Многие положения Федерального закона «О персональных данных» да настоящего времени являются предметом оживленных дискуссий и споров в профессиональной среде. Процесс «встраивания» требований закона в существующие бизнес-процесс протекает для многих операторов весьма болезненно, и в большинстве случаев это связано с необходимостью выделения весьма значительных ресурсов. Вполне оправданно операторы пытаются сократить издержки при приведении свой деятельности в соответствие с требованиями ФЗ 152, используя при этом все возможные способы. Очевидно, что эти способы, в чем бы они ни заключались, не должны противоречить закону.
Одним из сомнительных с точки зрения права является тезис об отсутствии обязанности обладания лицензий ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ) у лица, осуществляющего деятельность по ТЗКИ ИСПДн, если мероприятия по обеспечению безопасности ПДн проводятся для «собственных нужд» оператора. Попробуем рассмотреть этот вопрос более подробно.
Часть 1 ст. 19 ФЗ 152 говорит о том, что оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Постановление Правительства РФ № 781 от 17.11.2007 г. «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (ПП 781) устанавливает требования по обеспечению безопасности ПДн при их обработке в ИСПДн. Среди этих требований (п. 12 Положения) — ряд мероприятий, реализация которых связана с деятельностью по ТЗКИ. ФЗ «О лицензировании отдельных видов деятельности» от 08.08.2007.2001 № 128 ФЗ устанавливает (ст.17) , что к числу видов деятельности, подлежащих обязательному лицензированию, относится деятельность по технической защите конфиденциальной информации. Постановление Правительства РФ № 504 от 15.08.2006г. «О лицензировании деятельности по технической защите конфиденциальной информации» (ПП504) дает определение (п.2 Положения) ТЗКИ — под ТЗКИ «понимается комплекс мероприятий и(или) услуг по ее защите от несанкционированного доступа, в том числе и по техническим каналам, а также от специальных воздействий на такую информацию в целях ее уничтожения, искажения или блокирования доступа к ней».
П. 12 ПП781 указывает десять мероприятий, и многие из них носят характер организационно-административных решений, контрольных функций, управленческих действий и, бесспорно, не являются деятельностью, подлежащей обязательному лицензированию. В то же время часть мероприятий из пункта 12 ПП 781 (например, установка и ввод в эксплуатацию СЗИ) действительно являются деятельностью по ТЗКИ, и, в соответствии с ФЗ 128 эта деятельность лицензируется. Следовательно, выполнение мероприятий, предусмотренных ПП781 в полном объеме и лицом, не обладающем лицензией ФСТЭК на деятельность по ТЗКИ являлось бы незаконным.
На заре активной проработки «альтернативных» путей защиты ПДн некоторыми операторами выдвигался тезис о том, что лицензироваться должна только деятельность, направленная на извлечение прибыли. Однако внимательное прочтение ПП 504 (ТЗКИ есть мероприятия или услуги) опровергает это утверждение.
Подавляющее большинство операторов не обладают лицензией ФСТЭК на деятельность ТЗКИ. Точно также большинство организаций не обладают лицензиями на образовательную деятельность, оказание медицинских услуг, обязательное медицинское страхование, выполнение работ по монтажу средств пожарной сигнализации и т.п. В том случае, когда организации требуется повысить квалификацию своих работников, провести медицинских осмотров работников, застраховать их или выполнить требования норм пожарной безопасности — организация привлекает для выполнения соответствующих работ компании, обладающие необходимыми лицензиями или свидетельствами. Таким образом, логика законодателя, обычаи делового оборота в других сферах деятельности (образование, здравоохранение, пожарная безопасность и т.п.), а также многократно звучавшая в публичных выступлениях позиция ФСТЭК России приводят к следующему выводу. Лицом, осуществляющим ТЗКИ, может быть, помимо оператора ПДн, и лицо (лицензиат), привлекаемое оператором к выполнению таких работ на договорной основе.
Однако сейчас многими операторами ПДн усиленно обсуждается и продвигается другая совокупность тезисов, призванных аргументировать отсутствие у операторов необходимости в получении лицензии на ТЗКИ или в привлечении для соответствующих работ лицензиата. Смысл этих тезисов заключается в том, что лицензии на ТЗКИ не требуется, если выполнение мероприятий по обеспечению безопасности ПДн осуществляется для «обеспечения собственных нужд» юридического лица. Имеются предложения закрепить такое положение законодательно (предложения Комитета по безопасности ГД РФ, Ассоциации предприятий компьютерных и информационных технологий — изложены в «Обобщенных предложениях...» на портале персональных данных Роскомнадзора РФ по адресу www.pd.rsoc.ru). Термин «собственные нужды» относительно деятельности по ТЗКИ использован и в стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения» СТО БР ИБСС −1.0-2010 от 21.06.2010 г. (далее СТО БР ИББС-1.0-2010). Документ доступен на http://www.abiss.ru/doc/. Принятие и введение в действие данного стандарта было анонсировано совместным письмом ЦБ РФ, Ассоциации Российских банков, Ассоциации региональных банков (Ассоциация «Россия»). Документы комплекса БР ИБСС согласованы ФСБ РФ, Роскомнадзором РФ, ФСТЭК России, что подтверждается подписями должностных лиц указанных органов. Указанное письмо (доступное по адресу http://www.arb.ru/site/docs/?doccode=0 ) получило название «письмо шестерых».
Так, в п. 9.6 СТО БР ИБСС-1.0-2010 указано следующее: «В настоящем стандарте требование получения лицензии на деятельность по технической защите конфиденциальной информации (информации ограниченного доступа) при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются. В случае введения в действие стандарта в организации БС БР указанные требования не являются обязательными при проведении комплекса мероприятий по обеспечению безопасности персональных данных в специальных ИСПДн организаций БС РФ».
Заранее скажем, что по нашему мнению термин «собственные нужны оператора» (собственные нужды юридического лица, ИП) в тех случаях, когда речь идет о безопасности ПДн, не имеет права на существование. Сторонников иной точки зрения для удобства будем называть «оппонентами».
На наш взгляд, оператору недостаточно заявить о наличии «собственных нужд» (как в БС РФ так и в какой-либо другой сфере). Необходимо обосновать их существование, в противном случае будут созданы предпосылки для нарушения принципов обработки ПДн (ст. 5 ФЗ 152) и конституционных прав человека. Откуда же взялся термин «собственные нужды», к кому и в каких сферах деятельности его следует применять?
ФЗ 128 оперирует этим термином, делая исключения для юридических лиц и ИП в части лицензирования определенных видов деятельности. Указанные ниже виды деятельности не подлежит лицензированию, если осуществляются для собственных нужд юридического лица и индивидуального предпринимателя:
- деятельность по осуществлению буксировок морским транспортом;
- деятельность по выявлению электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах; техническое обслуживание медицинской техники;
- перевозка пассажиров автомобильным транспортом, оборудованным для перевозок более восьми человек;
- деятельность по разведению племенных животных;
- деятельность по производству и использованию племенной продукции (материала).
Из перечня видно, что все эти виды деятельности, будучи «собственными нуждами», действительно являются собственными, и ничьими иными, присущими только этому хозяйствующему субъекту, связанными с обеспечением хозяйственной деятельности юридического лица или ИП, и являются частью более общих бизнес-процессов. Более важным представляется то, что осуществление указанных видов деятельности для «собственных нужд» не может «...повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации...» (ст. 4 ФЗ 128).
ФЗ 128 (как и какой-либо иной НПА) не дает определения термину «собственные нужды». Понимание смысла этого термина крайне важно в контексте настоящей статьи, поэтому раскроем его более полно.
Согласно определению толкового словаря русского языка Ушакова НУЖДА:
1. только ед. Недостаток в необходимом, бедность, нищета. Покуда богатые остаются богатыми, покуда они держат в своих руках большую часть и земли, и скота, и орудий, и денег, — до тех пор не только бедноте, но и средним крестьянам никогда из нужды не выбиться. Ленин. Уж на что бывал я в нужде и скорби, а этакой нужды и я не видывал: в доме иной день даже корки черствой не увидишь. Слткв-Щдрн. Нужда, голод настает. Крылов. Нужда скачет, нужда пляшет, нужда песенки поет. Пословица. 2. Потребность в чем-н., необходимость. Что ну́жды мне в твоем уме? Пушкин. Я не продам за деньги мненья, без крайней ну́жды не солгу. Некрасов. Горючее для нужд городского транспорта. 3. Потребность в естественном отправлении (разг. эвф.). За большой нуждой. За маленькой нуждой (см. большой, маленький). Дверь избенки вдруг скрипнула, полезла оттуда лешачья голова Якима, за нуждой видимо. А. Н. Толстой. ◊ Ну́жды́ нет или нет ну́жды́ — не важно, не в том дело. Запойте хором, господа, нет нужды, что нескладно. Пушкин.
Объективность заставляет нас отвергнуть 1 и 3 значения этого слова, остановившись на втором значении. Действительно, у оператора ПДн существует «нужда» (т.е. потребность, необходимость) в проведении мероприятий по защите инфоресурсов. В противном случае безопасное функционирование оператора (например, организации БС РФ) было бы невозможным. Помимо этого, к выполнению комплекса мероприятий оператора «понуждают» и требования ФЗ 152.
Согласно определению толкового словаря русского языка Ушакова СОБСТВЕННЫЙ:
1. Принадлежащий кому-чему-н. по праву собственности. С. дом. Свое собственное имущество. 2. Личный; прил., по знач. связанное с личностью кого-н. (книжн.). Чувство собственного достоинства. || Свой, принадлежащий мне, тебе, ему и т. д. (в зависимости от субъекта или объекта, к к-рому относится). Собственный голос казался ему чужим. Тургенев. Маркелов вздумал собственными средствами свести небольшую березовую рощу. Тургенев. К собственному его изумлению, из его глаз неудержимо покатились слезы. Тургенев. В собственные руки. Это его собственные слова. || со словом «свой» или без него. Употр. для усиления в нек-рых разг. выражениях в смысле «сам», «лично» и т. п. Сделаю (своими) собственными руками. Видел (своими) собственными глазами. Добьемся мы освобожденья своею собственной рукой. «Интернационал». 3. Производимый, совершаемый по своей воле, по своему почину, зависящий от своей воли. С. выбор. С. почин. По собственному желанию. 4. Свойственный только кому-чему-н., без примесей, без других частей, без посторонних добавлений и дополнений. Не подражай: своеобразен гений и собственным величием велик. Баратынский. С. вес. Собственные колебания тела (мех.). Собственная стоимость вещи. 5. Буквальный, непереносный, подлинный, настоящий. С. смысл слова. В собственном значении. ◊ Имя собственное (грам.) — существительное, являющееся именем кого-чего-н., обозначением единичного предмета без всякого отношения к его признакам, напр. Иван, Волга; противоп. имя нарицательное.
Второе и пятое значение неприменимо по очевидным причинам. Первое значение к оператору ПДн неприменимо, поскольку речь идет не «нужде» как об объекте собственности, а о «нужде» в выполнении неких мероприятий. Третье значение неприменимо, т.к. «нужда» в проведении мероприятий вытекает из обязанностей оператора в силу требований ФЗ 152, а не на основании желания или «почина» оператора ПДн. Видимо, в контексте рассматриваемого вопроса и в сочетании со словом «нужда» можно применить только четвертое значение слова «собственный».
Т.о. «СОБСТВЕННЫЕ нужды» (в отличие от просто «нужд») можно определить, как «потребность, необходимость в чем-либо, которые свойственны, присущи только этому лицу, и никому другому». Такое определение не противоречит исключениям, установленным ФЗ128 для определенных видов деятельности, но вступает в противоречие с целью ФЗ 152 и смыслом проведения мероприятий по обеспечению безопасности ПДн.
Действительно, является ли справедливым и законным утверждение о том, что потребность в безопасности ПДн является потребностью (нуждой) исключительно оператора ПДн и никого другого, т.е. никак не влияет на интересы других лиц? Очевидно, нет. Во-первых, обеспечение безопасности ПДн является обязанностью оператора ПДн в силу закона, который (см. цель ФЗ 152) является частью системы государственных мер, направленных на обеспечение защиты прав и свобод человека и гражданина. Права эти гарантируются государством (ст. 17 Конституции РФ). Следовательно, безопасность ПДн является не только «нуждой» оператора ПДн, но и «нуждой», потребностью, обязанностью государства. Во-вторых, в безопасности своих ПДн заинтересован и сам субъект ПДн, что не требует доказательств. Возможный аргумент оппонентов о том, что зачатую оператор ПДн защищает ПДн только своих работников, мы отвергаем как противоречащий конституционному принципу равенства всех перед законом (ст. 19 Конституции РФ).
Однако многие оппоненты полагают, что на проблему нужно смотреть шире, и недопустимо отграничивать обязанности оператора от его прав как юридического лица или ИП. У юридического лица или ИП (считают оппоненты) существует право без дополнительных ограничений выполнять ту или иную деятельность, необходимую ему для своего нормального функционирования.
Для раскрытия ошибочности этого тезиса рассмотрим более детально упоминавшиеся выше «Письмо шестерых» и документы Комплекса БР ИББС, как единственные документы, оперирующие термином «собственные нужды» в связи с защитой ПДн. Оттолкнемся от цели разработки документов. Она указана в «письме шестерых» в первом абзаце. Эта цель — «выполнение в организациях БС РФ требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Там же указано и назначение этих документов — «приведение деятельности организаций БС РФ в соответствие с требованиями законодательства РФ в области персональных данных». Подчеркнем — по мнению ЦБ РФ (и, вероятно, по мнению ФСБ РФ, Роскомнадзором РФ, ФСТЭК России), иных целей, кроме указанной, Комплекс стандартов не преследует!
Все требования ФЗ 152 направлены на достижение единственной цели, указанной в ст. 2: «Целью настоящего закона является обеспечение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну». Любые подзаконные акты, в том числе отраслевые стандарты в области защиты ПДн, должны не только отвечать названной цели Закона, но и наследовать его положения, термины и определения. Поскольку ФЗ 152 (ст.3) в понятийном смысле объединил всех юридических лиц, органы, организации и индивидуальных предпринимателей, осуществляющих обработку ПДн, под общим наименованием «оператора ПДн», не следует, приумножая сущности, пытаться внедрять термин «собственные нужды юридического лица или ИП». Оппонентам следовало бы использовать термин «собственные нужды оператора ПДн» и только его. В полной мере это относится и к вопросам, связанным с обеспечением безопасности ПДн при их обработке в ИСПДн для «собственных нужд». ФЗ «О персональных данных» (в отличие от других, например, ФЗ N 294 от 2008 г) не наделяет оператора ПДн каким-либо правами, позволяющими реализовать «собственные нужды». Кстати, промежуточный, но немаловажный вывод из неразрывной связи документов Комплекса БР ИББС и ФЗ 152 РФ состоит в том, что не представляется возможным использовать и термин «собственные нужды организации БС РФ». Эти организации в контексте связки «стандарты ЦБ — ФЗ152» являются операторами ПДн, и иные нужды организаций БС РФ, не связанные с реализацией ФЗ152, не имеют отношения к рекомендациям документов Комплекса БР ИБСС.
Обеспечение безопасности ПДн «для собственных нужд», конечно же, не может рассматриваться отдельно от целей (или, если угодно, «нужд») обработки. Т.е. ПДн не могут обрабатываться одновременно для «нужд» оператора ПДн и субъекта ПДн (или одновременно для «нужд» оператора и для «нужд» государства), а защищаться — только для нужд оператора.
Однако, возможно, происходит неумышленная, случайная подмена понятий, использование неуместного «бытового» термина? Например, те же документы Комплекса БР ИБСС имеют в виду не «собственные нужды», а «собственные цели, интересы» оператора ПДн? Тогда логика оппонентов в этой части становится более стройной — существует множество законных целей обработки ПД, подкрепленных правовыми основаниями обработки, указанные цели и основания отражаются в уведомлении Роскомнадзора, а при необходимости (ст. 14 ФЗ 152) — сообщаются и субъекту ПДн в целях реализации его прав. Цели обеспечения безопасности ПДн вытекают из обязанности оператора и также основаны на законе. Однако в этом случае придется увязывать слово «цель» со словом «обработка», т.к. ФЗ 152 оперирует термином «цели обработки ПДн». Термин же «собственная цель обеспечения безопасности ПДн» некорректен в силу ст. 19 ФЗ 152, из которого (повторим) следует, что безопасность — обязанность (а не собственная цель) оператора ПДн. «Собственные цели, интересы» оператора как при обработке ПДн, так и при их защите неразрывно связаны с обязанностями (а не только потребностями) оператора, а также с правами субъекта ПДн. Приведенный пример можно распространить и на деятельность любых иных операторов ПДн — реализация требований ФЗ 152 не может преследовать никаких иных целей, кроме целей самого ФЗ 152.
Попытка утверждения того, что «нужда» по обеспечению безопасности ПДн является СОБСТВЕННОЙ нуждой, и, следовательно, не имеет отношения к субъекту ПДн и его правам заставляет рассмотреть вопрос и в другой плоскости — в плоскости выполнения требований ст. 22 ФЗ 152 (Уведомление об обработке персональных данных). Выполнение этой обязанности реализуется в порядке, установленном Приказом Россвязькомнадзора от 17.07.2008 N 08 «Об утверждении образца формы уведомления об обработке персональных данных» (в ред. Приказа Россвязькомнадзора от 18.02.2009 N 42). Определенный этим приказом перечень сведений, направляемых оператором в Роскомнадзор РФ, не предусматривает указаний о какой-либо «нужде» или «собственной нужде» оператора. Уполномоченный орган по защите прав субъекта оперирует исключительно терминами, введенными ФЗ152 — цель обработки, правовые основания обработки, описание мер по обеспечению безопасности ПДн при их обработке и т.п.
Схожий вопрос возникает и при рассмотрении обязанностей оператора (ст.19) в связи с реализацией прав субъекта ПДн (ст. 14 ФЗ 152). Поскольку в перечне информации, правом на получение которой от оператора ПДн наделен субъект ПДн, отсутствует упоминание о «собственных нуждах» оператора, можно сделать вывод о том, что законодатель и не рассматривал «собственные нужды» оператора ПДн как явление, действие или событие, могущее хоть каким-то образом повлиять на нарушение прав субъекта ПДн. Т.е., по логике законодателя, «собственные нужды» оператора (даже если они и существуют) не связаны и не могут быть связаны ни с обработкой ПДн, ни с обязанностью оператора по выполнению мероприятий по обеспечению безопасности ПДн.
Аналогичный вывод формируется и при рассмотрении иных НПА, регулирующих вопросы обеспечения безопасности ПДн при их обработке (ПП 781, ПП 697). Эти НПА не увязывают содержание и порядок мероприятий по защите ПДн с возможной реализацией оператором ПДн «собственных нужд». В то же время законодатель (ст. 5 ФЗ 152) называет добросовестность оператора в качестве одного из принципов в обработки ПДн. Именно попытка «не замечать» указанный принцип обработки и является истинной причиной появления термина «собственные нужды».
Допустим все же на минуту право на существование термина «собственные нужды» оператора ПДн. В какие же локальные организационно-распорядительные документы добросовестный (ст. 5 ФЗ 152) оператор ПДн, стремящийся выстроить непротиворечивую и законную систему обработки и защиты ПДн, введет этот термин? Как его обоснует и раскроет? В какой форме донесет до органа по защите прав субъекта ПДн содержание термина «собственные нужды»? Какими аргументами будет оперировать при отстаивании своей позиции в суде? На наш взгляд, добросовестно, не попирая букву и дух закона, сделать это будет весьма затруднительно. Скорее, невозможно.
Стоит сказать и о принципиальном различии «нужд» коммерческих организаций и государственных и муниципальных органов (учреждений). В первом случае действительной, истинной, единственной «нуждой» является извлечение прибыли. Как правило, она закреплена в Уставе организации. Все остальные нужды вторичны и являются производными от этой нужды. Во втором случае «нуждой» (т.е. потребностью, необходимостью) является выполнение функций государственного или муниципального органа (учреждения). Это — комплекс задач, для которых этот орган (учреждение) и создан. Ими являются здравоохранение, образование, правоохранительная деятельность, оборона государства, пенсионное обеспечение и т.п. Однако во втором случае (и это очевидно) ни обработка, ни защита ПДн не осуществляется для «собственных нужд» оператора. Оператор ПДн своей деятельностью лишь обеспечивает нужды личности, общества и государства. Эта категория операторов, как ни странно, и не делает заметных попыток ввести в оборот термин «собственная нужда», хотя, казалось бы, для этого есть больше оснований. Действительно, почему «нужда» в защите ПДн миллионов пенсионеров, больных, учащихся не может считаться «собственной нуждой» оператора, а «нужда» в защите ПДн клиентов банка, оператора связи или страховщика — должна считаться таковой?
Нельзя оставить в стороне и «технические» погрешности некоторых инноваций, связанных с попыткой введения термина «собственные нужды» в деловой оборот. В качестве примера можно привести упоминавшийся ранее Стандарт СТО БР ИБСС-1.0-2010. П.9.6 этого стандарта говорит о проведении «мероприятий по обеспечению безопасности в специальных ИСПДн..», а не о проведении «мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн». Принимая как данность внимательность и скрупулезность авторов стандарта при его подготовке, а также факт согласования стандарта регуляторами (которые, на наш взгляд, крайне ответственно и внимательно относятся к процедурам принятия документов такого уровня) можно предполагать следующее. Рассматриваемый пункт стандарта подразумевает не «безопасность ПДн в ИСПДн» (термины ПП 781), а некую другую безопасность — «безопасность в ИСПДн» Два этих понятия, конечно же, имеют принципиальные различия. В первом случае (поскольку речь о безопасности данных) следовало бы использовать определение п. 2.4.5 ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»: «Безопасность информации (данных) — состояние защищенности информации (данных), при котором обеспечены ее (их) конфиденциальность, доступность и целостность» или сходное определение СТР-К. Во втором случае (поскольку речь идет о безопасности без указания объекта безопасности, но о безопасности в ИСПДн для «собственных нужд» организаций БС РФ) следует воспользоваться определением, установленным самим СТО БР ИБСС-1.0-2010 (п.3.32): «Безопасность — состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз». Вполне возможно, что авторы стандарта намеренно отграничивают права и интересы субъекта ПДн при обработке его ПДн от интересов (целей) организаций БС РФ, подразумевая, что действительно существуют ИСПДн, защита элементов которых никак не влияет на критерии, установленные ст. 4 ФЗ 128. Не вдаваясь в подробности возможных топологий информационных систем, можно предположить, что некоторые данные в некоторых ИСПДн не являясь ПДн, представляют коммерческую ценность, являются банковской тайной и активами КО. На наш взгляд, из текста указанного пункта следует, что СТО БР ИБСС-1.0-2010 попросту не рассматривает вопросы, связанные с необходимостью или отсутствием необходимости получения лицензии и проведения аттестации, т.е. — «не устанавливает» какие-либо требования в этой части (и, естественно, не отменяет требования ФЗ 128), подчеркивая ограниченную зону своей компетенции. Возможно, существуют иные версии трактовки указанного пункта? Уверены, однако, что операторы и иные участники правоотношений предпочитают формулировки, не порождающие массу спорных гипотез.
Следует упомянуть и тезисы признанного авторитета в вопросах информационных правоотношений советника аппарата Комитета ГД по безопасности Е.К. Волчинской. На эти тезисы, как на неопровержимое доказательство существования «собственных нужд» оператора ПДн ссылаются оппоненты. В своей статье «Роль государства в обеспечении информационной безопасности» (Информационное право. 2008. № 4. С. 11.) Волчинская Е.К. отмечает некорректное определение лицензируемого вида деятельности, указанное в ПП 504. Оно «...позволяет предъявлять требования по лицензированию не только к лицам, осуществляющим услуги по защите конфиденциальной информации, но и к лицам, защищающим свою собственную конфиденциальную информацию, составляющую, например, коммерческую тайну. Таким образом, положения данного Постановления могут распространяться на все юридические лица, занимающиеся предпринимательской деятельностью, что противоречит положениям ст. 4 ФЗ „О лицензировании отдельных видов деятельности“, устанавливающей критерии определения лицензируемых видов деятельности: „...к лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов России и регулирование которых не может осуществляться иными методами, кроме как лицензированием“. Однако нарушение конфиденциальности коммерческой тайны наносит ущерб только самому обладателю такой тайны».
Отметим, что полностью разделяем точку зрения Е.К. Волчинской. На наш взгляд, слова советника лишь подтверждают наши доводы — не должна лицензироваться деятельность, связанная с защитой только собственных интересов, равно как подлежит лицензированию деятельность, связанная не только с собственными интересами. Обращаем внимание и на термин, использованный Е.К. Волчинской — «собственная конфиденциальная информация». Под таковой не могут подразумеваться ПДн. Действительно, разве является оператор ПДн «собственником» предоставленных ему субъектом ПДн данных? Разве имеет законную возможность (являясь собственником и реализуя права владения, пользования и распоряжения) ограничить субъекта ПДн в праве использования его ФИО, номера паспорта или адреса регистрации? По этой же причине ПДн не могут являться и информацией, составляющей коммерческую тайну: они, как правило, всегда известны третьим (помимо оператора и субъекта ПДн) лицам, причем на законном основании; их потенциальную или коммерческую ценность установить невозможно (например, какова цена ФИО и номера паспорта гражданина, выраженная в рублях?). Подчеркнем, что закон «О коммерческой тайне» № 98-ФЗ от 2004 г. указывает именно эти критерии отнесения информации к коммерческой тайне, а не возможный ущерб обладателя информации от утечки таких сведений. Смысл же цитаты и нашего мнения о ней прост. В целях обеспечения права юридических лиц и индивидуальных предпринимателей на осуществление деятельности по защите информации, не являющейся персональными данными, если таковая деятельность осуществляется для собственных нужд юридического лица или ИП, необходимо внести соответствующие изменения в ФЗ РФ «О лицензировании отдельных видов деятельности» и иные НПА.
Осмысление проблем, стоящих перед бизнесом в свете требований ФЗ 152 приводит к выводу о необходимости соблюдения баланса между интересами личности и интересами бизнеса. Введение отраслевых стандартов (а, в дальнейшем, вероятно, и института саморегулирования) в этой сфере — есть эффективный инструмент достижения этой цели. В то же время, несмотря на очевидный антагонизм прав личности и потребностей бизнеса, такие документы, бесспорно, обязаны учитывать не только «нужды» членов отрасли. В первую очередь они должны учитывать интересы личности. Оппонентам, оставшимся после прочтения этой статьи при своей точке зрения, хотелось бы порекомендовать пойти чуть дальше в своих умозаключениях, раскрыв понятие «собственные нужды» в терминах действующего законодательства и с учетом положений ФЗ 152.
Выводы.
Термин «собственные нужды оператора ПДн по выполнению мероприятий по обеспечению безопасности ПДн при их обработке» лишен смысла и не основан на законе. «Собственных нужд» по обеспечению безопасности ПДн у оператора ПДн не существует.
Декларирование операторами ПДн наличия «собственных нужд» при проведении мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн в качестве основания при отказе от требований по обязательному лицензированию деятельности по ТЗКИ противоречит Конституции РФ, ФЗ 152, ФЗ 128.
Проведение работ по ТЗКИ лицом, не обладающим лицензией на деятельность по ТЗКИ, является правонарушением.
Убеждение в том, что какой-либо стандарт (письмо) может дополнить, уточнить или изменить требования ФЗ128 в части лицензировании деятельности по ТЗКИ является ошибочным, хотя, к сожалению, и неочевидным для многих. Такое допущение абсурдно, так как отмена или изменение федеральных законов находится в ведении Российской Федерации (ст. 71 Конституции РФ). Не является исключением и деятельность организаций БС РФ, функционирование которых не более важно для личности и общества и государства, нежели деятельность, например, системы здравоохранения.
До настоящего времени многие отраслевые стандарты, проекты отраслевых стандартов, а также предложения о внесении изменений в ФЗ 152 являются непроработанными, дезориентируют участников информационных правоотношений, создают предпосылки для создания заведомого неравного положения операторов ПДн и нарушения прав субъектов ПДн.
Источник: ООО "НИЦ "ФОРС"