В последнее время достаточно часто задается вопрос о необходимости получения операторами персональных данных лицензии ФСБ Росси на деятельность в области криптографической защиты информации (Лицензия ФСБ России) при организации защиты персональных данных. Особенно этот вопрос актуален, когда речь заходит о выполнении комплекса мероприятий по защите для собственных нужд или в организациях холдингового типа, когда имеется разветвленная периферийная сеть подведомственных организаций.
По букве закона
Пункт 1 части 1 статьи 12 Федерального закона от 04.05.2011 N99-ФЗ "О лицензировании отдельных видов деятельности" относит осуществление разработки, производства, распространение СКЗИ, информационных систем и телекоммуникационных систем, защищенных с использованием СКЗИ, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание СКЗИ, информационных систем и телекоммуникационных систем, защищенных с использованием СКЗИ к лицензионному виду деятельности.
Также пунктом 4 Указа Президента РФ от 03.04.1995 N334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" ЗАПРЕЩЕНА деятельность юридических и физических лиц, связанная с разработкой, производством, реализацией и эксплуатацией СКЗИ, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензии ФСБ России.
Порядок получения такой лицензии определяется постановлением Правительства РФ от 16.04.2012 N313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), осуществляемой юридическими лицами и индивидуальными предпринимателями"
Статья 7 Федерального Закона N152-ФЗ "О персональных данных" возлагает на операторов персональных данных и третьих лиц, получающих доступ к персональным данным, обязанность обеспечения их конфиденциальности, за исключением случаев обработки обезличенных или общедоступных персональных данных. Кроме того, в соответствии со статьей 19 этого же Закона, оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Операторы персональных данных, осуществляющие безопасность хранения и обработки с использованием СКЗИ персональных данных передаваемых в сетях конфиденциальной связи и (или) вне их, должны иметь Лицензию ФСБ России на оказание услуг в области шифрования информации (п.3 Инструкции, утв. приказом ФАПСИ N152).
Оператор персональных данных, который не имеет Лицензию ФСБ России, осуществляет деятельность в области криптографической защиты информации с привлечением лицензиатов ФСБ России на договорной основе (п.4 Инструкции, утв. приказом ФАПСИ N152).
О филиалах и подведомственных организациях
В настоящее время существует две основные схемы организации сложных структур операторов персональных данных: головной офис с несколькими филиалами (представительствами) или управляющая компания с несколькими подведомственными (дочерними, зависимыми) организациями.
В первом случае, согласно статье 55 Гражданского кодекса Российской Федерации филиалы (представительства) являются обособленными подразделениями одного юридического лица и сами по себе не являются обособленными юридическим лицами. Поэтому, требования, в том числе и по защите информации. Которые разрабатываются в головном офисе юридического лица, являются обязательными и для его обособленных подразделений (филиалов, представительств). Сами филиалы не могут вести самостоятельную хозяйственную деятельность и, следовательно, не могут самостоятельно осуществлять выбор и реализацию методов и способов защиты информации или привлекать для этих целей стороннюю организацию. В этом случае, как отмечалось выше, само юридическое лицо должно решить будет ли оно делать защиту самостоятельно (в том числе и в своих обособленных подразделениях - филиалах, представительствах) и иметь Лицензию ФСБ России, либо оно будет привлекать для этих целей стороннюю организацию-лицензиата (или несколько, для каждого филиала) и не будет иметь Лицензию ФСБ России.
Во втором случае, подведомственные (дочерние, зависимые) организации, согласно разделу 7 ГК РФ, являются самостоятельными юридическими лицами и по ГК РФ могут вести самостоятельную хозяйственную деятельность. Следовательно они сами вольны решать вопрос: привлекать ли им для защиты стороннюю организацию или все делать своими силами и, следовательно, получать или не получать Лицензию ФСБ России. Управляющая компания либо сама, либо с привлечением организации-лицензиата, вырабатывает требования по защите персональных данных, которые распространяются, в том числе и на подведомственные организации и вопрос о необходимости наличия у нее Лицензии ФСБ России решается от того, какой путь она выберет. Подведомственные организации так же имеют альтернативу при реализации выбранных управляющей компанией методов и способов защиты: либо самостоятельно и с Лицензией ФСБ России, либо с привлечением организации-лицензиата.
ВЫВОДЫ
Если оператор персональных данных решил, обеспечивать безопасность хранения и обработки с использованием СКЗИ персональных данных передаваемых вне сетей конфиденциальной связи, то ему ТРЕБУЕТСЯ Лицензия ФСБ России.
Если же оператор персональных данных решил для выбора методов защиты и их реализации, привлечь организацию, которая имеет оформленную в установленном порядке Лицензию ФСБ России, то ему самому такая лицензия НЕ ТРЕБУЕТСЯ, так как он в данном случае получает уже реализованный комплекс мер защиты информации и в дальнейшем его только эксплуатирует.
Если оператор персональных данных имеет филиальную сеть (представительства) или является сложной структурой, объединяющей несколько подведомственных организаций, то вопрос о наличии у него Лицензии ФСБ России решается в зависимости от того, какой путь по выбору и реализации методов и способов защиты информации он выберет. Это же справедливо и для подведомственных организаций, которые являются самостоятельными юридическими лицами.