Утечки персональных данных: ситуация в российских компаниях

С точки зрения права и регулирования обработки персональных данных, результаты исследования отражают устойчивую системную проблему: в значительной части компаний в России фактически не выстроена надлежащая модель соблюдения требований законодательства о персональных данных. В соответствии с Федеральным законом № 152-ФЗ "О персональных данных", оператор обязан обрабатывать персональные данные на законной, заранее определённой и конкретной цели, а также не допускать их хранения дольше, чем этого требуют цели обработки. Однако данные исследования показывают, что на практике эти принципы соблюдаются ограниченно: значительная доля компаний хранит контакты несостоявшихся клиентов бессрочно либо использует их для повторных маркетинговых коммуникаций без чётко обозначенного жизненного цикла данных. С правовой точки зрения это формирует сразу несколько зон риска. Во-первых, нарушение принципа минимизации и ограниченности хранения данных. Во-вторых, отсутствие должной регламентации уничтожения или обезличивания данных по достижении цели их обработки. В-третьих, потенциальные нарушения требований к передаче персональных данных третьим лицам, включая подрядчиков и лидогенераторов, что особенно чувствительно с точки зрения согласия субъекта данных. Отдельного внимания заслуживает организационный фактор утечек. Передача клиентских данных через личные устройства сотрудников и мессенджеры фактически означает отсутствие надлежащих организационных и технических мер защиты, которые прямо...