Сразу 75% компаний до сих пор не выполнили положения закона «О персональных данных», начавшие действовать в сентябре 2022 года. А к соблюдению второй части поправок, вступившей в силу с 1 марта 2023 года, полностью не готов практически никто. Компания «К2 Интеграция» провела опрос среди предприятий.
Напомним, с 1 сентября 2022 года вступила в силу первая часть требований, которые обязывают компании и ИП в течение 24 часов уведомлять Роскомнадзор об инцидентах, связанных с утечками персональных данных (ПД), а затем в течение 72 часов сообщать информацию о результатах внутреннего расследования по факту такого происшествия. Эти меры направлены на то, чтобы повысить ответственность операторов ПД, сделать их деятельность более прозрачной и защитить личную информацию российских граждан.
Вторая часть поправок предполагает дальнейшее усиление мер по контролю за процессами обработки ПД. Например, введено требование по уведомлению Роскомнадзора о трансграничной передаче ПД, определены сроки и порядок их рассмотрения, установлены случаи ограничения и запрета на трансграничную передачу. Кроме того, введены степени вреда, который может быть причинен субъекту ПД, определен порядок проведения его оценки и документирования результатов, а также установлены требования к подтверждению факта уничтожения данных.
Согласно результатам опроса компании «К2 Интеграция», к выполнению новых требований, которые вступили в силу 1 марта, стремится треть опрошенных (31%), находящихся в разной степени готовности. При этом только 3% — готовы полностью, а 66% — еще не приступали к этому процессу.
Немалая часть тех, кто стремится выполнять все требования закона, испытывает трудности с его применением. Так, больше всего сложностей у опрошенных компаний вызывает выполнение требований по уведомлению об инцидентах: с ними сталкиваются 56% респондентов. Почти столько же – 53% – пока не разобрались в нюансах оценки вреда субъектам; 47% самым трудным считают внесение изменений в локальные нормативные акты, отвечающие за систему обработки персональных данных внутри организации, а 41% — выполнение требований по уничтожению ПД.
При ответе на вопрос о сложностях выполнения закона был возможен множественный выбор, поэтому общая сумма процентов больше 100. Это значит, что многие компании сталкиваются сразу с несколькими проблемами.
«За 2022 год по данным Роскомнадзора в России произошло более 150 утечек данных, по информации других источников, их было еще больше. Такой рост числа утечек в определенной мере объясняет ужесточение требований к обработке инцидентов в области персональных данных, — сказала руководитель направления консалтинга ИБ компании «К2 Интеграция» Анастасия Федорова. – При этом с сентября 2022 года в Роскомнадзор уже было подано около 100 уведомлений об утечках».
Значительно меньше опрошенных сталкиваются с трудностями при выполнении требований к трансграничной передаче данных (26%). Однако, многие компании не до конца понимают, что относить к этому понятию. Например, только треть из них знают, что оформление заграничного обучения или командировки сотрудника, а также использование сервисов Google считаются трансграничной передачей. Закон требует в этом случае уведомлять Роскомнадзор, непредоставление данных может повлечь запрет на их трансграничную передачу.
«Поэтому компаниям надо внимательно пересмотреть внутренние административные и технологические процессы и убедиться, что они как оператор ПД, все делают корректно», — отметили в «К2 Интеграция».
В опросе приняли участие более 100 представителей бизнеса из разных отраслей экономики.
Комментируя вступление в силу с 1 марта поправок в закон «О персональных данных», председатель комитета Госдумы по информполитике Александр Хинштейн уточнил, что только уведомительный характер требуется, если передача осуществляется в страны с адекватным уровнем защиты персданных. Этот список сформирован Роскомнадзором, на данный момент в нем 89 государств. «Для остальных стран определен четкий механизм: оператор обязан уведомить о трансграничной передаче. В течение 10 дней регулятор обрабатывает запрос, если других требований нет, начиная с 11 дня оператор может передать данные», — написал парламентарий в своем Telegram-канале.
Он добавил, что Госдума ранее специально отложила принятие именно этой нормы на полгода, чтобы у операторов была возможность заранее, до вступления ее в силу, направить уведомление в Роскомнадзор об уже осуществляемой предприятием трансграничной передаче персданных. На вчерашний день такие уведомления подали уже 1250 компаний, в том числе крупные операторы связи, банки, страховые компании, авиакомпании, ритейлеры.
На фоне непрекращающихся утечек ПД государство должно иметь возможность контролировать их передачу за границу, подчеркнул Александр Хинштейн.
Чтобы наладить работу с ПД, специалисты советуют провести аудит процессов, выявить объемы данных, цели, получателей и страны. Затем необходимо провести ревизию внутренней документации и пересмотреть ее с учетом новых требований и наладить взаимодействие с Роскомнадзором.