О лицензировании

Каждый оператор персональных данных имеет право действовать только на основании лицензии на право осуществления деятельности в порядке, установленном Постановлением Правительства № 504 от 15.08.2006.

К вопросу о терминологии… Необходимо четко понимать, кто же является оператором ПД, а точнее, субъектом ФЗ-152 «О персональных данных».

Под «Операторами» подразумеваются:

• юридические лица и индивидуальные предприниматели, осуществляющие сбор, хранение и обработку персональных данных граждан-физлиц;

• государственные органы всех уровней, осуществляющие сбор, хранение и обработку персональных данных граждан – физлиц (но они под действие закона «О лицензировании» не подпадают).

В отдельную категорию попадают адвокатские и аудиторские и объединения. Они вообще не имеют права заниматься какой-либо другой деятельностью, но вынуждены вести клиентские базы личные дела своих сотрудников, поскольку состоят с ними либо в трудовых, либо в гражданско-правовых отношениях. И в том и в другом случае они оперируют персональными данными граждан. Здесь складывается замкнутый круг: с одной стороны – персональные данные они используют, значит должны получить соответствующую лицензию, иначе им грозит ответственность вплоть до уголовной за незаконное предпринимательство. Но лицензия выдается на конкретный вид деятельности, а он для вышеперечисленных категорий предусмотрен только один – основной.

Ответ на этот ребус дан в Решении Федеральной службы по техническому и экспортному контролю от 5 марта 2010 года в связи с изданием приказа ФСТЭИ России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (зарегистрирован Минюстом России 19 февраля 2010 г., регистрационный № 16456;). В соответствии с абзацем 1 п. 1.3 данного Положения, «оператор, заведомо не имеющий возможности получить лицензию на ТЗКИ (госорган, аудиторские, адвокатские образования и пр.) может назначить должностное лицо для работ по защите информации и нормам права.

Безусловно, есть компромиссный способ выхода из ситуации – заключить соответствующий договор со специализированной лицензированной организацией на оказание услуг по сбору, хранению и обработке персональных данных. Их уже сегодня в России насчитывается более полутора тысяч. Но такой способ решения проблемы весьма затратный.