К2 Интеграция: 75% компаний не выполняют требования закона о персональных данных

Компания К2 Интеграция провела опрос среди предприятий на тему реализации требований Федерального закона «О персональных данных». Оказалось, что 75% компаний еще не выполнили положения закона, начавшие действовать в сентябре 2022 года. А к соблюдению второй части поправок, вступающей в силу сегодня, полностью не готов практически никто. В опросе приняли участие более 100 представителей бизнеса из разных отраслей экономики.

Напомним, что с 1 сентября 2022 года вступила в силу первая часть требований Федерального закона от 14.07.2022 № 266-ФЗ. Он направлен на то, чтобы повысить ответственность операторов персональных данных, сделать их деятельность более прозрачной и защитить личные данные российских граждан. В частности, закон обязывает компании и ИП в течение 24 часов уведомлять Роскомнадзор об инцидентах связанных с утечками персональных данных, а затем в течение 72 часов сообщать информацию о результатах внутреннего расследования по факту такого инцидента.

Вступление в силу второй части поправок к закону «О персональных данных» с 1 марта 2023 года предполагает дальнейшее усиление мер по контролю за процессами обработки персональных данных (ПДн). Например, в мартовском пакете изменений самое большое внимание уделено трансграничной передаче ПДн: введено требование по уведомлению Роскомнадзора о трансграничной передаче персональных данных, определены сроки и порядок их рассмотрения, установлены случаи ограничения и запрета на трансграничную передачу ПДн. Кроме того, введены степени вреда, который может быть причинен субъекту персональных данных, определен порядок проведения его оценки и документирования результатов, а также установлены требования к подтверждению факта уничтожения ПДн.

Согласно результатам опроса компании К2 Интеграция, к выполнению новых мартовских требований в разной степени готовности находится треть опрошенных (31%), при этом только 3% — готовы полностью, а 66% — еще не приступали к этому процессу.

Немалая часть тех, кто стремится выполнять все требования закона ФЗ-266, испытывает трудности с его применением. Так больше всего сложностей у опрошенных компаний вызывает выполнение требований по уведомлению об инцидентах в области персональных данных: с ними сталкиваются 56% респондентов. Почти столько же — 53%, — пока не разобрались в нюансах оценки вреда субъектам; 47% самым трудным считают внесение изменений в локальные нормативные акты в области ПДн, отвечающие за систему обработки персональных данных внутри организации, а 41% — выполнение требований по уничтожению ПДн.

«За 2022 год по данным Роскомнадзора в России произошло более 150 утечек данных, по информации других источников, их было еще больше. Такой рост числа утечек в определенной мере объясняет ужесточение требований к обработке инцидентов в области персональных данных, — говорит руководитель направления консалтинга ИБ компании К2 Интеграция Анастасия Федорова. — При этом с сентября 2022 года в Роскомнадзор уже было подано около 100 уведомлений об утечках».

Значительно меньше опрошенных сталкиваются с трудностями при выполнении требований к трансграничной передаче данных (26%). Однако, многие компании не до конца понимают, что относить к этому понятию. Например, только треть из них знают, что оформление заграничного обучения или командировки сотрудника, а также использование сервисов Google считаются трансграничной передачей. При этом закон требует в этом случае уведомлять Роскомнадзор, непредоставление данных может повлечь запрет на их трансграничную передачу. Так что компаниям надо внимательно пересмотреть внутренние административные и технологические процессы и убедиться, что они, как оператор ПДн, все делают корректно.

Некоторые пояснения и рекомендации по выполнению требований закона «О персональных данных» готовы дать операторам персональных данных эксперты компании К2 Интеграция. Например, чтобы наладить работу с персональными данными специалисты советуют провести аудит процессов с ПДн, выявить объемы данных, цели, получателей и страны. Затем необходимо провести ревизию внутренней документации и пересмотреть ее с учетом новых требований, и наладить взаимодействие с Роскомнадзором.

Тематики: Регулирование, Безопасность

Ключевые слова: регулирование, персональные данные