Информация Роскомнадзора от 08.08. 2023 года.
В связи с участившимися случаями неправомерного распространения персональных данных Роскомнадзор рекомендует операторам* при организации и осуществлении деятельности по обработке персданных руководствоваться следующими подходами:
- минимизировать перечень собираемых и обрабатываемых персданных, использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации;
- обеспечить раздельное хранение различных категорий персданных (клиенты, работники, соискатели и т.д.), в т.ч. несовместимых между собой по целям обработки;
- хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договоры и т.д.) в разных, не связанных друг с другом непосредственно, базах данных;
- отказаться от практики накопления персональных данных «на всякий случай», своевременно уничтожать персональные данные при достижении цели их обработки (например, после оказания услуги);
- использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности;
- своевременно информировать Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персданных субъектов;
- принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;
- назначить в организации ответственного за защиту персданных, наделив его необходимыми полномочиями.
*Оператором персональных данных, являются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персданных, а также определяющие цели обработки и состав персданных, подлежащих обработке, действия (операции), совершаемые с персональными данными ( Федерального закона от 27.07. 2006 года № 152-ФЗ).
Лицо признается оператором персональных данных вне зависимости от какой-либо регистрации, наличия или отсутствия специальных разрешений и т.п., а в силу самого факта осуществления им деятельности по обработке персданных.
ПРОСТО АУДИТ!
