На сайте Роскомнадзора 8 августа были опубликованы рекомендации по защите персональных данных в связи с участившимися случаями их неправомерного распространения.
Операторам персональных данных рекомендуется:
1) Минимизировать перечень персональных данных, которые собираются и обрабатываются: по возможности использовать только данные, необходимые для оказания услуг, продажи товаров и другой деятельности организации.
2) Обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки.
3) Хранить в несвязанных друг с другом базах данных идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и на данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.). Для связи этих баз рекомендуется использовать синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию к конкретному субъекту.
4) Отказаться от практики неразборчивого формирования и излишнего накопления профилей клиента: своевременно уничтожать персональные данные при достижении цели их обработки (например, после оказания услуги).
5) Использовать технические и программные средства для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности.
6) Своевременно информировать Роскомнадзор о признаках и возможно наступивших инцидентах, повлекших распространение персональных данных субъектов.
7) Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.
8) Назначить ответственного в организации за защиту персональных данных и наделить его необходимыми полномочиями.
Подробнее: https://rkn.gov.ru/news/rsoc/news74733.htm
Операторам персональных данных рекомендуется:
1) Минимизировать перечень персональных данных, которые собираются и обрабатываются: по возможности использовать только данные, необходимые для оказания услуг, продажи товаров и другой деятельности организации.
2) Обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки.
3) Хранить в несвязанных друг с другом базах данных идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и на данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.). Для связи этих баз рекомендуется использовать синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию к конкретному субъекту.
4) Отказаться от практики неразборчивого формирования и излишнего накопления профилей клиента: своевременно уничтожать персональные данные при достижении цели их обработки (например, после оказания услуги).
5) Использовать технические и программные средства для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности.
6) Своевременно информировать Роскомнадзор о признаках и возможно наступивших инцидентах, повлекших распространение персональных данных субъектов.
7) Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.
8) Назначить ответственного в организации за защиту персональных данных и наделить его необходимыми полномочиями.
Подробнее: https://rkn.gov.ru/news/rsoc/news74733.htm