ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

5.4 Ограничение на сбор

 

Соблюдение принципа ограничения на сбор означает:

- ограничение сбора ПДн до такой степени, которая определяется рамками применяемого закона и строго необходимой(ыми) целью(ями).

Организации не должны собирать личную информацию хаотично. Количество и тип собранной информации должны быть ограничены до такой степени, которая является необходимой для осуществления (в рамках закона) реализации цели(ей), точно определенной(ых) оператором ПДн. Организации, прежде чем приступить к сбору ПДн, должны тщательно рассмотреть те ПДн, которые могут быть затребованы для осуществления особой цели. Организации должны документировать типы накопленных ПДн, а также правомерность их накопления для выполнения деятельности, являющейся частью их политик и практик по обработке информации.

Оператор ПДн может выразить желание собирать дополнительные ПДн с иной целью, чем предоставление конкретной услуги, требуемой субъекту ПДн (например, в целях прямого маркетинга). В зависимости от полномочий такая дополнительная информация может быть собрана только при согласии субъекта ПДн. Возможно также, что сбор определенной информации будет разрешен с помощью соответствующего закона. Когда это допустимо, субъекту ПДн должна быть дана возможность выбора: предоставлять или не предоставлять такую информацию. Субъект ПДн также должен быть четко осведомлен о том обстоятельстве, что его ответные действия на такие запросы о дополнительной информации не являются обязательными.