Роскомнадзор дал рекомендации операторам персональных данных в связи с участившимися случаями утечки данных
Роскомнадзор рекомендует операторам при организации и осуществлении деятельности по обработке персональных данных:
- минимизировать перечень собираемых и обрабатываемых персональных данных, использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации;
- обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т.д.), в том числе несовместимых между собой по целям обработки;
- хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договоры и т.д.) в разных, не связанных друг с другом непосредственно, базах данных. Роскомнадзор рекомендует использовать для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и хранить их отдельно от предыдущих двух баз;
- отказаться от практики накопления персональных данных "на всякий случай", своевременно уничтожать персональные данные при достижении цели их обработки (например, после оказания услуги);
- использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Ведомство напоминает, что поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности;
- своевременно информировать Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов;
- принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;
- назначить в организации ответственного за защиту персональных данных, наделив его необходимыми полномочиями.
В сообщении ведомства отмечается, что рекомендации даны в связи с участившимися случаями неправомерного распространения персональных данных, а также по результатам анализа содержания скомпрометированных баз данных (Информация Роскомнадзора от 8 августа 2023 г.).
Источник: garant.ru