Хранение персональных данных становится все более острой проблемой. Объем данных быстро растет, законодательство в этой сфере ужесточается, однако бизнес в целом пока не обращает на эту проблему должного внимания. В частности, как выяснила в ходе исследования IT-компания КРОК, многие российские компании из самых разных отраслей (ритейл, недвижимость, медиа, финансы и т. д.) не выполняют законодательные требования по хранению персональных данных сотрудников. Представители примерно половины опрошенных компаний признали, что хранят данные о бывших сотрудниках дольше срока, предусмотренного законом. 56% не получают отдельного согласия на публикацию персональных данных сотрудников, при этом в 16% компаний не считают нужным получать такое согласие даже при публикации информации о сотруднике на своем сайте. Налицо неготовность компаний к проверкам органов, уполномоченных следить за сохранностью персональных данных, констатирует ведущий аналитик направления «Информационная безопасность» КРОК Анастасия Федорова.
Отчасти это связано с невысокими штрафами, отмечается в исследовании КРОК. Впрочем, скоро ответственность за утечки персональных данных может стать более весомой: поправки в КоАП, проект которых Минюст предложил в мае 2020 г., предусматривают увеличение штрафов за разглашение такой информации в 10–15 раз. Для юрлиц они могут увеличиться с 50 000 до 500 000 руб., для индивидуальных предпринимателей – с 20 000 до 300 000 руб., для должностных лиц – с 10 000 до 100 000 руб., а для граждан – с 2000 до 20 000 руб.
Другая причина порой беспечного отношения бизнеса к персональным данным – слишком динамичное изменение законодательства в этой сфере. Значительная часть организаций, которые сегодня согласно закону могут быть признаны операторами персональных данных, об этом просто не знают, считает управляющий партнер адвокатского бюро «Бишенов и партнеры» Алим Бишенов. Работа с персональными данными требует достаточно высокого уровня правовой подготовки и внимания к изменениям законодательства, правоприменительной и судебной практики, подчеркивает он. В результате для многих крупных игроков заплатить штраф гораздо проще, чем вносить изменения во внутренний документооборот.
При этом некоторые эксперты считают, что и сам закон «О персональных данных» (152-ФЗ) устарел. За 15 лет, прошедших с момента его разработки и принятия, мир настолько изменился, что сформировалось совершенно новое понятие цифровой личности в киберпространстве. Эту личность закон не учитывает, а ее необходимо защищать самым серьезным образом, считает тренер по компьютерной криминалистике Group-IB Сергей Золотухин. «Ежедневно пользователь оставляет в интернете цифровые следы – истории посещений на компьютере, данные геопозиции, истории заказов, технические данные личных устройств, служебную информацию, которая может быть использована злоумышленниками против самого пользователя, членов его семьи или компании, где он работает». Поэтому требуется оперативная доработка закона с учетом данных, используемых в цифровой среде, и развитие подзаконных актов, регулирующих использование релевантных этим угрозам технических мер обеспечения безопасности личности в киберпространстве, считает Золотухин.