ГОСТ Р ИСО/МЭК 29100—2013
\ Другие факторы
■М еждународныв.
кациоивпьмые и
MCCTNUR
законы
- Предпочтения
гриавтости
обладателей ПИИ
- Соглашение между
несколькими
субъектамм л
соглаш ения с
ОТДЛГМИ.ПГИ
субъектами
- Специфические
характеристики.
гэедусмотосимые для
гр м в н е ж я и ги
контекст да
иозольэоввм п
- Постаисвления
- Судебные реш ения
- Внутренние системы
мер и средств
контроля и
управления
- О треспевь*
pcKCM civuauw. кодекс
поведения, лучшие
грлктики *пл
стандарты
- Политики компаний
и обязательные
корпоративные
правила
-Технические
стандарты
- Соглашения с
трудовыми советами
или другими
трудовыми
организациями
Рисунок 1 - Факторы, влияющие на менеджмент риска обеспечения приватности
4.5.1 Правовые и нормативные факторы
Требования к мерам защиты приватности часто отражены в (1) международных, национальных
и местных законах. (2) постановлениях. (3) судебных решениях или (4) договорных соглашениях с
трудовыми советами или другими организациями работников. Некоторые примеры местного и
национального законодательства включают законы о защите данных, о защите прав потребителя,
законы о предупреждении нарушений, законы о хранении данных и трудовое законодательство.
Соответствующие международные законы могут включать правила, затрагивающие трансграничную
передачу ПИИ. Операторы ПИИ должны быть осведомлены обо всех соответствующих требованиях к
мерам защиты приватности, вытекающих из юридических или нормативных факторов. Для
достижения этой цели операторы могут действовать в тесном сотрудничестве с юрисконсультами.
В то время как для многих стран ответственность за соблюдение требований, в конечном счете,
несет оператор ПИИ, все стороны, участвующие в обработке ПИИ. также должны занять активную
позицию в определении соответствующих требований обеспечения приватности, вытекающих из
правовых и нормативных факторов.
4.5.2 Договорные факторы
Договорные обязательства также могут влиять на требования к мерам защиты приватности. Эти
обязательства могут являться результатом соглашения между несколькими субъектами и соглашений с
отдельными субъектами, например, соглашение обработчиков ПИИ, соглашения операторов ПИИ и
третьих сторон. Например, лицо, заинтересованное в обеспечении приватности, может потребовать,
чтобы третьи стороны использовали определенные меры и средства контроля и управления
приватностью и согласовывали требования о распоряжении специфической ПИИ до передачи им
ПИИ. Требования к мерам защиты приватности могут также определяться политикой компании и
обязательными корпоративными правилами, которые лицо, заинтересованное в обеспечении
приватности, определило само для себя, например, для защиты торговой марки от утраты репутации в
случае нарушения приватности.
В принципе,любая сторона,имеющая доступ к ПИИ, должна быть официально
проинформирована о своих обязательствах соответствующим(и) оператором(ами) ПИИ. например,
путем заключения соглашения с третьей стороной. Такие соглашения, вероятно, будут содержать ряд
требований к мерам защиты приватности, которые третья сторона (получатель ПИИ) должна
принимать во внимание. В некоторых странах национальные и региональные органы могут иметь
установленные правовые и договорные документы, делающие возможной передачу ПИИ третьим
сторонам.
4.5.3 Факторы бизнеса
На требования к мерам защиты приватности могут также влиять факторы бизнеса, к которым
относятся определенные характеристики предполагаемого применения или контекст использования.
Факторы бизнеса могут широко варьироваться в зависимости от типа лица, заинтересованного в
обеспечении приватности, и вида бизнеса. Например, они могут иметь отношение к сегменту, в
котором организация функционирует (например, отраслевые нормы, кодекс поведения, лучшие
практики, стандарты) или к характеру ее модели бизнеса (например, онлайновые сервисы в
непрерывном режиме, сервисы совместного использования информации, банковские приложения).
Многие факторы бизнеса, как таковые, не оказывают непосредственного влияния на требования
к мерам защиты приватности. Предусматриваемое использование ПИИ. вероятно, будет влиять на
10