Рекомендации Роскомнадзора по работе с персональными данными

Рекомендации Роскомнадзора по работе с персональными данными

Рекомендации Роскомнадзора по работе с персональными данными

 Рекомендации Роскомнадзора по работе с персональными данными

В связи с увеличением количества случаев неправомерного распространения персональных данных в 2023, Роскомнадзор опубликовал ряд рекомендаций, которые помогут избежать нарушений и штрафов при работе с персональными данными.

Роскомнадзор советует придерживаться следующих правил:

- Минимизировать перечень собираемых и обрабатываемых персональных данных. Лучше использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации.

- Обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т.д.), в том числе несовместимых между собой по целям обработки.

- Хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т.д.) в разных, не связанных друг с другом непосредственно, базах данных. Использовать для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и храните их отдельно от предыдущих двух баз.

- Не накапливать персональные данные «на всякий случай» и не формировать профили клиента при отсутствии острой необходимости. Также следует своевременно уничтожать персональные данные после достижения цели их обработки (например, после оказания услуги).

- Использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности.

-Своевременно информировать Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов.

- Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.

- Назначить ответственного в организации за защиту персональных данных, наделите его необходимыми полномочиями.