Штраф и ничего личного
Более трети компаний удаляют персональные данные вручную
Почти 40% операций по уничтожению персональных данных совершаются вручную, а в 12% — не совершаются вовсе, подсчитали в ИБ-компании «Гарда». Это связано с отсутствием инструментов автоматизации процесса и разрозненностью баз данных. При этом не уничтоженные в срок данные могут стать не только причиной для получения штрафов от Роскомнадзора, но и угрозой для утечек чувствительной информации.
Фото: Марина Молдавская, Коммерсантъ
Фото: Марина Молдавская, Коммерсантъ
“Ъ” ознакомился с исследованием ГК «Гарда», посвященным работе российских компаний с персональными данными (ПД). Ручной поиск таких данных с удалением в базах, файловых хранилищах и на отдельных рабочих местах используют 39% компаний, 25% применяют шредеры и сжигание совместно со специализированным ПО, 10% — только механическое уничтожение, 10% — другие методы, и только у 3% имеется сертифицированное ПО для удаления ПД, пишут специалисты ГК «Гарда». При этом 12% компаний не удаляют данные вовсе.
Операторы персональных данных обязаны удалять сведения по запросу субъекта или по истечении срока их хранения. В пресс-службе Роскомнадзора “Ъ” объяснили, что неудаление записей персональных данных является неправомерным и лицо, осуществляющее указанную деятельность, может быть привлечено к административной ответственности.
Неудаление персональных данных в сроки, установленные законодательством, согласно ч. 1 ст. 13.11 КоАП РФ (нарушение законодательства РФ в области персональных данных), влечет ответственность. Физическому лицу, привлеченному по данной статье, грозит штраф от 2 тыс. до 6 тыс. руб., должностному лицу — от 10 тыс. до 20 тыс. руб., юридическому— от 60 тыс. до 100 тыс. руб. На уничтожение персональных данных, цель сбора, хранения и использования которых была достигнута, законодательство отводит 30 дней (семь дней, если поступило заявление от субъекта персональных данных). Если оператор по техническим причинам не может выполнить удаление, у него есть дополнительные шесть месяцев при условии, что в течение 30 дней персональные данные будут заблокированы и недоступны для обработки.
Такие показатели по неудалению персональных данных связаны с тем, что у компаний отсутствуют инструменты автоматизации, объясняет руководитель продуктового направления по защите баз данных ГК «Гарда» Дмитрий Ларин. Другое препятствие заключается в том, что информация хранится в разных базах данных, объясняет эксперт компании «Код безопасности» Максим Александров. «Информация о соискателях на трудоустройство в компанию содержится в форме регистрации на сайте, в системе HR-отдела, в почте у HR-отдела, в базах данных для руководителей и других системах, которые при этом имеют бэкапы»,— говорит он. «Эти причины подчеркивают необходимость стандартизации и внедрения эффективных решений для работы с персональными данными»,— добавляет господин Ларин.
Кроме того, не везде налажен процесс учета данных, то есть оператор может не знать, что именно ему нужно удалить и откуда, отмечает руководитель группы защиты инфраструктуры ИТ-решений компании «Газинформсервис» Сергей Полунин. Имеются и проблемы с политикой жизненного цикла данных, без которого тяжело решить, кто и что должен удалить и в какой момент. «Наконец, значимым фактором можно назвать недостаток мотивации. Все работы с данными воспринимаются оператором как издержки и не приносят никакой прибыли. Поэтому ресурсы тратятся на них неохотно»,— добавляет господин Полунин.
Тем не менее для регулятора не имеет значения, как именно будут удаляться персональные данные, вручную или с помощью какого-либо ИТ-решения, однако из-за сжатых сроков на уничтожение компании либо этого не делают, либо делают «спустя рукава», отмечают в ГК «Гарда». Господин Александров добавляет, что отсутствие автоматизации создает риски утечек из-за человеческого фактора. «Когда мы будем читать в новостях, что утекла очередная база данных, компания напишет в ответ о том, что данные давно не актуальны»,— объясняет господин Полунин.