Лицензия на обработку персональных данных

.

Получение и обработка персональных данных

Лицензирование работы с персональными данными

⇐ Предыдущая18192021222324252627Следующая ⇒

1. Лицензия на проведение работы с персональными данными выдается в порядке, установленном законодательством РФ.

В лицензии указываются: цели сбора и использования персональных данных, режимы и сроки их хранения; категории или группы субъектов персональных данных; перечень персональных данных; источники сбора персональных данных; порядок информирования субъектов о сборе и возможной передаче их персональных данных; меры по обеспечению сохранности и конфиденциальности персональных данных; лицо, непосредственно ответственное за работу с персональными данными; требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.

2. Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать указание (ссылку) на выданную лицензию.

Уполномоченный по правам субъектов персональных данных хранит сведения о держателях (обладателях) массивов персональных данных, которые получили лицензию,

Отзыв лицензии

Лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:

  • нарушения условий лицензии;
  • подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности;
  • ликвидации и реорганизации в установленном действующим законодательством порядке юридического лица – держателя массива персональных данных;
  • по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных;
  • по решению суда.

⇐ Предыдущая18192021222324252627Следующая ⇒

Можно скачать этот документ в формате MS Word.

Необходимо получить лицензию на обработку персональных данных?

Скачивание доступно только зарегистрированным пользователям.

Оператор до начала обработки ПДн обязан направить уведомление в уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, что является заявкой на получение статуса оператора ПДн(Образец уведомления с разъяснениями) .

Операторы, которые осуществляли обработку ПДн до дня вступления в силу Федерального закона № 152-ФЗ «О персональных данных» и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов ПДн уведомление.

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов ПДн обработку ПДн:

1) обрабатываемых в соответствии с трудовым законодательством;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

4) сделанных субъектом персональных данных общедоступными;

5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;

9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. Уполномоченным органом по защите прав субъектов ПДн, на кото­рый возлагается обеспечение контроля и надзора за соответствием обра­ботки ПДн требованиям Федерального закона № 152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществ­ляющий функции по контролю и надзору в сфере информационных техно­логий и связи — Федеральная служба по надзору в сфере связи, информа­ционных технологий и массовых коммуникаций.

Заполненное уведомление должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с за­конодательством Российской Федерации в управление Роскомнадзора по ___________ области.

В случае изменения сведений, содержащихся в уведомлении, опера­тор обязан уведомить об изменениях Роскомнадзор в течение десяти рабо­чих дней с даты возникновения таких изменений.

Комментарии к статье «Регистрация в качестве оператора персональных данных»

Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?

13.03.2011

Лицензирование деятельности операторов персональных данных.

Лицензия (лат. litentia — свобода, право) — специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому лицу или индивидуальному предпринимателю.

Из истории вопроса

Само понятие «лицензирование деятельности», которое подразумевает наличие разрешительной политики государства относительно тех или иных видов деятельности предпринимателей, появилось в современной России не столь давно.

В Советском Союзе проблема лицензирования деятельности не стояла по совершенно простой причине — отсутствия частного предпринимательства как такового. Все производство и сфера потребительских услуг принадлежали государству, а государственные предприятия в лицензировании не нуждались — зачем государству лицензировать самого себя?

Понятие «лицензирование отдельных видов деятельности» появилось в постперестроечный период истории Российского государства. Оно возникло в законодательной практике 2 декабря 1990 г. в отношении банковской сферы, когда вступили в действие вновь принятые Законы РСФСР «О банках и банковской деятельности» и «О Центральном банке РСФСР (Банке России)».

25 декабря 1990 года появилось более общее понятие о лицензировании предпринимательской деятельности, когда, согласно 4 пункту ст. 21 Закона РСФСР «О предприятиях и предпринимательской деятельности» начала действовать норма, предусматривающая такое лицензирование как специальную норму государственного контроля. Эта норма устанавливала, что отдельные виды деятельности предпринимателей в Российской Федерации могут осуществляться лишь на основании лицензии (специального разрешения компетентных органов).

Предполагалось, что перечень видов предпринимательской деятельности, подлежащих лицензированию, будет определяться Правительством Российской Федерации.

Начиная с 1991 года было принято множество нормативно-правовых актов, регулирующих лицензирование деятельности. Исследователями подсчитано, что в период с 1995 по 1996г. насчитывалось около девятисот видов деятельности, для которых было необходимо лицензирование.

По настоящему переломным моментом правового регулирования лицензирования предпринимательской деятельности явился принятый 15 сентября 1998 г. Федеральный закон «О лицензировании отдельных видов деятельности», который впоследствии был переиздан 8 августа 2001 года за № 128-ФЗ.

Этот Закон внес ясность в концепцию правового регулирования предпринимательской деятельности посредством лицензирования, поставил лицензирование предприятий и предпринимателей на прозрачную, четкую основу, определил процедуру и порядок лицензирования. Кроме того, было значительно ограничено количество видов деятельности, подлежащих лицензированию. С учетом всех изменений, внесенных за восемь с половиной лет действия 128-ФЗ, таких видов деятельности, в соответствии с перечнем (ст.17, ч. 1) осталось семьдесят девять.

Одним из видов деятельности, подлежащих обязательному лицензированию является деятельность по технической защите конфиденциальной информации (ТЗКИ).

Лицензирование по ТЗКИ при защите персональных данных

Почему защита персональных данных (ПДн) осуществляется так же, как защита конфиденциальной информации и при этом требуется лицензирование деятельности по ТЗКИ?

Представим «логическую цепочку» нормативно-правовых актов:

Указ 188 => 152 ФЗ => 781 ПП => 128 ФЗ => 504 ПП => Административный регламент ФСТЭК России.

Рассмотрим составные части «цепочки» в интересующем нас аспекте.

Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера».

Это единственный на сегодняшний день документ, определяющий, какие сведения относятся к сведениям конфиденциального характера, то есть являются конфиденциальной информацией.

Получение и обработка персональных данных

Про персональные данные говорится в первом пункте указанного Перечня.

Федеральный закон Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».

В соответствии с&
nbsp;этим Законом, персональные данные подлежат обязательной защите при обработке их с использованием средств автоматизации, при этом операторы персональных данных обязаны принимать необходимые меры для защиты ПДн при их обработке в информационных системах персональных данных (ИСПДн). Требования к обеспечению безопасности персональных данных устанавливаются Правительством Российской Федерации.

Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

В указанном Положении устанавливаются требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, при этом в п. 3 определяется, что методы и способы защиты информации в информационных системах устанавливаются регуляторами в пределах их полномочий.

Федеральный закон Российской Федерации от 8 августа 2001 года № 128-ФЗ «О лицензировании отдельных видов деятельности».

Как уже говорилось выше, этот Закон регулирует отношения, возникающие между лицензиатами и лицензирующими органами и определяет перечень отдельных видов деятельности, подлежащих обязательному лицензированию, в том числе деятельность по технической защите конфиденциальной информации (п. 11, ч. 1, ст. 17 указанного Закона).

Постановление Правительства Российской Федерации от 15 августа 2006 г. № 504 «О лицензировании деятельности по технической защите информации».

Данное Постановление Правительства утверждает Положение о лицензировании деятельности по технической защите конфиденциальной информации, которое определяет порядок лицензирования указанной деятельности. В п. 4. Положения указаны лицензионные требования и условия, которым должен соответствовать соискатель лицензии.

Административный регламент ФСТЭК России по исполнению государственной функции по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 28 августа 2007 г.

№ 181.

Административный регламент определяет сроки и последовательность действий сотрудников ФСТЭК России при осуществлении полномочий по лицензированию деятельности по ТЗКИ.

Таким образом, учитывая, что персональные данные являются сведениями конфиденциального характера, их защита должна осуществляться в соответствии с требованиями, предъявляемым к технической защите конфиденциальной информации, которая, в свою очередь, является видом деятельности, подлежащей обязательному лицензированию.

Часто в полемиках о защите ПДн возникает вопрос об обязательности проведения операторами персональных данных лицензирования своей деятельности по ТЗКИ при проведении мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн. Как правило, рассмотрение приведенной выше «логической цепочки» нормативно-правовых актов приводит спорщиков к консенсусу.

Но наиболее рьяным противникам лицензирования приходится приводить еще один аргумент в споре.

Приказом Директора ФСТЭК России от 5 февраля 2010 года № 58 было утверждено «Положение о методах и способах защиты информации в информационных системах персональных данных», которое вступило в силу 15 марта 2010 года. В этом Положении сняты все ограничения на проведение лицензирования, которые имели место в более ранних методических документах ФСТЭК.

Здесь имеются в виду «Основные мероприятия по организации и техническому обеспечению безопасности ПДн, обрабатываемых в ИСПДн», утвержденные 15 февраля 2008 года. В этом документе было требование получения лицензии по ТЗКИ оператором персональных данных в случае обработки ПДн в ИСПДн 1, 2 классов и распределенных информационных систем 3 класса.

При этом ИСПДн 4 класса и нераспределенные ИСПДн 3 класса оказывались вне требований обязательного лицензирования, что вступало в противоречия с действующими нормативно-правовыми актами. С выходом Приказа Директора ФСТЭК от 5 февраля 2010 года № 58 эти противоречия были устранены.

Получение лицензии опять стало обязательным при любой обработке персональных данных.

Альтернатива лицензированию — аутсорсинг

Процесс получения лицензии отнимает много времени, сил и средств. Для получения лицензии на деятельность по ТЗКИ необходимо подтвердить возможность выполнения лицензионных требований и условий, определенных Постановлением Правительства № 504.

Самые продолжительные по времени (как правило) — обучение специалистов на курсах повышения квалификации по 72-часовым программам, согласованным со ФСТЭК России; приобретение документов ограниченного пользования, а также проведение аттестации объектов информатизации (автоматизированной системы и защищенного помещения), предназначенных для обработки конфиденциальной информации. Причем выполнение последнего требования зачастую становится самым затратным в экономическом плане.

Кроме того, возникает проблема приобретения на любом законном основании контрольно-измерительного оборудования, которое в большинстве случаев не понадобится оператору персональных данных, так как он не собирается оказывать услуг по аттестации объектов информатизации, но…

Как говорили древние римляне: «Dura lex, sed lex». Суров закон, но это закон. Не хотите тратить деньги на приобретение оборудования — берите в аренду. Лицензионное требование должно быть выполнено, так как является обязательным при получении лицензии.

Пожалуй, наиболее предсказуемы сроки рассмотрения материалов лицензирующим органом — не более 45 рабочих дней, если не придется возвращать материалы соискателю для уточнения или исправления.

Таким образом, продолжительность процесса лицензирования по времени может занять от двух до шести месяцев и повлечь за собой значительные финансовые затраты, особенно в случае приобретения контрольно-измерительного оборудования в собственность.

Не каждое предприятие, особенно малого или среднего бизнеса может справиться с такими экономическими и временными нагрузками.

А работать надо — оператор персональных данных не может не обрабатывать персональные данные — для того он и зарегистрировался в Роскомнадзоре.

Что делать? На этот исконно русский вопрос есть простой ответ, который звучит не совсем по-русски — аутсорсинг.

Современная тенденция, именуемая во всем мире в среде специалистов «аутсорсингом», юридической практике известна давно, но под другими названиями. Это не что иное, как передача определенных функций уставной деятельности сторонней компании. Само слово «аутсорсинг» (англ. outsourcing) дословно означает «использование внешних источников» и часто переводится как «кооперация», «субподряд» и даже «делегирование функций управления, полномочий и ответственности в рамках поставленных задач».

Аутсорсинг в сфере информационной безопасности подразумевает под собой передачу от компании-заказчика стороннему подрядчику на обслуживание ряда бизнес‑процессов (в том числе на основе использования подрядчиком своих лицензий, программных продуктов, технических средств и фрагментов инфраструктуры) вместе с ответственностью за результат выполнения этих процессов.

Передача функций защиты персональных данных третьему (уполномоченному) лицу предусматривается и Постановлением Правительства № 781 и Приказом № 58, в котором прямо сказано о возможности привлечения организации, имеющей предоставленную в установленном порядке лицензию на осуществление деятельности по ТЗКИ.

Практика осуществления аутсорсинга в сфере защиты конфиденциальной информации показывает, что, в зависимости от количества бизнес-процессов, переданных на обслуживание сторонним специализированным компаниям можно получить существенную экономию:

— снижение единовременных затрат на 20-30%;

— снижение регулярных затрат до 40%.

Но при этом надо не забывать про риски, которые неизбежны при проведении аутсорсинга.

Их немного, основной из них — это то, что заказчик должен обеспечить стороннему подрядчику полный доступ к конфиденциальной информации. Этот факт подразумевает применение механизмов снижения рисков на договорной основе, ведь аутсорсинг это не просто взаимоотношения «заказчик — исполнитель», это партнерство, основанное на доверии.

Резюме

Процесс защиты информации оператором персональных данных должен осуществляться в соответствии с требованиями ФСТЭК России к технической защите конфиденциальной информации. Деятельность по ТЗКИ подлежит обязательному лицензированию — таково требование Закона.

Оператор персональных данных стоит перед выбором: что лучше — получить лицензию и самому строить надежную систему защиты информации или передать эту функцию сторонней организации — лицензиату, имеющей для этого силы, средства и право.

Именно в этом — в осознании этого выбора и принятия единственно правильного для конкретного оператора персональных данных решения и кроется смысл утверждения, вынесенного автором в заголовок статьи.

Источник: «Эшелон»

К списку статей

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *