Европейское агентство по безопасности сетей и информационной безопасности (ENISA) составило рекомендации для единого общеевропейского подхода к мерам безопасности, которые должны быть приняты в отношении хранения персональных данных.
ENISA изучило законодательство по хранению данных в шести государствах-членах ЕС в части требований к техническим и организационным мерам безопасности, предусмотренных в Директиве о сохранении данных (Data Retention Directive), и провело анализ мер безопасности, применяемых при защите персональных данных, которые собираются и хранятся в соответствии с Директивой.
Агентство предложило Европейской комиссии пересмотреть Директиву, в частности:
— установить минимальные требования по безопасности личных данных;
— принять четкую и реалистичную модель угроз (в том числе, «умышленные» уничтожение, потеря или изменение, хранение, обработка, доступ или разглашение данных);
— принять во внимание недавно опубликованные меры, применимые при уведомлении о нарушениях персональных данных, включенных в Регламент Еврокомиссии (ЕС) № 611/2013;
— принимая во внимание трудности небольших компаний, связанные с хранением данных, а также учитывая возможное желание провайдеров использовать модели аутсорсинга, которые потенциально могут находиться в третьих странах за пределами ЕС, обеспечить отсутствие какой бы то ни было дискриминации в отношении качества защиты персональных данных;
— рассмотреть риски, присущие аутсорсингу хранения данных, и определить, допустимо ли его использование, и если да, то предоставить четкие правила по его применению;
— составить инструкцию о процедурах, которые должны быть проведены в конце срока хранения, когда данные должны быть безопасно удалены. ENISA может оказать поддержку в подготовке руководящих принципов для этой цели;
— включить четкие положения, касающиеся проверок соблюдения мер безопасности по сохранению данных, с указанием срока, в течение которого аудит должен быть проведен, и органа, который его проводит;
— гармонизировать период времени, в течение которого сохраняемые данные должны быть переданы в компетентные органы;
— гармонизировать санкции, применяемые в отношении компаний, не соблюдающих принципы защиты данных.
Полный текст рекомендаций: Загрузить
Источник: Enisa.europa.eu
