Операторам персональных данных дали полезные рекомендации

Размер шрифта:

Роскомнадзор посоветовал операторам персданных физически контролировать доступ к персональной информации и не накапливать ее впрок.

Роскомнадзор опубликовал сообщение с рекомендациями операторам, обрабатывающим персональные данные.

Операторам персданных рекомендовано руководствоваться следующим:

  • свести к минимуму количество собираемых и обрабатываемых данных и применять только те персональные данные, которые требуются для оказания услуг, продажи товаров и другой деятельности предприятия;
  • разные категории персданных, включая несовместимые между собой по целям обработки, следует хранить отдельно друг от друга;
  • идентификаторы, указывающие на лицо (Ф.И.О., электронную почту, телефон, адрес), и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписку, договоры) нужно хранить в разных, не связанных друг с другом напрямую, базах данных. Чтобы связать эти базы, следует использовать синтетические идентификаторы, которые не позволят без дополнительных сведений и алгоритмов отнести информацию в этих базах к конкретному субъекту персданных, и хранить их отдельно от предыдущих двух баз;
  • не накапливайте данные «на всякий случай», формируйте профили клиента, только если это очень важно для организации. Надо вовремя уничтожать данные, а именно после того, как цель их обработки будет достигнута (например, после оказания услуги);
  • для обеспечения безопасности данных следует применять технические и программные средства, которыми владеет оператор. Если он передает полномочия по обработке данных третьим лицам, это все равно не снимает с него ответственности. При этом контроль со стороны оператора за принимаемыми мерами безопасности снижается;
  • вовремя сообщайте Роскомнадзору о признаках и (или) наступивших инцидентах, повлекших (возможно, повлекших) распространение персональных данных физлиц;
  • следует осуществлять физический контроль за доступом к данным, чтобы избежать их компрометации внутренним нарушителем;
  • необходимо назначить ответственного за защиту персональных данных и наделить его соответствующими полномочиями.

Отмечается, что рекомендации были подготовлены в связи с тем, что участились случаи незаконного распространения персданных, а также по результатам анализа содержания скомпрометированных баз данных.

Читайте дополнительно по теме:

Климашевская Алена Журналист