ГОСТ Р ИСО/МЭК 29100—2013
4.3 Взаимодействия
Субъекты, идентифицированные в 4.2. могут взаимодействовать между собой различным
образом. Можно идентифицировать следующие сценарии, формирующие потоки ПИИ между
обладателем ПИИ. оператором ПИИ и обработчиком ПИИ:
a)обладатель ПИИ предоставляет ПИИ оператору ПИИ {например, регистрация для
оказания услуги оператором ПИИ):
b
)оператор ПИИ предоставляет ПИИ обработчику ПИИ. который обрабатывает эту ПИИ от
имени оператора ПИИ (например, как часть соглашения об аутсорсинге);
c)обладатель ПИИ предоставляет ПИИ обработчику ПИИ. который обрабатывает эту ПИИ
от имени оператора ПИИ:
d)оператор ПИИ предоставляет ПИИ обладателю ПИИ. и она относится к обладателю ПИИ
(например, в соответствии с запросом, сделанным обладателем ПИИ);
e)обработчик ПИИ предоставляет ПИИ обладателю ПИИ (например, регулирование
оператором ПИИ);
0обработчикПИИпредоставляетПИИоператоруПИИ(например.после
обслуживания/выполнения сервиса, для которого она была предназначена).
Роли обладателя ПИИ, оператора ПИИ. обработчика ПИИ и третьей стороны в данных
сценариях показаны в таблице 1.
Необходимо различать обработчиков ПИИ и третью сторону, потому что при пересылке ПИИ
обработчику ПИИ правовой контроль за ПИИ остается функцией первоначального оператора ПИИ,
тогда как третья сторона оправданно может стать самостоятельным оператором ПИИ после
получения запрашиваемой ПИИ. Например, когда третья сторона принимает решение о передаче
ПИИ. полученной от оператора ПИИ. другой стороне, она будет действовать как оператор ПИИ с ее
собственными правами и поэтому больше не будет являться третьей стороной.
Можноидентифицировать следующие сценарии, формирующие потоки ПИИ,между
операторами ПИИ и обработчиками ПИИ. с одной стороны, и третьей стороной, с другой стороны:
д)оператор ПИИ предоставляетПИИ третьей стороне (например, в контекстеделового соглашегмя);
h) обработчик ПИИ предоставляет ПИИ третьей стороне (например, по указанию оператора ПИИ).
Роли оператора ПИИ и третьей стороны в этих сценариях также показаны в таблице 1.
Т а б л и ц а 1 - Возможные потоки ПИИ между обладателем ПИИ. оператором ПИИ. обработчиком
ПИИ и третьими сторонами и их ролями___________________________________________________
Обладатель ПИИ
Поставщик ПИИ
-
Сценарий
а)
Ь)
с)
Обработчик ПИИ
-
Получатель ПИИ
Получатель ПИИ
Третья сторона
---
-
-
-
-
d)
в)
0
9)
Поставщик ПИИ
Получатель ПИИ
Получатель ПИИ
--
Оператор ПИИ
Получатель ПИИ
Поставщик ПИИ
-
Поставщик ПИИ
-
Получатель ПИИ
Поставщик ПИИ
Поставщик ПИИ
Поставщик ПИИ
-
Получатель
ПИИ
h)
—
—
Поставщик ПИИ
Получатель
ПИИ
4.4 Распознавание ПИИ
Чтобы определить, считается ли физическое лицо идентифицируемым, должны быть приняты
во внимание некоторые факторы. В частности, необходимо учитывать все средства, которые могут
оправданно использоваться лицом, заинтересованным в обеспечении приватности, хранящим
данные, или любой другой стороной для идентификации этого физического лица. Системы
ИКТ должны поддерживать механизмы, информирующие обладателя ПИИ о такой ПИИ и
предоставлять физическому лицу соответствующие меры и средства контроля и управления
при совместном использовании этой информации. В следующих подпунктах содержится
дополнительное разъяснение того, как определить, следует ли рассматривать обладателя ПИИ в
качестве идентифицируемого.
4.4.1 Идентификаторы
В определенных случаях идентифицируемость обладателя ПИИ может быть очевидной
(например, когда информация содержит или связана с идентификатором, который используется для
обращения или связи с обладателем ПИИ). Информация может быть отнесена к ПИИ в следующих
случаях:
5