Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Очередные размышления о лицензировании деятельности по ТЗКИ

Аватар пользователя alukatsk
Автор: Лукацкий Алексей,
(0)
()
Опубликовано в:
Перечитывая в очередной раз ПП-1119 наткнулся на один абзац, который заставил меня в очередной раз задуматься о лицензировании деятельности по ТЗКИ. Хотя, казалось бы, после опубликования в прошлом году позиции ФСТЭК ситуация стала предельно понятной - лицензия на ТЗКИ нужна только в трех случаях:
  • организация извлекает прибыль из деятельности по ТЗКИ
  • деятельность по ТЗКИ прописана в уставных документах организации (в первую очередь, для некоммерческих)
  • защита конфиденциальной информации в явной форме поручена ее обладателем организации (именно ТЗКИ, а не обработка информации, которая должна защищаться по действующему законодательству).
Из этой триады можно сделать простой вывод - большинству операторов ПДн не требуется получать лицензию ФСТЭК на ТЗКИ. А вот что у нас с обработчиками? По идее ситуация ни чем не отличается. Но только на первой взгляд.

Если посмотреть на часть 3 статьи 6 ФЗ-152, то в ней содержится норма включать в поручение оператора требование обеспечивать безопасность персональных данных при их обработке, а также указать требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152. В п.3 требований ПП-1119 также говорится, что "договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе".

И вот тут возникает вопрос. Если по договору оператор в явной форме поручает обработчику защищать персональные данные, т.е. конфиденциальную информацию, то не значит ли это, что обработчикам (курьерским службам, кейтеринговым компаниям, операторам связи, логистическим компаниям, call-центрам, туристическим компаниям и т.д.) потребуется лицензия ФСТЭК на деятельность по ТЗКИ?

Должно ли оператора волновать отсутствие у обработчика лицензии ФСТЭК? По идее нет. Но вспомните мой пост о том, что налоговая имеет основания признать сделку между заказчиком и поставщиком услуг по защите недействительной, базируя свое решение на ст.173 ГК РФ.

Картина вновь становится запутанной...
Оцените материал:
Total votes: 333
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.