четверг, 31 августа 2023 г.

Рекомендации Роскомнадзора операторам персональных данных

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разместил на своем сайте 8 августа 2023 года рекомендации операторам персональных данных (ПДн).

В связи с участившимися случаями неправомерного распространения Пдн, а также по результатам анализа содержания скомпрометированных баз данных, Роскомнадзор рекомендует операторам при организации и осуществлении деятельности по обработке ПДн руководствоваться следующим:

  • Минимизируйте перечень ПДн, которые собираете и обрабатываете. Используйте лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации;

  • Обеспечьте раздельное хранение различных категорий ПДн (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки;

  • Храните идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) в разных, не связанных друг с другом непосредственно, базах данных. Используйте для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту ПДн, и храните их отдельно от предыдущих двух баз;

  • Откажитесь от практики накопления ПДн «на всякий случай», в т.ч. от формирования профилей клиента, если это не жизненно нужно для организации. Своевременно уничтожайте ПДн при достижении цели их обработки (например, после оказания услуги);

  • Используйте технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности;

  • Своевременно информируйте Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение ПДн субъектов;

  • Принимайте меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;

  • Назначьте ответственного в Вашей организации за защиту ПДн, наделите его необходимыми полномочиями.

Мой комментарий: Рекомендации вполне здравые и высокоуровневые, что можно лишь приветствовать.

Источник: сайт Роскомнадзора
https://rkn.gov.ru/news/rsoc/news74733.htm

Автор: на
Ярлыки: , , , ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)