Очередные размышления о лицензировании деятельности по ТЗКИ

Очередные размышления о лицензировании деятельности по ТЗКИ
Перечитывая в очередной раз ПП-1119 наткнулся на один абзац, который заставил меня в очередной раз задуматься о лицензировании деятельности по ТЗКИ. Хотя, казалось бы, после опубликования  в прошлом году позиции ФСТЭК ситуация стала предельно понятной - лицензия на ТЗКИ нужна только в трех случаях:
  • организация извлекает прибыль из деятельности по ТЗКИ
  • деятельность по ТЗКИ прописана в уставных документах организации (в первую очередь, для некоммерческих)
  • защита конфиденциальной информации в явной форме поручена ее обладателем организации (именно ТЗКИ, а не обработка информации, которая должна защищаться по действующему законодательству).
Из этой триады можно сделать простой вывод - большинству операторов ПДн не требуется получать лицензию ФСТЭК на ТЗКИ. А вот что у нас с обработчиками? По идее ситуация ни чем не отличается. Но только на первой взгляд.

Если посмотреть на часть 3 статьи 6 ФЗ-152, то в ней содержится норма включать в поручение оператора требование обеспечивать безопасность персональных данных при их обработке, а также указать требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152. В п.3 требований ПП-1119 также говорится, что "договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе".

И вот тут возникает вопрос. Если по договору оператор в явной форме поручает обработчику защищать персональные данные, т.е. конфиденциальную информацию, то не значит ли это, что обработчикам (курьерским службам, кейтеринговым компаниям, операторам связи, логистическим компаниям, call-центрам, туристическим компаниям и т.д.) потребуется лицензия ФСТЭК на деятельность по ТЗКИ?

Должно ли оператора волновать отсутствие у обработчика лицензии ФСТЭК? По идее нет. Но вспомните мой пост о том, что налоговая имеет основания признать сделку между заказчиком и поставщиком услуг по защите недействительной, базируя свое решение на ст.173 ГК РФ.

Картина вновь становится запутанной...
законодательство лицензирование ФСТЭК персональные данные
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!