75% компаний не выполняют требования закона о персональных данных
Напомним, что с 1 сентября 2022 года вступила в силу первая часть требований Федерального закона от 14.07.2022 № 266-ФЗ. Он направлен на то, чтобы повысить ответственность операторов персональных данных, сделать их деятельность более прозрачной и защитить личные данные российских граждан. В частности, закон обязывает компании и ИП в течение 24 часов уведомлять Роскомнадзор об инцидентах связанных с утечками персональных данных, а затем в течение 72 часов сообщать информацию о результатах внутреннего расследования по факту такого инцидента.
Вступление в силу второй части поправок к закону «О персональных данных» с 1 марта 2023 года предполагает дальнейшее усиление мер по контролю за процессами обработки персональных данных (ПДн). Например, в мартовском пакете изменений самое большое внимание уделено трансграничной передаче ПДн: введено требование по уведомлению Роскомнадзора о трансграничной передаче персональных данных, определены сроки и порядок их рассмотрения, установлены случаи ограничения и запрета на трансграничную передачу ПДн. Кроме того, введены степени вреда, который может быть причинен субъекту персональных данных, определен порядок проведения его оценки и документирования результатов, а также установлены требования к подтверждению факта уничтожения ПДн.
Согласно результатам опроса компании К2 Интеграция, к выполнению новых мартовских требований в разной степени готовности находится треть опрошенных (31%), при этом только 3% — готовы полностью, а 66% — еще не приступали к этому процессу.
Немалая часть тех, кто стремится выполнять все требования закона ФЗ-266, испытывает трудности с его применением. Так больше всего сложностей у опрошенных компаний вызывает выполнение требований по уведомлению об инцидентах в области персональных данных: с ними сталкиваются 56% респондентов. Почти столько же – 53%, – пока не разобрались в нюансах оценки вреда субъектам; 47% самым трудным считают внесение изменений в локальные нормативные акты в области ПДн, отвечающие за систему обработки персональных данных внутри организации, а 41% — выполнение требований по уничтожению ПДн*.
«За 2022 год по данным Роскомнадзора в России произошло более 150 утечек данных, по информации других источников, их было еще больше. Такой рост числа утечек в определенной мере объясняет ужесточение требований к обработке инцидентов в области персональных данных, — говорит руководитель направления консалтинга ИБ компании К2 Интеграция Анастасия Федорова. – При этом с сентября 2022 года в Роскомнадзор уже было подано около 100 уведомлений об утечках».
Значительно меньше опрошенных сталкиваются с трудностями при выполнении требований к трансграничной передаче данных (26%). Однако, многие компании не до конца понимают, что относить к этому понятию. Например, только треть из них знают, что оформление заграничного обучения или командировки сотрудника, а также использование сервисов Google считаются трансграничной передачей. При этом закон требует в этом случае уведомлять Роскомнадзор, непредоставление данных может повлечь запрет на их трансграничную передачу. Так что компаниям надо внимательно пересмотреть внутренние административные и технологические процессы и убедиться, что они, как оператор ПДн, все делают корректно.
Некоторые пояснения и рекомендации по выполнению требований закона «О персональных данных» готовы дать операторам персональных данных эксперты компании К2 Интеграция. Например, чтобы наладить работу с персональными данными специалисты советуют провести аудит процессов с ПДн, выявить объемы данных, цели, получателей и страны. Затем необходимо провести ревизию внутренней документации и пересмотреть ее с учетом новых требований, и наладить взаимодействие с Роскомнадзором.
* * *
* При ответе на вопрос о сложностях выполнения закона был возможен множественный выбор, поэтому общая сумма процентов больше 100. Это значит, что многие компании сталкиваются сразу с несколькими проблемами.
