Роскомнадзор на своем сайте разместил рекомендации для операторов персональных данных.
1. Операторам персональных данных рекомендуют минимизировать данные, которые они собирают и обрабатывают. Использовать советуют только те данные, которые действительно нужны для оказания услуг, продажи товаров и иной деятельности организации.
2. Для различных категорий персданных советуют обеспечить раздельное хранение — отдельно для клиентов, отдельно для работников и пр. В том числе, если они несовместимы между собой по целям обработки.
3. Идентификаторы, указывающие на человека – ФИО, телефон, адрес, адрес электронной почты, советуют хранить отдельно от данных о взаимодействии с этим человеком – оказанные услуги, проданные товары, переписка, договоры и пр. Для связи разных баз данных советуют использовать синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов соотнести информацию. Их также рекомендуют хранить отдельно.
4. От практики накопления персональных данных «на всякий случай» советуют отказаться, если это не жизненно необходимо для организации. После достижения цели (например, оказания услуги), персданные советуют своевременно уничтожать.
5. Рекомендуют использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. А вот поручать третьим лицам не то, чтобы не советуют, но указывают, что это снижает контроль со стороны оператора.
6. Если случился инцидент с распространением персональных данных, либо есть его признаки, об этом следует незамедлительно сообщать в Роскомнадзор.
7. Также рекомендуют принимать меры физического контроля доступа к данным, чтобы избежать внутренних нарушений.
8. И наконец, рекомендуют назначить ответственного в организации за защиту персданных и наделить его необходимыми полномочиями.
