БИБЛИОТЕКА НОРМАТИВНЫХ ДОКУМЕНТОВ

ГОСТ ISO/IEC 29100-2021. Межгосударственный стандарт. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных

4.2 Субъекты и роли

 

Для целей настоящего стандарта важно идентифицировать субъектов, вовлеченных в обработку ПДн. Существуют четыре типа субъектов, которые могут быть вовлечены в обработку ПДн: субъекты ПДн, операторы ПДн, обработчики ПДн и третьи стороны.

4.2.1 Субъекты персональных данных

Субъекты ПДн предоставляют свои ПДн для обработки операторам ПДн и обработчикам ПДн и, если обратное не установлено применимым законодательством, они дают согласие и определяют свои предпочтения в отношении способов обработки их ПДн. Например, субъектом ПДн может быть работник, включенный в штатное расписание организации, или потребитель, упомянутый в отчете о кредитных операциях, или пациент, запись о здоровье которого внесена в электронную базу. Чтобы считаться субъектом ПДн, соответствующее физическое лицо необязательно должно быть идентифицировано по его имени. Если физическое лицо, к которому относятся ПДн, может быть идентифицировано косвенно (например, через идентификатор счета, номер полиса социального страхования или даже через комбинацию доступных признаков), оно также является субъектом ПДн для данного набора ПДн.

4.2.2 Операторы персональных данных

Оператор ПДн определяет, почему (цель) и как (способы) обрабатываются ПДн. В данной структуре оператор ПДн должен обеспечивать уверенность в том, что соблюдение принципов защиты ПДн во время обработки ПДн осуществляется под его контролем (например, путем реализации необходимых мер обеспечения безопасности ПДн). Может существовать более одного оператора ПДн для одного и того же набора ПДн или набора операций, выполняемых в отношении ПДн (для тех же самых или различных легальных целей). В этом случае операторы ПДн должны сотрудничать и обеспечивать выполнение принципов обеспечения безопасности ПДн во время обработки ПДн. Оператор ПДн также может разрешить выполнение всех или части операций по обработке ПДн другим лицам, заинтересованным в обеспечении защиты ПДн, от своего лица. Операторы ПДн должны тщательно оценивать, обрабатывают они чувствительную (специальные категории ПДн) или нечувствительную информацию, и реализовывать рациональные меры обеспечения безопасности ПДн на основе требований, установленных в соответствующей стране, а также оценивать любое возможное негативное влияние на субъектов ПДн в связи с их идентификацией во время оценки риска обеспечения защиты ПДн.

4.2.3 Обработчики персональных данных

Обработчик ПДн выполняет обработку ПДн от имени оператора ПДн, действует от имени или в соответствии с инструкциями оператора ПДн, соблюдает установленные требования обеспечения защиты ПДн и реализует соответствующие меры обеспечения безопасности ПДн. В некоторых странах обработчик ПДн ограничен законным договором.

4.2.4 Третьи стороны

Третья сторона может получать ПДн от оператора ПДн или обработчика ПДн. Третья сторона не обрабатывает ПДн от имени оператора ПДн. В основном третья сторона становится самостоятельным оператором ПДн после получения запрашиваемых ПДн.

TelegramПодписаться на обновления
TOC