28 мая в 09:50 Защита персональных данных

Оборотные штрафы с 30 мая: больше половины компаний признают, что не справляются с защитой ПД

30 мая 2025 года в силу вступают поправки к Федеральному закону №152-ФЗ, включая введение оборотных штрафов за утечки персональных данных. Однако значительная часть компаний не готова к оборотным штрафам ни технически, ни с точки зрения организации процессов.

Результатами исследования поделились эксперты компании «Б-152», лидеры рынка по защите персональных данных и информационной безопасности.

64% компаний не ведут реестр обработки персональных данных, а если он и есть – то в Excel или вовсе на бумаге. Это неконтролируемый риск, потому что при проверке не удастся быстро и точно показать, какие процессы были под контролем. Только 1 из 6 компаний используют специализированные решения. По сути, каждый четвертый специалист работает с персональными данными “по факту”, без формального назначения, без прав или инструментов.

При этом с утечками персональных данных сталкивается каждая третья компания. В исследовании о них сообщили 34% организаций. Значит, техническая или организационная защита уже не справляется, а за это как раз и предусмотрены штрафы.
Максим Лагутин, основатель Б-152

Выявить слабые места помогает аудит соответствия требованиям по защите ПДн, но 23% компаний его не проводят. То есть на фоне растущих проверок и новых правил — треть рынка действует вслепую. А ведь документальное подтверждение соблюдения правил безопасности необходимо, чтобы доказать свою невиновность.

22% компаний даже не обучают персонал по вопросам персональных данных, ещё столько же делают это реже одного раза в год. Это прямая угроза утечки, поскольку повышается риск человеческих ошибок.

И это при том, что 52% респондентов отметили, что обязанности по защите ПДн стали более сложными или объемными. 48% считают, что у них недостаточно знаний, чтобы быть ответственными по ПДн. Значит, даже те, кто отвечает за защиту, не уверены в своей способности соответствовать требованиям. Рынок обязанностей есть, а вот рынка компетенций — пока нет.

В таких условиях стоило бы передать задачи по ПДн спецоператорам. Но 36% респондентов категорически против этой идеи. “За” высказались лишь 34% респондентов. Это говорит о недоверии к централизованной модели аутсорса и низкой чувствительности к изменениям законодательства.

47% респондентов оценивают влияние новых требований как значительное или среднее, но готовность меняться прослеживается слабо. Большинство не считают свои процессы подверженными риску, поэтому не видят смысла инвестировать в систему защиты персональных данных. У 35% компаний бюджет не изменился, а у 17% снизился, несмотря на ужесточение законодательства и рост ответственности.

Таким образом, бизнес не готов к оборотным штрафам

Не разбираясь в технических моментах, многие руководители не осознают проблемы. Например, они уверены, что действуют в рамках закона, поэтому претензий со стороны надзорных органов к ним быть не может. Однако слабая информационная защита приводит к утечкам персональных данных - из-за внешних атак и невнимательности, недобросовестности сотрудников. Расплачиваться за них придется собственникам бизнеса. Быстро адаптироваться и наладить защиту перед повторной проверкой получится не у всех, так как этот процесс довольно длительный, сложный и дорогой. Выдержат ли российские компании дополнительную финансовую нагрузку - большой вопрос.