Результаты опроса показали, что на конец августа 2022 года лишь 4% компаний полностью адаптировали процессы обработки персональных данных к новым требованиям. 28% опрошенных ответили, что успели подготовиться частично. Более 20% организаций не планируют в ближайшее время проводить работы по внедрению мер для соответствия 266-ФЗ.
Как отмечают в «Кроке», с февраля 2022 года по данным Роскомнадзора произошло более 40 утечек баз персональных данных, и именно возросшее количество утечек стало основным триггером изменений в законодательстве. Необходимость изменений назрела давно, так как раньше многие компании толковали требования двояко, не считая себя операторами персональных данных. Однако это ошибочно, поскольку любая компания, имеющая сотрудников и клиентов, априори является оператором персональных данных. Теперь же новые требования закона устранили неопределенность, и однозначно определили обязательства по защите персональных данных.
Результаты исследования подтвердили тезис о том, что не все компании относят себя к операторам ПДн. Например, 17% опрошенных заявили, что их организация не отправляла уведомление о начале обработки персональных данных, так как не являются операторами. При этом подавляющее большинство респондентов (70%) ответили, что необходимо вводить штрафы за утечки ПДн.
В большинстве опрошенных компаний (39%) ответственным за обработку персональных данных является руководитель по информационной безопасности. В 27% организаций за это отвечает руководитель подразделения по управлению персоналом. Часть опрошенных заявили, что в их компаниях были созданы специальные должности – например, руководитель направления по работе с персональными данными.
Одним из наиболее важных требований в соответствии 266-ФЗ является то, что с 1 сентября все операторы персональных данных должны внести изменения в договоры с лицами, осуществляющими обработку ПДн по их поручению, сократить сроки реагирования на запросы субъектов ПДн, изменить в свои локальные нормативные акты в части обработки персональных данных. На данный момент, по результатам исследования, 17% организаций не ведут и не контролируют реестр лиц, которым поручают обработку ПДн.
Как подчеркивают аналитики, в целом наблюдается, что постепенно компании начинают осознавать ценность персональных данных, необходимость внедрения мер по их безопасной обработке и введения ответственности за утечки. Но при этом пока не все компании готовы к изменениям, предстоит большая работа по приведению процессов и документации в соответствие новым требованиям.
В связи с этим рекомендуется реализовать ряд шагов, которые позволят адаптироваться к новым требованиям законодательства. Во-первых, требуется проверить наличие и разместить политику обработки ПДн на сайте организации. Во-вторых, необходимо провести ревизию внутренней документации: осуществить пересмотр договоров-оснований для обработки ПДн субъектов, договоров на поручение обработки персональных данных и локальных нормативных актов в области обработки и защиты ПДн. В-третьих, наладить взаимодействие с Роскомнадзором и проверить необходимость и обеспечить подключение ГосСОПКА. Наконец, начать проведение ревизии трансграничных потоков передачи персональных данных и оценку мер по защите данных иностранными контрагентами.