Роскомнадзор дал рекомендации операторам персональных данных

В связи с участившимися случаями неправомерного распространения персональных данных, а также по результатам анализа содержания скомпрометированных баз данных Роскомнадзор направил операторам свои рекомендации, которые могут быть использованы при организации и осуществлении деятельности по обработке персональных данных.

Рекомендации касаются компаний и физлиц, которые собирают, хранят и обрабатывают персональные данные.

Так, при работе с персональными данными, по мнению чиновников, надлежит руководствоваться следующим:

1. минимизировать перечень персональных данных, которые компания собирает и обрабатывает. Лучше использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации;

2. обеспечивать раздельное хранение персональных данных  исходя из того, к каким категориям они относятся. Например, персональные данные клиентов, работников, соискателей и т.д.;

3. хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) в разных базах данных, непосредственно не связанных друг с другом. При этом желательно использовать для связи этих баз идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных;

4. отказаться от практики накопления персональных данных «на всякий случай», от формирования профилей клиента, если это не жизненно нужно для организации;

5. своевременно уничтожать персональные данные при достижении цели их обработки. К примеру, после оказания услуг;

6. использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности;

7. своевременно сообщать в РКН о признаках или произошедших случаях, которые повлекли распространение персональных данных субъектов;

8. принимать дополнительные меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;

9. назначить лицо, ответственное за защиту персональных данных, наделив его необходимыми полномочиями.