Роскомнадзор посоветовал операторам персданных физически контролировать доступ к персональной информации и не накапливать ее впрок.
Роскомнадзор опубликовал сообщение с рекомендациями операторам, обрабатывающим персональные данные.
Операторам персданных рекомендовано руководствоваться следующим:
- свести к минимуму количество собираемых и обрабатываемых данных и применять только те персональные данные, которые требуются для оказания услуг, продажи товаров и другой деятельности предприятия;
- разные категории персданных, включая несовместимые между собой по целям обработки, следует хранить отдельно друг от друга;
- идентификаторы, указывающие на лицо (Ф.И.О., электронную почту, телефон, адрес), и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписку, договоры) нужно хранить в разных, не связанных друг с другом напрямую, базах данных. Чтобы связать эти базы, следует использовать синтетические идентификаторы, которые не позволят без дополнительных сведений и алгоритмов отнести информацию в этих базах к конкретному субъекту персданных, и хранить их отдельно от предыдущих двух баз;
- не накапливайте данные «на всякий случай», формируйте профили клиента, только если это очень важно для организации. Надо вовремя уничтожать данные, а именно после того, как цель их обработки будет достигнута (например, после оказания услуги);
- для обеспечения безопасности данных следует применять технические и программные средства, которыми владеет оператор. Если он передает полномочия по обработке данных третьим лицам, это все равно не снимает с него ответственности. При этом контроль со стороны оператора за принимаемыми мерами безопасности снижается;
- вовремя сообщайте Роскомнадзору о признаках и (или) наступивших инцидентах, повлекших (возможно, повлекших) распространение персональных данных физлиц;
- следует осуществлять физический контроль за доступом к данным, чтобы избежать их компрометации внутренним нарушителем;
- необходимо назначить ответственного за защиту персональных данных и наделить его соответствующими полномочиями.
Отмечается, что рекомендации были подготовлены в связи с тем, что участились случаи незаконного распространения персданных, а также по результатам анализа содержания скомпрометированных баз данных.
Читайте дополнительно по теме:
- собираются ужесточить ответственность за незаконное распространение персональных данных;
- виды персональных данных;
- составляем согласие на обработку персональных данных;
- порядок регистрации операторов персональных данных в реестре Роскомнадзора;
- разрабатываем политику конфиденциальности персональных данных;
- оформляем журнал учета персональных данных;
- утвердили случаи, когда нельзя использовать биометрические данные физлиц.
