Роскомнадзор подготовил рекомендации для операторов персональных данных, которые помогут решить проблему с участившимися случаями утечки данных пользователей.
Список рекомендаций следующий:
- Минимизировать перечень персональных данных, которые собираются и обрабатываются оператором. В работе следует использовать только те персональные данные, которые необходимы для оказания услуг, продажи товаров и иной деятельности организации;
- Обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки;
- Хранить в разных базах данные, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договоры и т. д.). Для связи этих баз рекомендуется использовать синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных. Хранить такие идентификаторы следует отдельно от баз персональных данных;
- Не накапливать персональные данные без необходимости. Также следует отказаться от формирования профилей клиента, если в этом нет большой необходимости для организации. Собранные персональные данные нужно своевременно уничтожать при достижении цели их обработки;
- Использовать собственные технические и программные средства. Если оператор поручает обработку персональных данных третьим лицам, это не снимает с него ответственности, но снижает контроль за мерами безопасности;
- Своевременно информировать Роскомнадзор о признаках и (или) произошедших инцидентах, повлекших распространение персональных данных;
- Контролировать доступ к данным во избежание компрометации данных внутренним нарушителем. Нужно ограничить доступ сотрудников организации к персональным данным, чтобы исключить возможность их несанкционированного распространения;
- Назначить лицо, ответственное за защиту персональных данных, наделив его соответствующими полномочиями.
