Роскомнадзор разработал рекомендации по работе с персональными данными

Роскомнадзор разработал рекомендации по работе с персональными данными

По данным Роскомнадзора, в 2023 году участились случаи неправомерного распространения персональных данных. В связи с этим ведомство опубликовало ряд рекомендаций, которые помогут избежать нарушений и штрафов при работе с персональными данными.

Роскомнадзор советует придерживаться следующих правил:

  1. Минимизировать перечень собираемых и обрабатываемых персональных данных. Лучше использовать лишь те данные, которые действительно необходимы для оказания услуг, продажи товаров и иной деятельности организации.
  2. Обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т.д.), в том числе несовместимых между собой по целям обработки.
  3. Хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договора и т.д.) в разных, не связанных друг с другом непосредственно, базах данных. Использовать для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и храните их отдельно от предыдущих двух баз.
  4. Не накапливать персональные данные «на всякий случай» и не формировать профили клиента при отсутствии острой необходимости. Также следует своевременно уничтожать персональные данные после достижения цели их обработки (например, после оказания услуги).
  5. Использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности.
  6. Своевременно информировать Роскомнадзор о признаках и (или) наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов.
  7. Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем.
  8. Назначить ответственного в организации за защиту персональных данных, наделите его необходимыми полномочиями.

Отметим, что за нарушение законодательства в области защиты персональных данных предусмотрена административная ответственность по статье 13.11 КоАП РФ. Штрафы по ней доходят до 6 миллионов рублей.

Артем Пилипко, аналитик с опытом работы в налоговых органах

Материал предоставлен порталом «Бухонлайн»