ГОСТ Р 53647.6— 2012
l
g)связь с лицами, ответственными за менеджмент риска и безопасности в организации (см.
п. 4.13);
h)предоставление консультацийи рекомендацийэкспертовповопросамзащиты
персональных данных;
i)интерпретацию и применение различных исключений при обработке персональной
информации (см. введение и п. 4.8.1);
j)предоставление рекомендаций по проектам, связанным с обменом данными (включая
вопросы безопасности в ситуации, когда данные находятся вне зоны контроля) (см. п. 4.8.3);
k)обеспечение доступа организации к актуализированным законодательным требованиям и
рекомендациям о защите персональных данных (см. л. 4.5);
)мониторинг изменений в законодательстве, методах и технологиях в области защиты
информации в СМПИ (см. п. 4.5);
т )оформление, передачу и управление уведомлениями в адрес уполномоченного органа по
защите прав субъектов персональных данных (далее уполномоченный орган), если это требуется
согласно закону о защите персональных данных (см. п. 4.6);
п)внедрение методов, связанных с обработкой персональной информации, установленных в
стандартах и/или рекомендациях.
4.1.3 Уполномоченные представители по защите данных
Если в организации существуют несколько подразделений, занимающихся обработкой
персональной информации, или систем по обработке информации, то организация должна создать
сеть уполномоченных представителей по защите персональных данных, которые;
a)представляют подразделения или системы с высоким уровнем риска в отношении
менеджмента персональной информации (в п. 4.2.2 см. примеры персональной информации,
входящие в категории высокого уровня риска);
b
)помогают персоналу, ответственному за выполнение политики.
4.2 Идентификация и регистрация используемых персональных данных
Цель; Обеспечение понимания персоналом организации категорий обрабатываемой
персональной информации и уровня риска, возникающего при ее обработке._______________________
4.2.1 Общие положения
Организация должна вести реестр категорий обрабатываемой персональной информации. В
реестре должны быть указаны цели использования каждой категории персональной информации.
Примечание-Реестр должен обеспечивать асе необходимые данные для уведомления
уполномоченного органа об обработке персональных данных.
Организация должна отслеживать и документально оформлять прохождение персональной
информации в рамках действующих процессов организации.
4.2.2 Персональная информация с высоким уровнем риска
Порядок ведения реестра (см. п.4.2.1) должен обеспечивать идентификацию и регистрацию
категории обрабатываемой персональной информации с высоким уровнем риска.
Категории персональной информации с высоким уровнем риска могут включать в себя;
a)персональную информацию особой ответственности;
b
)информацию о лицевых банковских счетах и другую финансовую информацию;
c)идентификаторы национальных систем, такие как номер страхового пенсионного полиса;
d)персональную информацию, касающуюся социально уязвимых взрослых и детей;
e)подробные профили данных физических лиц;
f)данные конфиденциальных переговоров, которые могут неблагоприятно повлиять на
состояние и положение физического лица.
Примечание - Уровень риска может повышаться при обработке больших объемов персональной
информации.
4.3 Обучение и осведомленность
Цель: Обеспечение осведомленности всего персонала организации о своих обязанностях,
связанных с обработкой персональной информации.
Организациядолжнаобеспечить,чтобыперсонал,ответственныйзасоблюдение
законодательных и обязательных требований и соответствие организации передовому опыту в
области защиты персональных данных (см. п. 4.1.2), был способенпродемонстрировать свою
компетентность в данной области, в том числе понимание требований и реализации СМПИ в
5