Свод правил по защите персональной информации

Канадская ассоциация стандартов приняла в сентябре 1995 года стандарт приватности под названием «Свод правил по защите персональной информации». Свод правил обеспечения приватности стал для организаций пошаговой инструкцией по защите приватности личности. Эти шаги включают, в первую очередь, определение целей сбора информации, получение разрешения от людей, ограничение сбора, обеспечение точности и принятие адекватных мер против случайного разглашения.

«Свод правил по защите персональной информации» базируется на десяти независимых принципах:

1. Подотчетность. Организация несет ответственность за находящуюся в её ведении персональную информацию и должна назначить одного или нескольких сотрудников, отвечающих за выполнение организацией настоящих принципов,

2. Определение целей. Цели, с которыми осуществляется сбор персональной информации, должны быть определены до начала сбора информации.

3. Разрешение. Информирование человека и получение разрешения от него являются обязательными для сбора, использования или раскрытия персональной информации, за исключением случаев, когда это невозможно.

4. Ограничение сбора. Сбор персональной информации должен быть ограничен в соответствии с целями сбора, определенными организацией. Информация должна собираться честными и законными методами.

5. Ограничения на использование, раскрытие и хранение. Персональная информация не должна использоваться или раскрываться в целях, отличных от тех, для которых она собрана, кроме как по разрешению человека или в связи с требованиями закона. Персональная информация не должна храниться дольше, чем это необходимо для достижения заявленных целей.

6. Точность. Персональная информация должна быть настолько точной, полной и актуальной, насколько это необходимо для целей её использования.

7. Меры безопасности. Персональная информация должна быть защищена при помощи мер безопасности, уровень которых соответствует уровню её конфиденциальности.

8. Открытость. Организация должна предоставлять людям свободный доступ к информации о принятой в ней политике и методиках использования персональной информации.

9. Обеспечение доступа. По запросу, каждый человек должен быть проинформирован о существовании, использовании и раскрытии своей персональной информации, и ему должен быть предоставлен доступ к ней. Он должен иметь возможность оспорить точность и полноту информации, а также внести соответствующие поправки.

10. Обработка жалоб. Каждый человек должен иметь возможность направить ответственному сотруднику (или сотрудникам) организации жалобу по факту невыполнения изложенных принципов.

В нашей стране нормативно-правовая база по защите персональных данных граждан существует, был принят ФЗ «О персональных данных». Но с другой стороны, торговля государственными и коммерческими базами данных в России широко ведется с начала 90-х годов прошлого века.