Новый стандарт ISO 27701 - это международный стандарт защиты персональных данных. В августе 2019 года опубликован международный стандарт ISO, определяющий систему управления и требования безопасности при обработке персональных данных. Международный стандарт, представленный на сайте https://ims-cert.com/mezhdunarodnaya-sertifikacziya/iso-27701.html основан на двух других стандартах информационной безопасности и распространяется на защиту персональных данных:

  • ISO 27001, обеспечивающий сертификацию системы управления информационной безопасностью;
  • ISO 27002, в котором содержатся рекомендации по реализации необходимых мер безопасности.

Для стандартизации и повышения защиты персональных данных на международном уровне стандарт 27701 определяет следующее:

  • расширяет системы управления информационной безопасностью спецификой обработки персональных данных;
  • определяет роли организации как контроллера данных и/или обработчика данных;
  • стандартизация управления рисками с точки зрения риска для организаций и субъектов данных;
  • назначение сотрудника по защите данных (в ISO 27701 «сотрудник по вопросам конфиденциальности»);
  • повышение осведомленности сотрудников, классификация информации, защита портативных накопителей, управление доступом, шифрование данных, резервное копирование, регистрация событий;
  • условия передачи данных, конфиденциальность по замыслу и приватность по замыслу, управление инцидентами;
  • соблюдение законодательных и нормативных требований и т. д.;
  • предусматривает конкретные меры по обработке персональных данных в связи с ролью организации (в качестве контролера, обработчика или субподрядчика);
  • основные принципы: цель обработки, правовая основа, получение и отзыв согласия, регистрация операций обработки, оценка влияния на конфиденциальность;
  • права субъектов данных: уведомление, доступ, исправление, удаление, автоматические решения;
  • конфиденциальность по дизайну и конфиденциальность по умолчанию: минимизация данных, деидентификация и удаление, сохранение данных;
  • субподряды, передача данных и совместное использование данных.

Этот стандарт был разработан при участии экспертов со всего мира, а также Европейского совета по защите данных и нескольких надзорных органов по защите персональных данных. При его создании учитывались не только требования GDPR, но и другие правовые акты, касающиеся защиты персональных данных.