Роскомнадзор опубликовал рекомендации для компаний – операторов персональных данных, связанные с организацией и осуществлением деятельности по обработке таких данных.
Согласно информации на сайте, Роскомнадзор предлагает операторам осуществить ряд действий, которые способны повысить безопасность работы с персональными данными (ПДн) и понизить риск их несанкционированного распространения. Состав рекомендаций следующий:
1. Минимизация собираемых данных.
Рекомендуется собирать и обрабатывать лишь те ПДн, которые необходимы для ведения деятельности организации. Сокращая их избыточность, увеличивается степень их защищенности.
2. Раздельное хранение ПДн
Рекомендуется обеспечить раздельное хранение данных в зависимости от их категории: поставщики, клиенты, сотрудники и т.д.
3. Хранение идентификаторов в раздельных базах данных
Хранить данные, идентифицирующие конкретного человека (ФИО, телефон, адрес, e-mail и т.д), а также сведения о взаимодействии с ним (оказание услуг, продажа товаров, заключение сделки и т.п) лучше в раздельных, не связанных друг с другом, базах данных. Для связи баз можно использовать синтетические идентификаторы, которые не позволят отнести информацию к конкретному субъекту ПДн без дополнительных алгоритмов.
4. Отказ от накопления «запасных» ПДн
Не рекомендуется собирать и накапливать ПДн, если вероятность их применения крайне мала либо отсутствует. В данном случае такие данные рекомендуется уничтожить, так как они могут не соответствовать цели обработки ПДн.
5. Использование технических средств
Для обеспечения надлежащего уровня безопасности ПДн рекомендуется использовать соответствующие технические и программные средства, принадлежащие оператору ПД.
6. Своевременное информирование об инцидентах
Рекомендуется своевременно информировать органы Роскомнадзора о признаках или уже наступившем инциденте в области ПДн, повлекших неправомерное распространение ПДн.
7. Обеспечение физического контроля доступа
Для предотвращения компрометации данных внутри компании необходимо принимать меры по физическому контролю доступа к данным.
8. Назначение ответственного лица по защите ПДн
Рекомендуется назначить ответственное лицо за защиту ПДн и наделить его соответствующими полномочиями.
Учитывая рекомендации выше, компании следует провести соответствующий аудит данных, адаптировать внутренние процессы в соответствии с предписаниями Роскомнадзора, проинформировать и обучить ответственных сотрудников новым методам работы с ПДн.
Напоминаем, что за нарушение требований законодательства в области персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. Размер наказания зависит от вида совершенного правонарушения. Более подробно о составе ответственности можно посмотреть в таблице ниже.
Согласно информации на сайте, Роскомнадзор предлагает операторам осуществить ряд действий, которые способны повысить безопасность работы с персональными данными (ПДн) и понизить риск их несанкционированного распространения. Состав рекомендаций следующий:
1. Минимизация собираемых данных.
Рекомендуется собирать и обрабатывать лишь те ПДн, которые необходимы для ведения деятельности организации. Сокращая их избыточность, увеличивается степень их защищенности.
2. Раздельное хранение ПДн
Рекомендуется обеспечить раздельное хранение данных в зависимости от их категории: поставщики, клиенты, сотрудники и т.д.
3. Хранение идентификаторов в раздельных базах данных
Хранить данные, идентифицирующие конкретного человека (ФИО, телефон, адрес, e-mail и т.д), а также сведения о взаимодействии с ним (оказание услуг, продажа товаров, заключение сделки и т.п) лучше в раздельных, не связанных друг с другом, базах данных. Для связи баз можно использовать синтетические идентификаторы, которые не позволят отнести информацию к конкретному субъекту ПДн без дополнительных алгоритмов.
4. Отказ от накопления «запасных» ПДн
Не рекомендуется собирать и накапливать ПДн, если вероятность их применения крайне мала либо отсутствует. В данном случае такие данные рекомендуется уничтожить, так как они могут не соответствовать цели обработки ПДн.
5. Использование технических средств
Для обеспечения надлежащего уровня безопасности ПДн рекомендуется использовать соответствующие технические и программные средства, принадлежащие оператору ПД.
6. Своевременное информирование об инцидентах
Рекомендуется своевременно информировать органы Роскомнадзора о признаках или уже наступившем инциденте в области ПДн, повлекших неправомерное распространение ПДн.
7. Обеспечение физического контроля доступа
Для предотвращения компрометации данных внутри компании необходимо принимать меры по физическому контролю доступа к данным.
8. Назначение ответственного лица по защите ПДн
Рекомендуется назначить ответственное лицо за защиту ПДн и наделить его соответствующими полномочиями.
Учитывая рекомендации выше, компании следует провести соответствующий аудит данных, адаптировать внутренние процессы в соответствии с предписаниями Роскомнадзора, проинформировать и обучить ответственных сотрудников новым методам работы с ПДн.
Напоминаем, что за нарушение требований законодательства в области персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. Размер наказания зависит от вида совершенного правонарушения. Более подробно о составе ответственности можно посмотреть в таблице ниже.
По вопросам соблюдения законодательства в области персональных данных обращайтесь к экспертам Acsour.
