
Роскомнадзор советует организациям и индивидуальным предпринимателям сократить объем обрабатываемых персональных данных и организовать их отдельное хранение.
Утечки персональных данных стали обыденным явлением. Многие сталкиваются с звонками менеджеров различных компаний, предлагающих услуги, о которых ранее не запрашивали информации.
Как сообщил РоскомнадзорЧисло случаев незаконного разглашения личных данных растет. В этом контексте учреждение выпустило восемь рекомендаций для компаний и индивидуальных предпринимателей, обрабатывающих персональные сведения.
- Ограничьте сбор и обработку персональных данных только необходимыми сведениями для предоставления услуг, реализации товаров и осуществления организационной деятельности.
- Храните разные категории персональных данных (например, клиентов, сотрудников и кандидатов) отдельно, учитывая цели их обработки.
- Сохраняйте сведения, определяющие человека (ФИО, адрес электронной почты, номер телефона, адрес), а также данные о взаимодействии с ним (предоставленные услуги, купленные товары, переписка, договора и так далее) в отдельных, независимых друг от друга базах данных. Для соединения этих баз применяйте синтетические идентификаторы, не позволяющие без дополнительных сведений и алгоритмов связать информацию из баз с конкретным субъектом персональных данных. Храните эти идентификаторы отдельно от двух предыдущих баз.
- Избегайте сбора персональной информации без конкретной необходимости, исключая формирование клиентских профилей, когда это не обязательно для деятельности организации. Уничтожьте персональные данные сразу же после завершения их обработки, например, после предоставления услуги.
- Для защиты данных применяйте технические и программные ресурсы, предоставленные оператором. Выдача данных для обработки третьим сторонам уменьшает ответственность оператора, но снижает его контроль над принятыми мерами безопасности.
- Незамедлительно сообщайте Роскомнадзору о признаках и (или) произошедших инцидентах, которые могли привести к распространению личных сведений граждан.
- Внесите ограничения на физический доступ к данным, чтобы предотвратить утечку информации со стороны сотрудников.
- Введите в организацию человека, отвечающего за защиту личной информации, и дайте ему нужные права.
Многие меры по защите персональных данных, например запрет копирования информации с рабочих компьютеров, раздельный архив данных и разрыв между хранилищем идентификаторов личности и хранилищем информации о взаимодействии с ним, применялись давно для снижения вероятности кражи баз клиентов.