Перечитывая в очередной раз ПП-1119 наткнулся на один абзац, который заставил меня в очередной раз задуматься о лицензировании деятельности по ТЗКИ. Хотя, казалось бы, после опубликования в прошлом году позиции ФСТЭК ситуация стала предельно понятной - лицензия на ТЗКИ нужна только в трех случаях:
Если посмотреть на часть 3 статьи 6 ФЗ-152, то в ней содержится норма включать в поручение оператора требование обеспечивать безопасность персональных данных при их обработке, а также указать требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152. В п.3 требований ПП-1119 также говорится, что "договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе".
И вот тут возникает вопрос. Если по договору оператор в явной форме поручает обработчику защищать персональные данные, т.е. конфиденциальную информацию, то не значит ли это, что обработчикам (курьерским службам, кейтеринговым компаниям, операторам связи, логистическим компаниям, call-центрам, туристическим компаниям и т.д.) потребуется лицензия ФСТЭК на деятельность по ТЗКИ?
Должно ли оператора волновать отсутствие у обработчика лицензии ФСТЭК? По идее нет. Но вспомните мой пост о том, что налоговая имеет основания признать сделку между заказчиком и поставщиком услуг по защите недействительной, базируя свое решение на ст.173 ГК РФ.
Картина вновь становится запутанной...
- организация извлекает прибыль из деятельности по ТЗКИ
- деятельность по ТЗКИ прописана в уставных документах организации (в первую очередь, для некоммерческих)
- защита конфиденциальной информации в явной форме поручена ее обладателем организации (именно ТЗКИ, а не обработка информации, которая должна защищаться по действующему законодательству).
Если посмотреть на часть 3 статьи 6 ФЗ-152, то в ней содержится норма включать в поручение оператора требование обеспечивать безопасность персональных данных при их обработке, а также указать требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152. В п.3 требований ПП-1119 также говорится, что "договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе".
И вот тут возникает вопрос. Если по договору оператор в явной форме поручает обработчику защищать персональные данные, т.е. конфиденциальную информацию, то не значит ли это, что обработчикам (курьерским службам, кейтеринговым компаниям, операторам связи, логистическим компаниям, call-центрам, туристическим компаниям и т.д.) потребуется лицензия ФСТЭК на деятельность по ТЗКИ?
Должно ли оператора волновать отсутствие у обработчика лицензии ФСТЭК? По идее нет. Но вспомните мой пост о том, что налоговая имеет основания признать сделку между заказчиком и поставщиком услуг по защите недействительной, базируя свое решение на ст.173 ГК РФ.
Картина вновь становится запутанной...