Об отмене наказания за отсутствие лицензий ФСТЭК

Законодательство
После сегодняшнего поста коллеги стали утверждать, что отмена частей 1 и 5 ст.13.13 не меняет ситуации и даже ухудшает ее, т.к. будут применять статью 14.1 «Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии)». Так ли это?

Давайте вспомним, что согласно ст.2 ГК РФ «предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке«. Уже одно это говорит о том, что ст.14.1 применяется только к тем, кто зарабатывает на безопасности, т.е. лицензиаты ФСТЭК и ФСБ, продающие средства защиты или предлагающие услуги в области защиты информации.

К подавляющему большинству тех организаций (99%), на которых распространялась статья 13.13, статья 14.1 отношения уже не имеет. Иными словами мы возвращаемся к состоянию дел, которое было до принятия 504-го Постановления Правительства, когда лицензировалась именно деятельность разработчиков и интеграторов, получающих прибыль от защиты информации. И это правильно. Нечего пытаться заставить лицензироваться 5 с лишним миллионов юридических лиц и индивидуальных предпринимателей, которые виноваты лишь в том, что обрабатывают персональные данные своих сотрудников или клиентов.

Кстати, ФСТЭК также стала отступать от своей позиции в данном вопросе, несмотря на то, что ее представители регулярно заявляли о необходимости получения лицензии на ТЗКИ любому оператору ПДн. Все это было частное мнение представителей ФСТЭК. На прямой вопрос начальнику 2-го Управления ФСТЭК г-ну Куцу его ответ выглядит так:

Обратите внимание на последнее предложение — «наличие указанной лицензии у оператора обязательным требованием не является«. Можно только приветствовать такую позицию регулятора, который наконец-то повернулся лицом к хозяйствующим субъектам и снял неопределенность в в таком непростом вопросе.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. pLuto

    Было бы интересно посмотреть первую часть письма г-на Куца. Поскольку из процитированного абзаца логически вытекает только один вывод: "В случае, если оператор делегирует обработку уполномоченному лицу, у уполномоченного лица должна быть лицензия на деятельность по ТЗКИ, а у оператора — нет". Но только в этом случае. А для случае, когда деятельность не делегируется и оператор обрабатывает ПДн сам — ничего в процитированном хорошего нет.

    Ответить
  2. Алексей Лукацкий

    Остальное относится к оценке соответствия и аттестации

    Ответить
  3. Алексей Лукацкий

    Кстати, прочитать можно и по другому 😉

    Ответить
  4. Анонимный

    to pLuto:
    в процитированном абзаце говорится, если оператор _безопасность_ обработки в ИСПДн делегирует уполномоченному лицу, то упол.лицо обязано иметь лицензию, оператор — нет.
    В остальном соглашусь: если оператор безопасность не делегирует, то ничего хорошего нет (насчет получения/неполучения лицензии).
    Надо ждать, чем закончится законодательная инициатива по КоАП

    Ответить
  5. Иванов Иван

    Алексей, уполномоченным лицом может быть любая компания, которой на основании договора оператор поручает обработку ПДн. Суть письма, на мой взгляд, еще больше "мутит воду", ведь таким уполномоченным лицом, как правило, не часто выступает компания, которая имет лицензии по защите информации!

    Ответить
  6. pushkinist

    а что, кого-нибудь привлекли когда-либо за отсутствие лицензии на тзки при обработке персданных?

    Ответить
  7. ansv

    Обожаю письма ФСТЭК. Как обычно, процитировали закон, а дальше каждый может понимать как хочет…

    Как прочитал я: "поручать защиту ПДн можно только лицензиатам, тогда оператор сам не защищает и лицензия не нужна.". То есть, как и было — можно привлечь интегратора (с лицензией) и пусть защищает он…

    Про случай "никого не привлеку, сам буду защищать" — ни слова.

    Ответить
  8. Sergey Barmin

    Соглашусь с коллегами выше, речь о том, что получение лицензии не является обязательным в случае привлечения сторонней организации.
    А жаль!

    Ответить
  9. John

    Э-э, еще ст.171 УК РФ.

    Ответить