Официальный дистрибьютор КонсультантПлюс
+ 7 495 225 24 94
Вам перезвонить?

Вопрос 26

Письмо директору

Стремясь стать лучше, мы учитываем все ваши замечания и пожелания

Наличие лицензии требуется только в случае осуществления профессиональной деятельности в отношении оказания услуг (выполнения работ) по технической защите конфиденциальной информации. В случае самостоятельного выполнения оператором персональных данных работ по обеспечению безопасности персональных данных, получать лицензию на осуществление обработки персональных данных ему не нужно.

Обоснование: В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ) к персональным данным относится любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу.

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона № 152-ФЗ).

Под обработкой персональных данных понимаются действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона № 152-ФЗ). Соответственно, лицо, осуществляющее деятельность по обработке персональных данных признается оператором персональных данных.

Закон № 152-ФЗ не содержит положений, предусматривающих наличие лицензии в связи с осуществлением деятельности по обработке персональных данных. Упоминание о лицензии имеется в пп. 6 п. 3 ст. 23 Закона № 152-ФЗ, указывающее, что орган по защите прав субъектов персональных данных (физических лиц) имеет право инициировать приостановление действия или аннулирование лицензии.

Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» (далее – Закон № 99-ФЗ) также не предусмотрена необходимость получения лицензии для осуществления деятельности по обработке персональных данных (ст. 12 Закона № 99-ФЗ). Лишь пп. 5 п. 1 ст. 12 Закона № 99-ФЗ установлено, что лицензированию подлежит деятельность по технической защите конфиденциальной информации.

При этом под технической защитой конфиденциальной информации понимается выполнение работ и (или) оказание услуг по ее защите от несанкционированного доступа, от утечки по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней (п. 2 Постановления Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (далее – Постановление № 79)). П.4 Постановления № 79 установлен перечень видов работ и услуг, подлежащих лицензированию при осуществлении деятельности по технической защите конфиденциальной информации. Однако, из содержания перечня следует, что лицензированию подлежит профессиональная деятельность специализированных организаций, непосредственно занимающихся выполнением работ (оказанием услуг) по технической защите конфиденциальной информации.

П. 1 ст. 19 Закона № 152-ФЗ установлено, что оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных достигается, в частности, применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных (п. 2 ч. 2 ст. 19 Закона № 152-ФЗ).

Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных утверждены Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ № 21).

Безопасность персональных данных при их обработке в информационной системе персональных данных обеспечивает оператор или лицо, осуществляющее обработку персональных данных по поручению оператора в соответствии с законодательством РФ. Для выполнения работ по обеспечению безопасности персональных данных при их обработке в информационной системе в соответствии с законодательством РФ могут привлекаться на договорной основе юридическое лицо или индивидуальный предприниматель, имеющие лицензию на деятельность по технической защите конфиденциальной информации (п. 2 Приказа № 21).

Требования к защите персональных данных при их обработке в информационных системах персональных данных утверждены Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (Постановление № 1119). В силу п. 17 Постановления № 1119 контроль за выполнением настоящих требований организуется и проводится оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в 3 года в сроки, определяемые оператором (уполномоченным лицом).

Из вышеизложенного следует, что наличие лицензии требуется только в случае осуществления организациями и ИП профессиональной деятельности в отношении оказания услуг (выполнения работ) по технической защите конфиденциальной информации. Следовательно, по нашему мнению, поскольку оператор обязан только соблюдать требования законодательства о персональных данных, то в случае самостоятельного выполнения им работ по обеспечению безопасности персональных данных согласно вышеизложенных требований, получать лицензию на осуществление обработки персональных данных ему не нужно.

23.11.2016

Ю.Ю. Астахова

Наши клиенты