Письма лично на почту? Да ну...

Письма лично на почту? Да ну...
Сегодня анонимный читатель этого блога (друзья, пожалуйста, подписывайтесь - это занимает не очень много времени, но позволяет мне хотя бы сказать "необезличенное" "спасибо"), в продолжение темы " Письма лично на почту ношу... " прислал ссылку на очень интересную статью под названием " Собственные нужды оператора ПДн - миф или реальность? ". Размещена она на сайте fz152.ru, принадлежащем некоей организации "Ассоциация "Электронные системы" ООО "Научно-исследовательский центр "ФОРС", автор произведения - директор по развитию этого ООО, господин Шмелев Павел Владимирович. Честно говоря, я не раз читал и слышал массу всяческих доводов в пользу необходимости и обязательности получения лицензии ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации (ТЗКИ), однако такого развернутого, масштабного и исчерпывающего объяснения мне встречать еще не доводилось. Творение, безусловно, заслуживает полного прочтения, что я и сделал - от корки до корки. А потому могу позволить себе высказать свои комментарии по поводу прочитанного. Начнем с названия и привязки. Красной нитью в статье проходит мысль о том, что "собственные нужды" и "защита персональных данных" - вещи несовместимые. И это действительно так. Оператор, защищая персональные данные граждан, по идее действует не в своих интересах - а в интересах самих граждан. Но это только по идее. На самом деле граждане - вторичны, первично же - желание "не подставиться" перед регуляторами, а для этого необходимо соблюдать и ФЗ, и ПП и все остальное, что перечислено в статье. Также не будем забывать, что логическая цепочка "Гражданский кодекс" - "128-ФЗ" является де-юро незыблемой, а это значит, что выражение "деятельность" в рамках лицензирования эквивалентно термину "предпринимательская деятельность". И это правда: ведь лицензия выдается именно на "деятельность", и поэтому ФСТЭК заставляет потенциального лицензиата внести в учредительные документы изменения, дающие последнему право такой деятельностью заниматься и, теоретически, извлекать из нее прибыль. Однако ни о ГК, ни о "деятельности" согласно ГК в статье вообще не упоминается и, следуя приведенной в статье логике, все без исключения операторы (включая некоммерческие организации и государственные учреждения) просто обязаны получать лицензию. Автор, очевидно, полагает, что все операторы осуществляют "деятельность", направленную не на извлечение прибыли, а на соблюдение законодательства. Пропуская длиииииинное "бла-бла-бла" про "собственные нужды" (хотя много что заслуживает отдельного поста), я позволю себе остановиться на этом предложении: Оппонентам, оставшимся после прочтения этой статьи при своей точке зрения, хотелось бы порекомендовать пойти чуть дальше в своих умозаключениях, раскрыв понятие [собственные нуждыk в терминах действующего законодательства и с учетом положений ФЗ 152. Уважаемый Павел Владимирович! Я, безусловно, отношусь к любому труду с уважением.  Учитывая то, что Ваша организация занимается услугами в области защиты ПДн, и то, что получить лицензию простому желающему, самостоятельно, без посредников и "блата", весьма проблематично и ОЧЕНЬ дорого, Вы, публикуя такого рода материалы, отлично справляетесь со своим функционалом! Однако, потратив время на прочтение, я остался при своей точке зрения, в силу, очевидно, "недалекого ума". Свои "недальновидные умозаключения" по поводу неправильности выбора вектора и смещения его от понятия "деятельность" к понятию "собственные нужды" я уже сделал. Позволю себе еще парочку. Фразы, предваряющие указанное выше предложение, выглядят совершенно чудесным образом: Осмысление проблем, стоящих перед бизнесом в свете требований ФЗ 152 приводит к выводу о необходимости соблюдения баланса между интересами личности и интересами бизнеса. Введение отраслевых стандартов (а, в дальнейшем, вероятно, и института саморегулирования) в этой сфере - есть эффективный инструмент достижения этой цели. В то же время, несмотря на очевидный антагонизм прав личности и потребностей бизнеса, такие документы, бесспорно, обязаны учитывать не только [нуждыk членов отрасли. В первую очередь они должны учитывать интересы личности. Судя по всему, автор всерьез полагает, что наличие весьма дорогостоящей лицензии ТЗКИ у оператора дает гражданину - субъекту ПДн - возможность чувствовать себя как "у Христа за пазухой", передавая тому свои персональные данные? Или что владелец небольшого фотосалона с 5 сотрудниками и 300-ми клиентами сможет осилить полтора миллиона за лицензию плюсом к стартовому капиталу в 200 тысяч рублей за весь фотосалон? Вряд ли. Лицензия ТЗКИ ровным счетом ничего не дает субъекту, и отнимает средства у без того небогатых операторов в пользу государственных органов, которые, как показывает практика, и являются главными источниками утечек персональных данных граждан. Автору можно порекомендовать зайти на рынок, купить базу данных ГИБДД, отыскать там себя и обратиться в суд с иском против ГИБДД. Как вы думаете - отсудит ли что-нибудь автор в качестве компенсации морального ущерба? Вопрос риторический. И таким он останется даже в том случае, если ГИБДД получит лицензию ФСТЭК на ТЗКИ (прости Господи) - согласно дальновидных умозаключений автора, "гаишники" просто обязаны это сделать. Всему виной терминологическая путаница: стоило назвать 128-ФЗ "О лицензировании отдельных видов ПРЕДПРИНИМАТЕЛЬСКОЙ деятельности" - вопросов бы ни у кого не возникло. Вряд ли кто-то из уважаемых экспертов сочтет мероприятия, связанные с защитой оператором ПДн субъектов, "предпринимательской деятельностью" - в противном случае все без исключения операторы, в том числе и ГИБДД, являются "предпринимателями" со всеми вытекающими. Однако эти нюансы исправлять никто не спешит - наоборот, постоянно идет "подогрев" общественного сознания - а значит, это кому-то выгодно. Поэтому, ни о каком балансе и ни о каких интересах личности говорить, увы, не приходится. Ну а для ООО, топ-менеждером которого является автор обсуждаемого материала, эта тема - хлеб, поэтому, как говорится, приятного ему аппетита! PS. Всем, кому интересна еще одна тема - про казуистику российского законодательства в области автоматизированной и неавтоматизированной обработки ПДн - очень рекомендую зайти сюда .
бизнес фстэк персональные данные государство
Alt text