категории персональной информации с высоким уровнем риска могут включать в себя:

a)    персональную информацию особой ответственности;

b)    информацию о лицевых банковских счетах и другую финансовую информацию;

c)    идентификаторы национальных систем, такие как номер страхового пенсионного полиса;

d)    персональную информацию, касающуюся социально уязвимых взрослых и детей;

e)    подробные профили данных физических лиц;

0 данные конфиденциальных переговоров, которые могут неблагоприятно повлиять на состояние и положение физического лица.

Примечание - Уровень риска может повышаться при обработке больших объемов персональной информации

4.3 Обучение и осведомленность

Цель: Обеспечение осведомленности всего персонала организации о своих обязанностях. связанных с обработкой персональной информации._

Организация должна обеспечить, чтобы персонал, ответственный за соблюдение законодательных и обязательных требований и соответствие организации передовому опыту в области защиты персональных данных (см. п. 4.1.2), был способен продемонстрировать свою компетентность в данной области, в том числе понимание требований и реализации СМПИ в

организации. Организация также должна обеспечить осведомленность каждого работника в вопросах, связанных с менеджментом персональной информации, например, путем проведения обучения или обеспечения соответствующей информацией.

Организация должна быть в состоянии продемонстрировать понимание всем персоналом своей ответственности за защиту и обработку персональной информации в соответствии с установленными процедурами и требованиями безопасности.

Весь персонал организации должен пройти обучение методам обработки персональной информации в соответствии с установленными документированными процедурами организации. Обучение должно соответствовать функциям, обязанностям и полномочиям работника в организации.

4.4    Оценка риска

Цель: Обеспечение осведомленности организации обо всех видах риска, связанных с обработкой конкретных видов персональной информации._

Организация должна внедрить процесс оценки риска для физических лиц. связанного с обработкой их персональной информации. Такая оценка также должна включать обработку персональных данных, осуществляемую другими организациями. Организация должна управлять риском, выявленным в процессе его оценки риска для снижения вероятности несоблюдения политики в области защиты персональной информации.

Процесс оценки риска должен включать в себя процедуры, в соответствие с которыми риск нанесения ущерба и/или причинения вреда физическим лицам при обработке персональной информации должен быть передан для анализа ответственным за защиту информации лицам и учтен (см. п.3.5) в системе менеджмента персональной информации.

Примечание - Организация может использовать различные методы оценки риска, например установленные ГОСТ Р ИСО/МЭК 31010. Кроме того, могут быть использованы иные нормативные документы, связанные с оценкой воздействия нарушения личной тайны.

4.5    Поддержка СМПИ

Цель: Оценка соответствия СМПИ для поддержки и постоянного улучшения соблюдения законодательных и обязательных требований и соответствия передовому опыту в области защиты персональных данных._

Персонал, ответственный за выполнение политики (см. п 4.1.2), должен постоянно оценивать способность СМПИ демонстрировать соблюдение законодательных и обязательных требований и соответствие передовому опыту в области защиты персональных данных.

Данная оценка должна включать в себя пересмотр СМПИ при изменении требований и/или методов работы организации.

4.6    Уведомление

Цель: Обеспечение необходимой отчетности организацией об обработке персональной информации перед уполномоченным органом в соответствии с требованиями |1)._

СМПИ должна включать в себя процедуры уведомления уполномоченного органа (если организация не освобождена от требования подавать уведомления согласно (1)). а также должна обеспечивать точность и актуальность таких уведомлений.

4.7    Добросовестная и законная обработка информации

Цель: Обеспечение квалифицированной обработки персональной информации и установления законных оснований для обработки персональной информации до начала ее обработки._

4.7.1 Сбор и обработка персональной информации

СМПИ должна включать в себя процедуры, обеспечивающие:

a)    квалифицированную и законную обработку персональной информации организацией:

b)    обработку организацией персональной информации особой ответственности только в соответствии с требованиями (1);

c)    обработку организацией персональной информации особой ответственности только для достижения установленных целей организации и в соответствии с требованиями [1];

d)    выдачу лицу, передающему организации свою персональную информацию, «уведомления о конфиденциальности» или заявления о конфиденциальности в режиме он-лайн, полностью или частично со ссылкой на полный текст уведомления с указанием следующей информации:

ГОСТ P 53647.6—2012

1)    сведений об организации;

2)    цели обработки персональной информации;

3)    условиях раскрытия персональных данных третьим лицам;

4)    правах доступа субъекта к своим персональным данным;

5)    условиях передачи персональной информации 8 страны, не обеспечивающие ее адекватной защиты;

6)    способах обращения с запросом об обработке персональной информации в организации;

7)    методах и технологиях, таких как файлы cookie, используемых на веб-сайте для сбора персональной информации о физических лицах;

8)    прочих способах обеспечения квалифицированной обработки персональных данных.

Если сбор или использование персональной информации осуществляется для целей

маркетинга. СМПИ должна включать в себя процедуры, обеспечивающие способы отказа субъекта персональных данных от подобного маркетинга, которые должны быть однозначно ему разъяснены.

СМПИ должна включать в себя процедуры, обеспечивающие порядок работы в ситуации, когда обработка персональных данных была основана на согласии субъекта персональной информации, которое позднее было им отозвано, т е. процедуры прекращения обработки.

Если в соответствие с законодательными или обязательными требованиями необходимо согласие для осуществления маркетинга, СМПИ должна включать в себя процедуры получения такого согласия.

Если персональную информацию особой ответственности получают для определенных целей. СМПИ должна включать в себя процедуры, обеспечивающие точное указание в уведомлениях о конфиденциальности целей использования такой персональной информации.

СМПИ должна включать в себя процедуры, обеспечивающие верификацию и валидацию новых методов сбора информации персоналом, обладающим соответствующей квалификацией и опытом работы (см. п. 4.1.2), и соответствие таких методов законодательным и обязательным требованиям и передовому опыту в области защиты персональных данных.

4.7.2    Записи об уведомлениях и заявлениях о конфиденциальности

СМПИ должна включать в себя процедуры регистрации уведомлений и он-лайн заявлений о конфиденциальности. Такие записи должны храниться не менее установленного срока хранения соответствующей персональной информации.

4.7.3    Срок предоставления уведомлений и заявлений о конфиденциальности

СМПИ должна включать в себя процедуры, обеспечивающие порядок действий в ситуации, когда организация получает персональную информацию непосредственно от физического лица, при этом уведомление или он-лайн заявление о конфиденциальности должно быть предоставлено или доступно этому лицу до получения от него какой-либо персональной информации.

4.7.4    Доступность уведомлений и заявлений о конфиденциальности

СМПИ должна включать в себя процедуры, обеспечивающие понятность и доступность содержания всех уведомлений и/или он-лайн заявлений о конфиденциальности.

Примечание - Уведомления о конфиденциальности, используемые при сборе персональной информации у социальными уязвимых взрослых лиц и детей, а также лиц. испытывающих затруднения в обучении, должны быть представлены на языке и в формате понятном и доступном для них

4.7.5    Третьи стороны

СМПИ должна включать в себя процедуры, обеспечивающие добросовестность и законность получения персональной информации от третьих сторон.

СМПИ должна включать в себя процедуры, обеспечивающие, при необходимости, предоставление субъектам персональной информации уведомлений о конфиденциальности и/ онлайн заявление о конфиденциальности (см. п. 4.7.1). за исключением случаев, когда такие меры являются чрезмерными.

Примечание - Предоставление уведомления или онлайн заявления о конфиденциальности могут быть признаны «чрезмерной мерой», если для этого организации требуются «значительные усилия» или если обработка информации может с большой вероятностью нанести ущерб субьекту.

4.8 Обработка персональных данных в заявленных целях

Цель; Обеспечение сбора и обработки персональной информации только для достижения установленных и заявленных целей._

7