ГОСТ Р 53647.6-2012 Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных (Переиздание)
3 Планирование СМПИ
Цель: Планирование внедрения системы менеджмента персональной информации, определяющей направления развития системы, и обеспечивающее соответствие передовому опыту в области защиты персональных данных и соблюдение законодательных и обязательных требований. |
3.1 Создание и управление СМПИ
Организация должна разработать, задокументировать, внедрить, поддерживать в рабочем состоянии и постоянно улучшать СМПИ с требованиями настоящего стандарта.
3.2 Область применения и цели СМПИ
Организация должна определить область применения и цели СМПИ с учетом:
a) требований к менеджменту персональной информации;
b) целей и обязательств высшего руководства организации;
c) уровня приемлемого риска организации;
d) законодательных, обязательных, договорных и/или профессиональных требований;
e) интересов физических лиц и ключевых заинтересованных сторон.
3.3 Политика в области персональной информации
Высшее руководство организации должно официально сформулировать и нести ответственность за разработку и актуализацию политики организации в области персональной информации, обеспечить основу для соблюдения законодательных и обязательных требований и соответствие передовому опыту в области защиты данных.
Примечание - Высшее руководство обычно включает в себя совет директоров, генерального директора и руководителей высшего звена организации и/или владельца индивидуального предприятия.
В политике должна быть определена область применения СМПИ:
a) ко всей организации;
b) к соответствующим подразделениям и уровням организации.
Политика менеджмента персональной информации должна быть доведена до сведения всего персонала организации.
3.4 Содержание политики
В политике должны быть определены обязательства высшего руководства организации по соблюдению законодательных и обязательных требований и соответствию передовому опыту в области защиты персональных данных, включая:
a) обработку персональной информации только в случаях, когда это необходимо для достижения целей организации;
b) отказ от обработки излишней персональной информации;
c) предоставление физическим лицам достоверной информации о том, как их персональная информация будет использована и кем;
d) обработку только необходимой и адекватной персональной информации;
e) добросовестную и законную обработку персональной информации (см. 4.7);
f) ведение реестра категорий персональной информации, обрабатываемой организацией (см. п.4.2);
g) обеспечение достоверности и, при необходимости, актуальности персональной информации;