БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

5.10 Ответственность

 

Обработка ПДн влечет за собой обязанность соблюдения осторожности и применения конкретных и целесообразных мер обеспечения безопасности ПДн. Соблюдение принципа ответственности означает:

- документирование и сообщение обо всех политиках, процедурах и методах обеспечения безопасности ПДн;

- назначение в пределах организации конкретного лица (которое может, в свою очередь, передать полномочия другим) ответственным за осуществление процедур и методов, связанных с политикой обеспечения безопасности ПДн;

- при передаче ПДн третьим сторонам обеспечение уверенности в том, что получатель третьей стороны будет обязан обеспечивать равноценный уровень безопасности ПДн через договорные или другие средства, такие как обязательные внутренние политики (соответствующий закон может содержать дополнительные требования, касающиеся передачи данных в международных масштабах);

- обеспечение соответствующего обучения сотрудников оператора ПДн, которым будет предоставляться доступ к ПДн;

- установление эффективных внутренних процедур обработки претензий и возмещения ущерба для их применения субъектами ПДн;

- информирование субъектов ПДн о нарушениях безопасности ПДн, которые могут нанести им существенный ущерб (если это не запрещено, например, при работе, связанной с применением закона), а также о мерах, принятых для устранения этих нарушений;

- уведомление всех лиц, заинтересованных в обеспечении безопасности ПДн, о нарушениях безопасности ПДн, как это требуется в некоторых странах (например, службами обеспечения безопасности данных) и в зависимости от уровня риска;

- доступ пострадавшему субъекту ПДн к соответствующим и эффективным санкциям и (или) механизмам, таким как исправление, исключение или восстановление, если произошло нарушение безопасности ПДн;

- рассмотрение процедур для компенсаций в ситуациях, в которых будет трудно или невозможно вернуть первоначальный статус ПДн физического лица в исходное состояние.

Меры, принимаемые для устранения нарушения безопасности, должны быть пропорциональны рискам, связанным с нарушением, но их реализация должна быть неотложной (за исключением ситуаций, когда это запрещено, например в процессе расследования правонарушения).

Создание процедур возмещения ущерба является важной частью установления ответственности. Возмещение ущерба предоставляет субъекту ПДн возможность сохранения ответственности оператора ПДн за ненадлежащее использование ПДн. Реституция - это форма возмещения, которая предполагает компенсацию пострадавшему субъекту ПДн. Это важно не только в случае кражи идентификационной информации ("кражи личности"), вреда репутации или ненадлежащего использования ПДн, но также и в случае ошибок в модификации или изменении соответствующих ПДн.

В случае наличия процессов возмещения ущерба субъекты ПДн более уверенно идут на соглашение, так как принятый риск для физического лица в отношении результата в этом случае снижен. В отношении некоторых услуг возмещение легче определить (например, при финансовой потере), чем для других (например, кража идентификационной информации, ущерб для имиджа или репутации физического лица), в которых трудно оценить размер ущерба и предоставить компенсацию. Возмещение ущерба осуществляется лучше всего, когда оно основано на прозрачности и честности. Необходимые виды мер по возмещению ущерба могут регулироваться законом.

TelegramПодписаться на обновления
TOC