Что нужно сделать!? Минимизировать перечень персональных данных, которые собираете и обрабатываете. Используйте только данные, которые действительно нужны для деятельности организации.
Обеспечить раздельное хранение различных категорий персональных данных — клиенты, работники, соискатели и т. д. В том числе надо хранить отдельно несовместимые между собой по целям обработки данные.
Хранить идентификаторы, указывающие на человека — ФИО, e-mail, телефон, адрес — и данные о взаимодействии с ним — переписки, договоры и т.п. — в разных, не связанных друг с другом, базах данных. А ещё хорошо использовать для этих баз идентификаторы, которые не позволят без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персданных.
Отказаться от практики копить персданные «на всякий случай». То есть не надо собирать анкеты соискателей, которые сейчас не подошли, для кадрового резерва, который и не собираетесь формировать.
Своевременно уничтожать персданные после того, как достигли целей их обработки.
Использовать технические и программные средства, которые принадлежат оператору, чтобы обеспечить безопасность данных. Если поручили обработку третьим лицам, это не снимает с компании ответственность, а вот контроль за мерами безопасности ещё как снижает.
Своевременно информировать Роскомнадзор о признаках или уже случившихся утечках персданных.
Принимать меры физического контроля доступа к данным, чтобы избежать компрометации данных внутренним нарушителем. То есть следить, чтобы сотрудники сами не сливали данные компании.
Назначить ответственного за защиту персданных и наделить его необходимыми полномочиями.
Информация Роскомнадзора от 08.08.2023 г.
