ГОСТ Р 53647.6— 2012
Введение
0.1 Система менеджмента персональной информации
Применение настоящего стандарта может позволить организациям внедрить в рамках общей
структуры управления информацией систему менеджмента персональной информации (СМПИ),
которая служит основой повышения степени соответствия законодательным и обязательным
требованиям о защите данных и передовому опыту в данной области деятельности.
Основным законом в этой сфере является Федеральный Закон о защите персональных данных
N
p
152 от 27.07.2006 г [1]. Он реализует положения Конституции РФ и Европейской директивы
95/46/ЕС от 24 октября 1995 года [2] и применяется к «персональным данным», которые
определены как любая информация, относящаяся к определенному или определяемому на
основании такой информации физическому лицу (субъекту персональных данных), такая как его
фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы и другая информация.
В настоящем стандарте термин «персональная информация» используется в качестве
синонима термину «персональные данные». В качестве синонимов термина «менеджмент
персональной информации» часто используют термины «менеджмент персональных данных»,
«управление персональной информацией», «управление персональными данными». Выбор терминов
зависит от потребностей организации и требований ее причастных сторон.
Закон о защите персональных данныхрегулируется и приводится в исполнение
уполномоченным органом по защите прав субъектов персональных данных (далее уполномоченный
орган), ответственным за содействие защите персональной информации. Уполномоченный орган
распространяет передовой мировой опыт путем опубликования руководств, правил по правомерным
претензиям, предоставляет необходимую информацию физическим лицам и организациям, а также
принимает соответствующие меры в случае нарушения закона.
Уполномоченный орган обладает полномочиями по расследованию претензий, проведению
оценки соответствия обработки информации требованиям [1]. выпуску информационных сообщений и
уведомлений о принудительном исполнении требований законодательства.
0.2 Принципы защиты персональной информации
В соответствии с мировой практикой операторы, работающие с персональными данными,
должны соблюдать восемь принципов защиты персональной информации, согласно которым
персональная информация должна:
1-ый принцип -быть обработана квалифицировано и с учетом законодательных и
обязательных требований;
2-ой принцип - быть собрана только для определенных целей и обработана только в
соответствии с этими целями.
3- ий принцип - быть адекватной, соответствующей целям и не избыточной;
4- ый принцип - быть достоверной и актуальной;
5- ый принцип - не должна храниться больше установленного срока;
6-ой принцип - быть обработана с соблюдением законных прав физических лиц. включая право
на получение доступа кличной информации;
7- ой принцип - быть защищена;
8-ой принципне должна передаваться в страны, находящиеся за пределами РФ, без
обеспечения надлежащей защиты.
Из данных принципов защиты данных могут быть сделаны исключения. Большая часть таких
исключений составляет следующие категории:
исключения из принципа неразглашения:
исключения из положений о предоставлении информации субъекту персональных данных;
исключения,относящиесяк обработкеинформациивисторическихи(или)
исследовательских целях;
прочие исключения, например, конфиденциальные ссылки и экзаменационные работы.
Дополнительная информация приведена в [1], инструкциях уполномоченного органа и в прочих
руководствах и рекомендациях.
0.3 Уведомление
С целью обеспечения открытости в соответствие с [1] организация должна уведомлять
уполномоченный орган об обработке персональной информации, за исключением случаев
применения исключений в отношении уведомлений.