Сегодня вступила в силу первая часть требований Федерального закона от 14.07.2022 №
Результаты опроса КРОК показали, что на конец августа 2022 года лишь 4% компаний полностью адаптировали процессы обработки персональных данных к новым требованиям. 28% опрошенных ответили, что успели подготовиться частично. Более 20% организаций не планируют в ближайшее время проводить работы по внедрению мер для соответствия
«С февраля 2022 года по данным Роскомнадзора произошло более 40 утечек баз персональных данных, и именно возросшее количество утечек стало основным триггером изменений в законодательстве. Необходимость изменений назрела давно, так как раньше многие компании толковали требования двояко, не считая себя операторами персональных данных. Однако это ошибочно, поскольку любая компания, имеющая сотрудников и клиентов, априори является оператором персональных данных. Теперь же новые требования закона устранили неопределенность, и однозначно определили обязательства по защите персональных данных», — рассказала Анастасия Федорова, руководитель групп аналитики, аудита и техподдержки ИБ компании КРОК.
Результаты исследования подтвердили тезис о том, что не все компании относят себя к операторам ПДн. Например, 17% опрошенных заявили, что их организация не отправляла уведомление о начале обработки персональных данных, так как не являются операторами. При этом подавляющее большинство респондентов (70%) ответили, что необходимо вводить штрафы за утечки ПДн.
В большинстве опрошенных компаний (39%) ответственным за обработку персональных данных является руководитель по информационной безопасности. В 27% организаций за это отвечает руководитель подразделения по управлению персоналом. Часть опрошенных заявили, что в их компаниях были созданы специальные должности, например — руководитель направления по работе с персональными данными.
Одним из наиболее важных требований в соответствии
«В целом мы наблюдаем, что постепенно компании начинают осознавать ценность персональных данных, необходимость внедрения мер по их безопасной обработке и введения ответственности за утечки. Например, опрос показал, что 70% организаций считают необходимым введение штрафов за утечку ПДн. При этом так же мы видим, что пока не все компании готовы к изменениям, предстоит большая работа по приведению процессов и документации в соответствие новым требованиям», — отметила Анастасия Федорова.
В связи с этим эксперт КРОК рекомендует организациям реализовать ряд шагов, которые позволят адаптироваться к новым требованиям законодательства. Во-первых, проверить наличие и разместить Политику обработки ПДн на сайте организации. Во-вторых, необходимо провести ревизию внутренней документации: осуществить пересмотр договоров-оснований для обработки ПДн субъектов, договоров на поручение обработки персональных данных и локальных нормативных актов в области обработки и защиты ПДн. В-третьих, наладить взаимодействие с Роскомнадзором и проверить необходимость и обеспечить подключение ГосСОПКА. Наконец, начать проведение ревизии трансграничных потоков передачи персональных данных и оценку мер по защите данных иностранными контрагентами.