Согласно опросу компании «К2 Интеграция» на тему требований ФЗ «О персональных данных», 75% бизнесов еще не выполнили положения закона, начавшие действовать в сентябре 2022 года. Поправки обязывают организации уведомлять Роскомнадзор о трансграничной передаче персональных данных в страны, «обеспечивающие адекватную защиту прав субъектов данных».
Что случилось
К соблюдению второй части поправок к закону «О персональных данных», вступающей в силу 1 марта 2023 года, полностью не готов практически никто, показало исследование «К2 Интеграция» (есть в распоряжении Inc.). В опросе приняли участие более 100 компаний из разных отраслей экономики.
К выполнению новых мартовских требований в разной степени готовы 31% опрошенных, при этом только 3% — готовы полностью, а 66% — еще не приступали к этому процессу.
Больше всего сложностей у компаний вызывает выполнение требований по уведомлению об инцидентах в области персональных данных: с ними сталкиваются 56% бизнесов. Еще 53% пока не разобрались в нюансах оценки вреда субъектам, 47% самым трудным считают внесение изменений в локальные нормативные акты внутри компании, а 41% — выполнение требований по уничтожению данных.
С трудностями при выполнении требований к трансграничной передаче данных сталкиваются только 26% компаний. Однако немногие до конца понимают, что относить к этому понятию. Например, только треть из них знают, что оформление заграничного обучения или командировки сотрудника, а также использование сервисов Google считаются трансграничной передачей.
Контекст
С 1 сентября 2022 года вступила в силу первая часть требований ФЗ-266 «О персональных данных». Закон обязывает компании и ИП в течение 24 часов уведомлять Роскомнадзор об инцидентах, связанных с утечками персональных данных, а затем в течение 72 часов сообщать информацию о результатах внутреннего расследования по факту такого инцидента.
Поправки, которые вступают в силу с 1 марта 2023 года, обязывают бизнес уведомлять Роскомнадзор о трансграничной передаче персональных данных, определяют сроки и порядок их рассмотрения, устанавливают случаи ограничения и запрета на трансграничную передачу данных.
Кроме того, в них вводятся степени вреда, который может быть причинен субъекту персональных данных, определяется порядок проведения его оценки и документирования результатов, а также устанавливаются требования к подтверждению факта уничтожения данных.