Поделиться
Только 3% российских компаний полностью автоматизировали удаление персональных данных
Почти 40% компаний в России осуществляют поиск и удаление персональных данных вручную и только 3% имеют сертифицированное ПО. Они не заинтересованы тратить деньги на процесс, не приносящий прибыль.
ПД удаляются в России вручную
Только у 3% российских компаний имеется сертифицированное ПО для удаления персональных данных (ПД), пишет «Коммерсант», ссылаясь на исследование ГК «Гарда».
Ручной поиск и удаление в базах, файловых хранилищах и на отдельных рабочих местах используют 39% компаний, посчитали эксперты. 25% наряду со специализированным ПО применяют шредеры и сжигание, 10% используют только механическое уничтожение, 10% — другие методы.
За неудаление записей персональных данных в России предусмотрена административная ответственность, пояснили изданию в Роскомнадзоре. Операторы персональных данных обязаны удалять ПД по запросу субъекта или по истечении срока их хранения.
У операторов нет мотивации
Отсутствие автоматизации создает риски утечек из-за человеческого фактора, отметил эксперт компании «Код безопасности» Максим Александров.
Для регулятора не имеет значения, как именно будут удаляться персональные данные, вручную или с помощью какого-либо ИТ-решения, однако из-за сжатых сроков на уничтожение компании либо этого не делают, либо делают «спустя рукава», сказали в ГК «Гарда».
Оператор должен, по российскому законодательству, после достижения целей сбора, хранения и использования ПД удалить их в течение 30 дней или за семь дней, если поступило заявление от субъекта ПД. Если по техническим причинам удаление не может быть выполнено в указанный срок, оператору даются дополнительные шесть месяцев при условии, что в течение 30 дней ПД будут заблокированы и недоступны для обработки.
«Значимым фактором можно назвать недостаток мотивации. Все работы с данными воспринимаются оператором как издержки и не приносят никакой прибыли. Поэтому ресурсы тратятся на них неохотно», — прокомментировал руководитель группы защиты инфраструктуры ИТ-решений компании «Газинформсервис» Сергей Полунин.
По его словам, процесс учета налажен не у всех операторов данных, которые могут не знать, что именно ему нужно удалить и откуда. Есть проблемы с политикой жизненного цикла данных, определяющей кто и что должен удалить и в какой момент. «Когда мы будем читать в новостях, что утекла очередная база данных, компания напишет в ответ о том, что данные давно не актуальны», — добавил Полунин.
Еще одним препятствием Александров назвал то, что данные хранятся в разных базах: «Информация о соискателях на трудоустройство в компанию содержится в форме регистрации на сайте, в системе HR-отдела, в почте у HR-отдела, в базах данных для руководителей и других системах, которые при этом имеют бэкапы».
«Эти причины подчеркивают необходимость стандартизации и внедрения эффективных решений для работы с персональными данными»,— полагает руководитель продуктового направления по защите баз данных ГК «Гарда» Дмитрий Ларин.
Уголовная ответственность и оборотные штрафы
Неудаление персональных данных в установленные законодательством сроки, как пишет издание, согласно ч. 1 ст. 13.11 КоАП России (нарушение законодательства в области ПД), влечет ответственность физического лица в виде штрафа от двух до шести тыс. руб., должностного лица — от 10 до 20 тыс. руб., юридического лица — от 60 до 100 тыс. руб.
Государственная дума России только осенью 2024 г. приняла во втором и третьем чтениях поправки в Кодекс об административных правонарушениях (КоАП) и Уголовный кодекс (УК), ужесточающие наказания за нарушения в связи со сбором, хранением и оборотом ПД.
В УК появились статьи, предусматривающие наказание в виде принудительных работ, а также лишения свободы на разные сроки (максимально — до 5 лет) за незаконный сбор и распространение персональных данных, в том числе путем создания специализированных сайтов.
С 30 мая 2025 г. вступили в силу крупные оборотные штрафы за утечки ПД — от 1% до 3% годового оборота, при этом минимальная сумма составляет 25 млн руб., а максимальная ограничена 500 млн руб.
Согласно данным Роскомнадзора, на 20 марта 2025 г. в реестре операторов персональных данных зарегистрировано 942,5 тыс. организаций и предприятий, работающих с такими данными.
Короткая ссылка
