Как предотвратить утечку персональных данных: восемь рекомендаций от Роскомнадзора

Роскомнадзор выпустил рекомендации для операторов персональных данных, которыми следует руководствоваться при организации и осуществлении деятельности по обработке ПДн, в целях предотвращения их неправомерного распространения.

Что необходимо предпринять

1. Следует сократить до минимума перечень собираемых и обрабатываемых ПДн. Применять следует лишь те данные, которые действительно необходимы для продажи товаров, оказания услуг и иной деятельности компании.
2. Различные категории ПДн (клиенты, работники, соискатели и т. д., в том числе несовместимых между собой по целям обработки) следует хранить раздельно.
3. Идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т. д.) следует хранить в разных, не связанных друг с другом непосредственно, базах данных. Для связи этих баз следует использовать синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту ПДн. Хранить идентификаторы следует отдельно от предыдущих двух баз.
4. Не следует накапливать ПДн по принципу «на всякий случай», формировать профили клиентов, если в этом нет жизненной необходимости для компании. При достижении целей обработки (например, оказания услуги) ПДн следует своевременно уничтожить.
5. Для обеспечения необходимого уровня безопасности данных оператору следует использовать технические и программные средства.
6. О произошедших инцидентах, повлёкших распространение ПДн и признаках таких ситуаций следует своевременно информировать Роскомнадзор.
7. Во избежание компрометации данных внутренними нарушителями следует принять меры физического контроля доступа к данным.
8. Следует назначить ответственного за защиту ПДн и наделить его необходимыми полномочиями.

Следуя перечисленным рекомендациям, вы сможете минимизировать утечку персональных данных.