- организация извлекает прибыль из деятельности по ТЗКИ
- деятельность по ТЗКИ прописана в уставных документах организации (в первую очередь, для некоммерческих)
- защита конфиденциальной информации в явной форме поручена ее обладателем организации (именно ТЗКИ, а не обработка информации, которая должна защищаться по действующему законодательству).
Из этой триады можно сделать простой вывод — большинству операторов ПДн не требуется получать лицензию ФСТЭК на ТЗКИ. А вот что у нас с обработчиками? По идее ситуация ни чем не отличается. Но только на первой взгляд.
Если посмотреть на часть 3 статьи 6 ФЗ-152, то в ней содержится норма включать в поручение оператора требование обеспечивать безопасность персональных данных при их обработке, а также указать требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ-152. В п.3 требований ПП-1119 также говорится, что «договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе«.
И вот тут возникает вопрос. Если по договору оператор в явной форме поручает обработчику защищать персональные данные, т.е. конфиденциальную информацию, то не значит ли это, что обработчикам (курьерским службам, кейтеринговым компаниям, операторам связи, логистическим компаниям, call-центрам, туристическим компаниям и т.д.) потребуется лицензия ФСТЭК на деятельность по ТЗКИ?
Должно ли оператора волновать отсутствие у обработчика лицензии ФСТЭК? По идее нет. Но вспомните мой пост о том, что налоговая имеет основания признать сделку между заказчиком и поставщиком услуг по защите недействительной, базируя свое решение на ст.173 ГК РФ.
Картина вновь становится запутанной…
Недавно небольшой спор возник с программистом по поводу возникновения НДВ, связанных с высокой сложностью и объемом кода, который в больших системах пишется разными людьми, в разное время и т.п.
Мне кажется, что тут аналогичная ситуация. Это "савовозникающие нормы" (пусть сокращенно будет САВОН), которые никем не задумывались, но из-за большого объема НПА, семантики, ограниченности тезауруса. Надо ли исполнять такие САВОНы? Иногда кажется, что законодатель просто бог, что такое предусмотрел на таком низком уровне, иногда явно видно, что лоханулись конкретно. Все зависит от конфликта и на чьей стороне окажется решальшик спора, в смысле какое у него будет настроение (содержание сахара :)).
А перефразируя вопросы в посте получаем: "надо ли исполнять смысловое НДВ в законодательных/нормативно-правовых актах?"
Вот ПО таким вопросом не задается, исполняет и всё…
В договоре должно быть не защищать, а обеспечить защиту (либо самому при наличии лицензии либо нанять лицензиата). Хотя цепочка субподрядов может быть и длиннее 🙂
Кстати, контролирующие органы (в некоторых регионах), в свете наказания за наезды на бизнес, полностью игнорируют не только такие смысловые НДВ в НПА, но и маломальские цепочки следствий в разных НПА. Используются ТОЛЬКО прямые указания в рамках ОДНОГО НПА. Например, в 1119 постановлении не написано про "Политику в области обработки ПДн", значит делать ее не будем. Вот такой вариант решения выработала бюрократическая машина на такой случай.
Тут просто два пункта получается:
1. В договоре явно прописывается защита информации (владелец поручает исполнителю).
2. Указывать в договоре защиту и собственно защищать явно заставляет Федеральное законодательство.
Исполнитель делает одно и то же и по поручению владельца и по требованию закона…