ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных
4.3 Взаимодействия
Субъекты, идентифицированные в 4.2, могут взаимодействовать между собой различным образом. Можно идентифицировать следующие сценарии, формирующие потоки ПДн между субъектом ПДн, оператором ПДн и обработчиком ПДн:
a) субъект ПДн предоставляет ПДн оператору ПДн (например, регистрация для оказания услуги оператором ПДн);
b) оператор ПДн предоставляет ПДн обработчику ПДн, который обрабатывает эти ПДн от имени оператора ПДн (например, как часть соглашения об аутсорсинге);
c) субъект ПДн предоставляет ПДн обработчику ПДн, который обрабатывает эти ПДн от имени оператора ПДн;
d) оператор ПДн предоставляет ПДн субъекту ПДн, и они относятся к субъекту ПДн (например, в соответствии с запросом, сделанным субъектом ПДн);
e) обработчик ПДн предоставляет ПДн субъекту ПДн (например, регулирование оператором ПДн);
f) обработчик ПДн предоставляет ПДн оператору ПДн (например, после обслуживания/выполнения сервиса, для которого они были предназначены).
Роли субъекта ПДн, оператора ПДн, обработчика ПДн и третьей стороны в данных сценариях приведены в таблице 1.
Необходимо различать обработчиков ПДн и третью сторону, потому что при пересылке ПДн обработчику ПДн правовой контроль за ПДн остается функцией первоначального оператора ПДн, тогда как третья сторона оправданно может стать самостоятельным оператором ПДн после получения запрашиваемых ПДн. Например, когда третья сторона принимает решение о передаче ПДн, полученных от оператора ПДн, другой стороне, она будет действовать как оператор ПДн с ее собственными правами и поэтому больше не будет являться третьей стороной.
Можно идентифицировать следующие сценарии, формирующие потоки ПДн между операторами ПДн и обработчиками ПДн, с одной стороны, и третьей стороной, с другой стороны:
g) оператор ПДн предоставляет ПДн третьей стороне (например, в контексте делового соглашения);
h) обработчик ПДн предоставляет ПДн третьей стороне (например, по указанию оператора ПДн).
Роли оператора ПДн и третьей стороны в этих сценариях также показаны в таблице 1.
Таблица 1
Возможные потоки ПДн между субъектом ПДн, оператором ПДн,
обработчиком ПДн и третьими сторонами и их роли
Сценарий | Субъект ПДн | Оператор ПДн | Обработчик ПДн | Третья сторона |
a) | Поставщик ПДн | Получатель ПДн | - | - |
b) | - | Поставщик ПДн | Получатель ПДн | - |
c) | Поставщик ПДн | - | Получатель ПДн | - |
d) | Получатель ПДн | Поставщик ПДн | - | - |
e) | Получатель ПДн | - | Поставщик ПДН | - |
f) | - | Получатель ПДн | Поставщик ПДН | - |
g) | - | Поставщик ПДн | - | Получатель ПДн |
h) | - | - | Поставщик ПДн | Получатель ПДн |
Подписаться на обновления