ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

5.5 Минимизация данных

Минимизация данных тесно связана с принципом "ограничение на сбор", но является более широким понятием. В то время как "ограничение на сбор" связано со сбором ограниченных данных по отношению к указанной цели, минимизация данных строго минимизирует обработку ПДн.

Соблюдение принципа минимизации данных означает разработку и реализацию процедур по обработке данных и систем такими способами, чтобы:

- минимизировать персональные данные, которые обрабатываются, а также количество заинтересованных в обеспечении конфиденциальности сторон и лиц, чьи ПДн подлежат разглашению или которым разрешено их обрабатывать;

- обеспечить принятие принципа "необходимости знать" (т.е. разрешение обрабатывать только те ПДн, которые необходимы для выполнения своих служебных обязанностей в рамках законной цели обработки ПДн);

- использовать или предлагать в качестве вариантов по умолчанию, где это возможно, взаимодействия и транзакции, которые не вовлекают в процесс идентификации субъектов ПДн, снижают наблюдаемость их поведения и ограничивают привлекательность собранных ПДн;

- безопасно уничтожать ПДн, когда это возможно на практике, в частности, в случае истечения срока обработки ПДн и отсутствия законных требований к их хранению (Изменение Amd.1:2018).