08 августа 2023 года Роскомнадзор выпустил рекомендации по защите персональных данных при их обработке из-за того, что в последнее время стало больше случаев незаконного распространения персональных данных. Он сформулировал меры с учетом анализа утечек (читать далее).

Ведомство советует операторам:

• минимизируйте перечень персональных данных, которые собираете и обрабатываете. Используйте лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации.
• Обеспечьте раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки.
• Храните идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) в разных, не связанных друг с другом непосредственно, базах данных.
• Используйте для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и храните их отдельно от предыдущих двух баз.
• Откажитесь от практики накопления персональных данных «на всякий случай», от формирования профилей клиента, если это не жизненно нужно для организации.
• Своевременно уничтожайте персональные данные при достижении цели их обработки (например, после оказания услуги).
• Используйте технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности.
• Своевременно информируйте Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов.
• Принимайте меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.
• Назначьте ответственного в вашей организации за защиту персональных данных, наделите его необходимыми полномочиями.

Ссылка на документы:

https://storage.consultant.ru/ondb/attachments/202308/09/iddoc_271841_idnews_45024_Informatsija_F8n.pdf

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 06.02.2023) "О персональных данных" { КонсультантПлюс }

Путеводитель по кадровым вопросам. Персональные данные работников { КонсультантПлюс }

Готовое решение: Какие существуют требования к обработке персональных данных работников организации (КонсультантПлюс, 2023) { КонсультантПлюс }

Готовое решение: Каковы обязанности оператора персональных данных (КонсультантПлюс, 2023) { КонсультантПлюс }

Готовое решение: Как Роскомнадзор контролирует соблюдение требований в сфере персональных данных (КонсультантПлюс, 2023) { КонсультантПлюс }