В Информации Роскомнадзора от 08.08.2023 ведомство рекомендует операторам при организации и осуществлении деятельности по обработке персональных данных (ПД) руководствоваться определенными подходами. По результатам анализа содержания скомпрометированных баз данных Роскомнадзор, в частности, предлагает операторам ПД:
- минимизировать перечень собираемых и обрабатываемых ПД;
- разделять хранение различных категорий персональных данных (клиенты, работники и т. д.);
- хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) в разных, не связанных друг с другом непосредственно, базах данных;
- не накапливать ПД «на всякий случай», своевременно уничтожать ПД при достижении цели их обработки (например, после оказания услуги);
- использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности ПД;
- своевременно информировать Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение ПД;
- принимать допмеры физического контроля доступа к ПД во избежание компрометации данных внутренним нарушителем;
- назначить ответственного за защиту ПД и наделить его необходимыми полномочиями.
На заметку: без ошибок работать с персональными данными поможет Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2023).
Читайте подробнее