Давайте вспомним, что согласно ст.2 ГК РФ «предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке«. Уже одно это говорит о том, что ст.14.1 применяется только к тем, кто зарабатывает на безопасности, т.е. лицензиаты ФСТЭК и ФСБ, продающие средства защиты или предлагающие услуги в области защиты информации.
К подавляющему большинству тех организаций (99%), на которых распространялась статья 13.13, статья 14.1 отношения уже не имеет. Иными словами мы возвращаемся к состоянию дел, которое было до принятия 504-го Постановления Правительства, когда лицензировалась именно деятельность разработчиков и интеграторов, получающих прибыль от защиты информации. И это правильно. Нечего пытаться заставить лицензироваться 5 с лишним миллионов юридических лиц и индивидуальных предпринимателей, которые виноваты лишь в том, что обрабатывают персональные данные своих сотрудников или клиентов.
Кстати, ФСТЭК также стала отступать от своей позиции в данном вопросе, несмотря на то, что ее представители регулярно заявляли о необходимости получения лицензии на ТЗКИ любому оператору ПДн. Все это было частное мнение представителей ФСТЭК. На прямой вопрос начальнику 2-го Управления ФСТЭК г-ну Куцу его ответ выглядит так:
Обратите внимание на последнее предложение — «наличие указанной лицензии у оператора обязательным требованием не является«. Можно только приветствовать такую позицию регулятора, который наконец-то повернулся лицом к хозяйствующим субъектам и снял неопределенность в в таком непростом вопросе.
Было бы интересно посмотреть первую часть письма г-на Куца. Поскольку из процитированного абзаца логически вытекает только один вывод: "В случае, если оператор делегирует обработку уполномоченному лицу, у уполномоченного лица должна быть лицензия на деятельность по ТЗКИ, а у оператора — нет". Но только в этом случае. А для случае, когда деятельность не делегируется и оператор обрабатывает ПДн сам — ничего в процитированном хорошего нет.
Остальное относится к оценке соответствия и аттестации
Кстати, прочитать можно и по другому 😉
to pLuto:
в процитированном абзаце говорится, если оператор _безопасность_ обработки в ИСПДн делегирует уполномоченному лицу, то упол.лицо обязано иметь лицензию, оператор — нет.
В остальном соглашусь: если оператор безопасность не делегирует, то ничего хорошего нет (насчет получения/неполучения лицензии).
Надо ждать, чем закончится законодательная инициатива по КоАП
Алексей, уполномоченным лицом может быть любая компания, которой на основании договора оператор поручает обработку ПДн. Суть письма, на мой взгляд, еще больше "мутит воду", ведь таким уполномоченным лицом, как правило, не часто выступает компания, которая имет лицензии по защите информации!
а что, кого-нибудь привлекли когда-либо за отсутствие лицензии на тзки при обработке персданных?
Обожаю письма ФСТЭК. Как обычно, процитировали закон, а дальше каждый может понимать как хочет…
Как прочитал я: "поручать защиту ПДн можно только лицензиатам, тогда оператор сам не защищает и лицензия не нужна.". То есть, как и было — можно привлечь интегратора (с лицензией) и пусть защищает он…
Про случай "никого не привлеку, сам буду защищать" — ни слова.
Соглашусь с коллегами выше, речь о том, что получение лицензии не является обязательным в случае привлечения сторонней организации.
А жаль!
Э-э, еще ст.171 УК РФ.