Федеральный закон от 4 мая 2011 года №99-ФЗ «О лицензировании отдельных видов деятельности» обязывает коммерческие организации получать лицензию ФСТЭК России на оказание услуг в области технической защиты конфиденциальной информации. Этот трудозатратный процесс до недавнего времени считался обязательным для всех компаний, работающих с персональными данными, в том числе и интернет-торговли, однако после целого ряда обращений в адрес ФСТЭК выяснилось, что из этого правила всё-таки есть исключения.

ФСТЭК – это уполномоченная государственная служба – Федеральное учреждение контроля экспорта и технической проверки. Оно выдаёт специальное разрешение на применение программных средств и технологий для обеспечения сохранности конфиденциальных данных во исполнение закона.

Процесс получения лицензий сложный и небыстрый. Минимальный срок рассмотрения заявки составляет 45 дней, а пакет сопроводительных документов может состоять из нескольких сотен листов. Но до недавнего времени получение лицензии ФСТЭК являлось обязательным не только для тех компаний, которые оказывали услуги в области технической защиты конфиденциальной информации, а вообще для всех организаций, хранящих персональные данные клиентов или даже сотрудников, что в корне несправедливо.

Исходя из духа и буквы нормативных актов, прохождение процедуры лицензирования деятельности по технической защите конфиденциальной информации (далее ТЗКИ) необходимо для организаций, в случае если эта деятельность направлена на получение прибыли. В то же время получение лицензии ФСТЭК на деятельность по ТЗКИ, осуществляемой для собственных нужд, в том числе в рамках работы с персональными данными сотрудников и клиентов, представляется избыточным.

Ранее АКИТ получила от ФСТЭК РФ разъяснения о том, что лицензированию подлежит не только коммерческая деятельность по ТЗКИ других компаний, но и деятельность по ТЗКИ для собственных нужд. Абсурдность ситуации заключалась в том, что практически все юридические лица обрабатывают персональные данные своих сотрудников в электронном виде и де-юре подпадают под данное требование ФСТЭК. В то же время де-факто ФСТЭК массово не привлекает к ответственности компании за отсутствие лицензии ТЗКИ, что, впрочем, никак не было закреплено ни в нормативно-правовых актах, ни в официальных разъяснениях.

Соответственно, для устранения этого парадокса АКИТ запросила уточнить у ФСТЭК РФ следующее:

1. Необходимо ли получать лицензию ФСТЭК на ТЗКИ при обработке персональных данных клиентов или сотрудников для собственных нужд?
2. Необходимо ли получать лицензию ФСТЭК на ТЗКИ при обработке персональных данных физических лиц по поручению другого юридического лица?
3. Можно ли (и в каких случаях) осуществлять обработку персональных данных без получения лицензии на ТЗКИ?

По результатам проработки этих вопросов Ассоциация получила разъяснения:

• поскольку оператор не может сам себе оказывать услуги, а тем более извлекать из них прибыль в рамках одного юридического лица, получать лицензию ФСТЭК на деятельность по ТЗКИ, осуществляемую для собственных нужд, не требуется;
• деятельность по обработке персональных данных в собственной информационной системе персональных данных, осуществляемая юридическим лицом на договорной основе по поручению оператора в соответствии с п.3 ст.6 ФЗ «О персональных данных» также не подлежит лицензированию ТЗКИ по причине того, что компания-обработчик не выполняет работы по обеспечению безопасности персональных данных и не извлекает из них прибыль;
• в процессе оказания услуг по обработке персональных данных по поручению оператора, компания-обработчик обязана принимать необходимые меры для защиты персональных данных, предоставленных оператором, однако эти меры не являются ни работой, ни услугой, оказываемой с целью извлечения прибыли, в связи с тем, что они должны выполняться в качестве собственной прямой обязанности, предусмотренной ст.19 Федерального Закона №152-ФЗ «О персональных данных».

Отвечая на эти обращения, ФСТЭК России официально поставила точку в затянувшемся недопонимании.

Итак, при обработке персональных данных для собственных нужд оператору действительно не требуется получать лицензию на деятельность по ТЗКИ.

При этом оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке персональных данных по его поручению в собственной информационной системе на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, перечисленных в пункте 4 Положения о лицензировании деятельности по ТЗКИ, утверждённого Постановлением Правительства РФ от 3 февраля 2012 г. №79.

Кроме того, согласно пункту 17 Требований к защите персональных данных при их обработке в информационных системах, утверждённых Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, контроль за их выполнением организуется и проводится оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по ТЗКИ.