ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных
5.8 Открытость, прозрачность и уведомление
Соблюдение принципа открытости, прозрачности и уведомления означает:
- предоставление субъекту ПДн четкой и легкодоступной информации о политиках, процедурах и практических приемах операторов ПДн, относящихся к обработке ПДн;
- включение в уведомления факта обработки ПДн; цели, для которой осуществляется обработка; типов лиц, заинтересованных в защите ПДн, которым могут быть раскрыты ПДн, и идентификационных данных оператора ПДн, включая контактную информацию оператора ПДн;
- раскрытие вариантов выбора и средств, предлагаемых оператором ПДн, субъекту ПДн для целей ограничения использования информации, а также для доступа, корректировки и пересылки его информации;
- уведомление субъектов ПДн о существенных изменениях в процедурах, выполняемых при обращении с ПДн.
Может потребоваться обеспечение прозрачности общей информации, логически лежащей в основе обработки ПДн, особенно если от результатов обработки зависит решение, влияющее на субъекта ПДн. Лица, заинтересованные в обеспечении безопасности ПДн, участвующие в обработке ПДн, должны владеть определенной информацией о своих политиках и практиках, относящихся к управлению защитой ПДн, которая легко доступна для общественного пользования. Все договорные обязательства, которые влияют на обработку ПДн, должны быть документированы и утверждены в организации соответствующим образом. О них должно быть также известно за пределами организации до той степени, когда эти обязательства не будут являться конфиденциальными.
Кроме того, цель обработки ПДн должна быть достаточно детализирована, чтобы дать возможность субъекту ПДн понять:
- определенные ПДн, требующиеся для конкретной цели;
- определенную цель для сбора ПДн;
- определенную обработку (включая механизмы сбора, передачи и хранения);
- типы уполномоченных физических лиц, кто будет осуществлять доступ к ПДн и кому ПДн могут передаваться;
- указанные требования к хранению и утилизации ПДн (Изменение Amd.1:2018). |
|
Подписаться на обновления