9 рекомендаций Роскомнадзора операторам персональных данных
1. Храните различные идентификаторы в разных базах данных
Идентификаторы, указывающие на личные данные человека(ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним(оказанные услуги, проданные товары, переписка, договора и т д), храните в разных не связанных друг с другом базах данных.
2. Используйте для связи этих баз синтетические идентификаторы
Синтетические идентификаторы, которые не будут позволять без дополнительной информации и алгоритмов относить информацию в этих базах данных к конкретному субъекту персональных данных, и храните их отдельно от предыдущих двух баз.
3. Обеспечьте раздельное хранение различных категорий персональных данных
Необходимо обеспечивать раздельное хранение персональных данных, обработка которых осуществляется в различных целях(клиенты, работники, соискатели и т.д.)
4. Минимизируйте перечень персональных данных, которые собираете и обрабатываете
Используйте лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и другой деятельности организации.
5. Назначьте ответственного сотрудника, который будет отвечать за организацию обработки персональных данных в компании
Для этого утвердите локальный акт, например, Регламент допуска работников к обработке персональных данных, издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки. и полномочия.
6. Своевременно информируйте Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов.
Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ) обязывает операторов персональных данных уведомлять Роскомнадзор о случаях неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов таких данных. В частности, необходимо сообщать в ведомство (ч. 3.1 ст. 21 Закона № 152-ФЗ):
в течение 24 часов – о произошедшем инциденте (первичное уведомление),
в течение 72 часов – о результатах внутреннего расследования инцидента (дополнительное уведомление).
7.Принимайте дополнительные меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем
Физический контроль ограничивает доступ к помещениям: зданиям, объектам внутри зданий или к физическим активам.