Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разместил на своем сайте 8 августа 2023 года рекомендации операторам персональных данных (ПДн).
В связи с участившимися случаями неправомерного распространения Пдн, а также по результатам анализа содержания скомпрометированных баз данных, Роскомнадзор рекомендует операторам при организации и осуществлении деятельности по обработке ПДн руководствоваться следующим:
- Минимизируйте перечень ПДн, которые собираете и обрабатываете. Используйте лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации;
- Обеспечьте раздельное хранение различных категорий ПДн (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки;
- Храните идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) в разных, не связанных друг с другом непосредственно, базах данных. Используйте для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту ПДн, и храните их отдельно от предыдущих двух баз;
- Откажитесь от практики накопления ПДн «на всякий случай», в т.ч. от формирования профилей клиента, если это не жизненно нужно для организации. Своевременно уничтожайте ПДн при достижении цели их обработки (например, после оказания услуги);
- Используйте технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности;
- Своевременно информируйте Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение ПДн субъектов;
- Принимайте меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;
- Назначьте ответственного в Вашей организации за защиту ПДн, наделите его необходимыми полномочиями.
Мой комментарий: Рекомендации вполне здравые и высокоуровневые, что можно лишь приветствовать.
Источник: сайт Роскомнадзора
https://rkn.gov.ru/news/rsoc/news74733.htm
Комментариев нет:
Отправить комментарий