Рекомендовано, в частности, минимизировать перечень собираемых персональных данных, отказаться от практики накопления персональных данных "на всякий случай"; хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес), и данные о взаимодействии с ним в разных базах данных; своевременно информировать Роскомнадзор о наступивших инцидентах, повлекших распространение персональных данных.
Links:
[1] https://www.consultant.ru/document/cons_doc_LAW_454689/