Сертифицированное ПО для удаления персональных данных имеют только 3% российских компаний, подсчитали в ИБ-компании «Гарда». Согласно исследованию, ручной поиск таких данных с удалением в базах, файловых хранилищах и на отдельных рабочих местах используют почти 40% компаний, а 12% не удаляют данные вовсе. Данные, не уничтоженные в положенные сроки, могут привести не только к штрафам от Роскомнадзора, но и к утечкам чувствительной информации
Только 3% российских компаний имеют сертифицированное ПО для удаления персональных данных, «Коммерсантъ» со ссылкой на исследование группы компаний «Гарда». Как подсчитал разработчик продуктов от угроз информационной безопасности, ручной поиск таких данных с удалением в базах, файловых хранилищах и на отдельных рабочих местах используют 39% компаний, а 25% наряду со специализированным ПО применяют шредеры и сжигание.
Только механическое уничтожение используют 10% компаний, еще 10% применяют другие методы, отметили специалисты ГК «Гарда». При этом 12% компаний не удаляют данные вовсе.
По словам руководителя продуктового направления по защите баз данных ГК «Гарда» Дмитрия Ларина, такие показатели по неудалению персональных данных связаны с отсутствием у компаний инструментов автоматизации. Еще одна проблема заключается в том, что информация хранится в разных базах данных, отметил эксперт компании «Код безопасности» Максим Александров.
Помимо того, не везде налажен процесс учета данных — оператор может не знать, что именно нужно удалить и откуда, рассказал руководитель группы защиты инфраструктуры ИТ-решений компании «Газинформсервис» Сергей Полунин. Еще одним значимым фактором он признал «недостаток мотивации».
В ГК «Гарда» указали, что регулятору безразлично, будут ли персональные данные удаляться вручную или с помощью ИТ-решения, а из-за сжатых сроков на уничтожение компании зачастую делают это «спустя рукава». Александров предупредил, что из-за отсутствия автоматизации возникают риски утечек из-за человеческого фактора.
Операторы персональных данных обязаны удалять сведения по запросу субъекта или по истечении срока их хранения. В Роскомнадзоре заявили изданию, что неудаление записей персональных данных является неправомерным, за это грозит административная ответственность.
По статье 13.11 КоАП России (нарушение законодательства в области персональных данных) грозят штрафы до 100 000 рублей. Закон отводит на уничтожение персональных данных 30 дней (или семь дней, если поступило заявление от субъекта персональных данных). Если удаление невозможно по техническим причинам, у оператора есть дополнительные шесть месяцев при условии, что в течение 30 дней персональные данные будут заблокированы и недоступны для обработки.
Только 3% российских компаний имеют сертифицированное ПО для удаления персональных данных, «Коммерсантъ» со ссылкой на исследование группы компаний «Гарда». Как подсчитал разработчик продуктов от угроз информационной безопасности, ручной поиск таких данных с удалением в базах, файловых хранилищах и на отдельных рабочих местах используют 39% компаний, а 25% наряду со специализированным ПО применяют шредеры и сжигание.
Только механическое уничтожение используют 10% компаний, еще 10% применяют другие методы, отметили специалисты ГК «Гарда». При этом 12% компаний не удаляют данные вовсе.
По словам руководителя продуктового направления по защите баз данных ГК «Гарда» Дмитрия Ларина, такие показатели по неудалению персональных данных связаны с отсутствием у компаний инструментов автоматизации. Еще одна проблема заключается в том, что информация хранится в разных базах данных, отметил эксперт компании «Код безопасности» Максим Александров.
Помимо того, не везде налажен процесс учета данных — оператор может не знать, что именно нужно удалить и откуда, рассказал руководитель группы защиты инфраструктуры ИТ-решений компании «Газинформсервис» Сергей Полунин. Еще одним значимым фактором он признал «недостаток мотивации».
В ГК «Гарда» указали, что регулятору безразлично, будут ли персональные данные удаляться вручную или с помощью ИТ-решения, а из-за сжатых сроков на уничтожение компании зачастую делают это «спустя рукава». Александров предупредил, что из-за отсутствия автоматизации возникают риски утечек из-за человеческого фактора.
Операторы персональных данных обязаны удалять сведения по запросу субъекта или по истечении срока их хранения. В Роскомнадзоре заявили изданию, что неудаление записей персональных данных является неправомерным, за это грозит административная ответственность.
По статье 13.11 КоАП России (нарушение законодательства в области персональных данных) грозят штрафы до 100 000 рублей. Закон отводит на уничтожение персональных данных 30 дней (или семь дней, если поступило заявление от субъекта персональных данных). Если удаление невозможно по техническим причинам, у оператора есть дополнительные шесть месяцев при условии, что в течение 30 дней персональные данные будут заблокированы и недоступны для обработки.
