Сергей Воробьев | Информационная безопасность бизнеса

Опубликованы новые рекомендации по работе с персональными данными Роскомнадзор выпустил новые рекомендации в связи с тем, что стало больше случаев неправомерного распространения персональных сведений. 1. Минимизируйте перечень персональных данных, которые собираете и обрабатываете. Используйте лишь ту информацию, которая действительно необходима для оказания услуг, продажи товаров и иной деятельности организации. 2. Обеспечьте раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели и т. д.), в том числе несовместимых между собой по целям обработки. 3. Храните идентификаторы, указывающие на человека (Ф. И. О., e-mail, телефон, адрес), и данные о взаимодействии с ним (оказанные услуги, проданные товары, переписка, договоры и т. д.) в разных, не связанных друг с другом непосредственно базах. Используйте для связи этих баз синтетические идентификаторы, не позволяющие без дополнительных сведений и алгоритмов отнести информацию к конкретному субъекту персональных данных, храните их отдельно от двух предыдущих баз. 4. Откажитесь от практики накопления персональных данных «на всякий случай», от формирования профилей клиентов, если это не жизненно важно для организации. Своевременно уничтожайте персональные данные при достижении целей их обработки (например, после оказания услуги). 5. Используйте технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности персональных данных. Поручение обработки информации третьим лицам не снимает с оператора ответственности, но снижает контроль с его стороны за принимаемыми мерами безопасности. 6. Своевременно информируйте Роскомнадзор о признаках утечки персональных данных и (или) произошедших инцидентах, повлекших (возможно, повлекших) несанкционированное распространение этих данных. 7. Принимайте меры физического контроля доступа к персональным данным во избежание их компрометации внутренним нарушителем. 8. Назначьте ответственного за защиту персональных данных, наделите его необходимыми полномочиями. Источник: рекомендации Роскомнадзора операторам персональных данных от 08.08.2023

Роскомнадзор дал рекомендации операторам персданных, в том числе работодателям, как правильно обрабатывать, хранить и уничтожать личные данные, чтобы избежать их неправомерного распространения. Первое, что необходимо сделать, — минимизировать перечень персональных данных, которые собираете и обрабатываете. «Авось пригодятся» - в данной ситуации может обернуться для компании неприятным инцидентом! Используйте только данные, которые действительно нужны для деятельности организации. ✅Кроме того, операторам персданных рекомендуется: -Обеспечить раздельное хранение различных категорий персональных данных — клиенты, работники, соискатели. В том числе надо хранить отдельно несовместимые между собой по целям обработки данные. - Хранить идентификаторы, указывающие на человека — ФИО, e-mail, телефон, адрес — и данные о взаимодействии с ним — переписки, договоры и т.п. — в разных, не связанных друг с другом, базах данных. - Лучше использовать для этих баз идентификаторы, которые не позволят без допинформации и алгоритмов отнести информацию в этих базах к конкретному субъекту персданных. - Отказаться от практики копить персданные «на всякий случай». - Не надо собирать анкеты соискателей, которые сейчас не подошли, для кадрового резерва, который и не собираетесь формировать. - Своевременно уничтожать персданные после того, как достигли целей их обработки. - Использовать технические и программные средства, которые принадлежат оператору, чтобы обеспечить безопасность данных. Поручили обработку третьим лицам — это не снимает с компании ответственность, а вот контроль за мерами безопасности ещё как снижает. - Своевременно информировать Роскомнадзор о признаках или уже случившихся утечках персданных. - Принимать меры физического контроля доступа к данным, чтобы сотрудники сами не «сливали» данные компании. - Назначить ответственного за защиту персданных и наделить его необходимыми полномочиями. Источник: Роскомнадзор

Уведомление в Роскомнадзор С 1 сентября вступают в силу новые правила обработки и защиты персональных данных. Теперь работодателям придётся уведомлять Роскомнадзор о планах: — обрабатывать личную информацию сотрудников в рамках трудового договора, — собирать сведения, которые нужны для оформления пропусков или заключения договоров ГПХ. Ключевые слова тут «уведомлять о планах». Это значит, что передавать информацию о сотрудниках, посетителях или контрагентах, чьи данные вы собираете, храните и обрабатываете — не надо. До 1 сентября нужно проверить, есть ли ваша компания в реестре операторов персональных данных Роскомнадзора. Для этого на сайте pd.rkn.gov.ru в поиске укажите наименование компании, ИНН или регистрационный номер. Если вашей компании ещё нет в реестре — успейте добавить её до конца лета. А если уже когда-то вставали на учёт, тогда проверьте, какие цели и категории лиц вы тогда указывали. Если что-то изменилось — подайте информационное письмо в течение 10 дней. И так при каждом изменении. Федеральный закон от 14.07.2022 № 266-ФЗ

Изменились правила работы с персональными данными с 1 сентября 2022 года С 1 сентября 2022 года вступают в силу новые правила работы с персональными данными. Если не соблюдать их, грозит штраф 500 тысяч рублей. Разъясняем, как изменится работа с персональными данными и какие обязанности появятся у работодателей (Федеральный закон от 14.07.2022 №331-ФЗ). Поправки в Закон о персональных данных приняли 14 июля 2022 года. В законную силу новые правила работы с персональными данными вступят с 1 сентября 2022 года. Изменения коснутся всех операторов персональных данных, то есть организаций, которые вправе получать такую информацию и осуществлять ее обработку. В их число входят: + работодатели, которые владеют персональными данными своих сотрудников; + государственные и муниципальные учреждения; + физические лица, получающие личные данные своих клиентов; + владельцы интернет-магазинов, компаний, принимающих заказы на сайте. Изменения коснулись требований к политике конфиденциальности — в локальном акте необходимо утвердить: + Категорию и список персданных, которые использует компания. + Методы и сроки их обработки, последующего хранения. + Порядок и условия уничтожения данных. Важно! Политику конфиденциальности, по новым правилам, необходимо размещать на каждой странице интернет-ресурса, где осуществляется сбор персданных. Скачивайте подробный разбор с рекомендациями во вложение к посту!