В связи с участившимися случаями неправомерного распространения персональных данных Роскомнадзор дал операторам персональных данных следующие рекомендации.
- Минимизировать перечень персональных данных, которые собираются и обрабатываются оператором. В работе следует использовать только те персональные данные, которые необходимы для оказания услуг, продажи товаров и иной деятельности организации.
- Обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки.
- Хранить в разных базах данные, указывающие на человека (Ф. И. О., e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договоры и т. д.). Для связи этих баз рекомендуется использовать синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных. Хранить такие идентификаторы следует отдельно от баз персональных данных.
- Не следует накапливать персональные данные на всякий случай, то есть без необходимости. Также следует отказаться от формирования профилей клиента, если в этом нет большой необходимости для организации. Собранные персональные данные нужно своевременно уничтожать при достижении цели их обработки (например, после оказания услуги клиенту).
- Для обеспечения необходимого уровня безопасности персональных данных следует использовать собственные технические и программные средства. Если оператор поручает обработку персональных данных третьим лицам, это не снимает с него ответственности, но снижает контроль за мерами безопасности.
- Следует своевременно информировать Роскомнадзор о признаках и (или) произошедших инцидентах, повлекших распространение персональных данных.
- Необходимо контролировать доступ к данным во избежание компрометации данных внутренним нарушителем. Нужно ограничить доступ сотрудников организации к персональным данным, чтобы исключить возможность их несанкционированного распространения.
- Необходимо назначить лицо, ответственное за защиту персональных данных, наделив его соответствующими полномочиями.
Источник: Информационная система 1С:ИТС
