Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 29100-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Основы обеспечения приватности

     4.2 Субъекты и роли


Для целей данного стандарта важно идентифицировать субъектов, вовлеченных в обработку ПИИ. Существуют четыре типа субъектов, которые могут быть вовлечены в обработку ПИИ: обладатели ПИИ, операторы ПИИ, обработчики ПИИ и третьи стороны.

4.2.1 Обладатели ПИИ

Обладатели ПИИ предоставляют свою ПИИ для обработки операторам ПИИ и обработчикам ПИИ и, если обратное не установлено применимым законом, они дают согласие и определяют свои предпочтения в отношении способов обработки их ПИИ. Например, обладателем ПИИ может быть: работник, включенный в штатное расписание компании, потребитель, упомянутый в отчете о кредитных операциях, и пациент, запись о здоровье которого внесена в электронную базу. Чтобы считаться обладателем ПИИ, соответствующее физическое лицо необязательно должно быть идентифицировано по его имени. Если физическое лицо, к которому относится ПИИ, может быть идентифицировано косвенно (например, через идентификатор счета, номер полиса социального страхования или даже через комбинацию доступных признаков), он или она также являются обладателем ПИИ для данного набора ПИИ.

4.2.2 Операторы ПИИ

Оператор ПИИ определяет, почему (цель) и как (способы) обрабатывается ПИИ. В данной структуре оператор ПИИ должен обеспечивать уверенность, что соблюдение принципов приватности во время обработки ПИИ осуществляется под его контролем (например, путем реализации необходимых мер и средств контроля и управления приватностью). Может существовать более одного оператора ПИИ для одного и того же набора ПИИ или набора операций, выполняемых в отношении ПИИ (для тех же самых или различных легальных целей). В этом случае различные операторы ПИИ должны сотрудничать и обеспечивать выполнение принципов обеспечения приватности во время обработки ПИИ. Оператор ПИИ также может разрешить выполнение всех или части операций по обработке ПИИ другим лицам, заинтересованным в обеспечении приватности, от своего лица. Операторы ПИИ должны тщательно оценивать, обрабатывают они чувствительную или нечувствительную информацию, и реализовывать рациональные и относящиеся к делу меры и средства контроля и управления приватностью и безопасностью на основе требований, установленных в соответствующей стране, а также оценивать любое возможное негативное влияние на обладателей ПИИ в связи с их идентификацией во время оценки риска обеспечения приватности.

4.2.3 Обработчики ПИИ

Обработчик ПИИ выполняет обработку ПИИ от имени оператора ПИИ, действует от имени или в соответствии с инструкциями оператора ПИИ, соблюдает установленные требования обеспечения приватности и реализует соответствующие меры и средства контроля и управления приватностью. В некоторых странах обработчик ПИИ ограничен законным договором.

4.2.4 Третьи стороны

Третья сторона может получать ПИИ от оператора ПИИ или обработчика ПИИ. Третья сторона не обрабатывает ПИИ от имени оператора ПИИ. В основном третья сторона становится самостоятельным оператором ПИИ после получения запрашиваемой ПИИ.