В связи с участившимися случаями неправомерного распространения персональных данных, а также по результатам анализа скомпрометированных баз данных Роскомнадзор рекомендовал операторам при организации и обработке персданных руководствоваться рядом подходов. Эти Рекомендации 2023 года Роскомнадзора по персональным данным, которые будут также очень полезны работодателям, приводим в материале.
Как действовать
8 августа Роскомнадзор дал операторам персональных данных следующие важные и довольно практичные рекомендации:
- Минимизируйте перечень персональных данных, которые собираете и обрабатываете. Используйте только те, которые действительно нужны для оказания услуг, продажи товаров и иной деятельности организации.
- Раздельно храните разные категорий персданных – клиенты, работники, соискатели и т. д. В том числе несовместимые между собой по целям обработки.
- Храните идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договоры и т. д.) в разных и не связанных друг с другом напрямую базах данных. Используйте для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персданных. Храните их отдельно от предыдущих двух баз.
- Откажитесь от практики накопления персональных данных «на всякий случай», от формирования профилей клиента, если это не жизненно нужно для организации. Своевременно уничтожайте персональные данные при достижении цели их обработки (например, после оказания услуги).
- Используйте свои технические и программные средства для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает его контроль за принимаемыми мерами безопасности.
- Своевременно информируйте Роскомнадзор о признаках и/или наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных.
- Принимайте меры физического контроля доступа к данным во избежание их компрометации внутренним нарушителем.
- Назначьте ответственного в вашей организации за защиту персональных данных, наделите его необходимыми полномочиями.
Использованы материалы: сайт Роскомнадзора.