Более трети российских компаний удаляют персональные данные вручную

Российский бизнес системно пренебрегает требованиями законодательства об удалении персональных данных: почти 40% компаний до сих пор полагаются на ручной поиск и уничтожение информации, а 12% организаций и вовсе не удаляют такие сведения. Эксперты предупреждают, что такой подход не только грозит многомиллионными штрафами, но и создает критическую угрозу утечек из-за человеческого фактора.

Ручной труд и сжигание: как компании «забывают» удалить данные

Исследование ГК «Гарда» выявило тревожную картину в сфере обработки персональных данных. В 39% российских компаний процесс удаления конфиденциальной информации из баз, файловых хранилищ и с рабочих мест осуществляется вручную. Еще 25% организаций прибегают к комбинированному методу, используя как специализированное ПО, так и физическое уничтожение носителей — шредеры и сжигание. Лишь 3% компаний применяют сертифицированное программное обеспечение для гарантированного удаления данных.

Автоматизация под вопросом

По словам Дмитрия Ларина, руководителя продуктового направления по защите баз данных ГК «Гарда», столь высокий показатель неудаления напрямую связан с отсутствием у компаний инструментов автоматизации. В компании «Код безопасности» добавляют, что проблема усугубляется фрагментацией информации: данные хранятся в разрозненных базах, и оператор зачастую просто не знает, что именно и откуда нужно удалить. Специалисты сходятся во мнении, что ключевая задача сегодня — стандартизация процессов и внедрение эффективных решений для учета и уничтожения персональных сведений.

Штрафы и риски: цена небрежности

Регулятор в лице Роскомнадзора напоминает: неудаление персональных данных по запросу субъекта или по истечении срока хранения является прямым нарушением закона. Ответственность за это предусмотрена ч. 1 ст. 13.11 КоАП РФ. Штраф для физических лиц составляет от 2 до 6 тыс. рублей, для должностных — от 10 до 20 тыс. рублей, а для юридических лиц — от 60 до 100 тыс. рублей. При этом, как отмечают в ГК «Гарда», для регулятора не имеет значения способ уничтожения данных, однако сжатые сроки на выполнение процедуры приводят к тому, что процесс либо игнорируется, либо проводится «спустя рукава».

В 10% компаний практикуется исключительно механическое уничтожение носителей, а еще 10% используют иные, неуточненные способы. Отсутствие автоматизации не только увеличивает риск административных санкций, но и создает прямую угрозу утечки конфиденциальной информации из-за человеческого фактора.

Ранее в фокусе внимания регулятора находились вопросы сбора и хранения персональных данных, однако практика показала, что этап удаления информации не менее проблемный. Операторы обязаны уничтожать сведения по истечении срока их хранения или по требованию субъекта, однако техническая и организационная неготовность компаний превращает эту норму в формальность. В условиях, когда объемы накапливаемых данных растут экспоненциально, а требования к их защите ужесточаются, отсутствие централизованных решений для управления жизненным циклом информации становится не просто вопросом штрафов, а фактором стратегического риска. Без пересмотра подходов к автоматизации и стандартизации процессов российский бизнес рискует столкнуться с лавиной как административных исков, так и репутационных потерь от инцидентов безопасности.