Роскомнадзор подготовил для организаций и ИП рекомендации по работе с персональными данными

Роскомнадзор рекомендовал организациям и ИП минимизировать количество обрабатываемых персональных данных и обеспечить раздельное их хранение. Соответствующие меры включены в подготовленный ведомством перечень рекомендаций, которых следует придерживаться при обработке персональных данных.

В своем сообщении Роскомнадзор отмечает, что в связи с участившимися случаями неправомерного распространения персональных данных организациями и ИП рекомендуется:

• минимизировать перечень собираемых и обрабатываемых персональных данных, то есть использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации;
• обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки;
• хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) в разных, не связанных друг с другом непосредственно, базах данных (использовать для связи баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и хранить их отдельно от предыдущих двух баз);
• отказаться от практики накопления персональных данных «на всякий случай», от формирования профилей клиента, если это не жизненно нужно для организации, а также своевременно уничтожать персональные данные при достижении цели их обработки (например, после оказания услуги);
• использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных, поскольку поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль за мерами безопасности;
• своевременно информировать Роскомнадзор о признаках и наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов;
• принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.

Кроме того, организациям и ИП рекомендовано назначить ответственного за защиту персональных данных и наделить его необходимыми полномочиями.