Сообщений в теме: 61

[Шмелев]

Указанная в постановлении конкретизация лицензируемого вида деятельности позволяет предъявлять соответствующие требования не только к лицам, осуществляющим услуги по защите конфиденциальной информации, но и к лицам, защищающим свою собственную конфиденциальную информацию, например, информацию, составляющую коммерческую тайну. ... Однако нарушение конфиденциальности коммерческой тайны наносит ущерб только самому обладателю коммерческой тайны." (Е.К. Волчинская, "Роль государства в обеспечении информационной безопасности").

В случае с ПД и государственной тайной эта же норма вступает в противоречие со статьей 4 ФЗ "О лицензировании отдельных видов деятельности", согласно которому лицензирование применяется только в отсутствие иных механизмов государственного регулирования.

В случае с коммереской тайной она совершенно права. Свои активы кто как хочет так и защищает И риски принимает И ущерб от реализации угрозы сам несет. С ПДн - не так, они же ведь не приндалежат оператору, и ужерб наступает для субъекта ПДн. Иногда, кстати, и для оператора, но не всегда и не такой.

[malotavr]

В случае с коммереской тайной она совершенно права. Свои активы кто как хочет так и защищает И риски принимает И ущерб от реализации угрозы сам несет. С ПДн - не так, они же ведь не приндалежат оператору, и ужерб наступает для субъекта ПДн. Иногда, кстати, и для оператора, но не всегда и не такой.

Конечно не так. Но орграничение правоспособности - налицо.

[Platosha]

malotavr
Полностью согласен с г-ном Шмелевым:

случае с коммереской тайной она совершенно права. Свои активы кто как хочет так и защищает И риски принимает И ущерб от реализации угрозы сам несет. С ПДн - не так, они же ведь не приндалежат оператору, и ужерб наступает для субъекта ПДн. Иногда, кстати, и для оператора, но не всегда и не такой.

Но в части ПД не понял какой букве закона противоречие?

[malotavr]

Но в части ПД не понял какой букве закона противоречие?

Статье 4 ФЗ "О лицензировании отдельных видов деятельности".

Статья 4. Критерии определения лицензируемых видов деятельности

К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием.

Деятельность, связанная с обработкой и защитой персональных данных не только может, но и непосредственно регулируется ФЗ-152, постановлениями правительства №781 и 687, а также рядом приказов ФСТЭК, ФСБ и РКН. Поэтому в отношении защиты ПД установленное поостановлением Правительства определение лицензируемого вида деятельности противоречит установленному федеральным законом критерию. Согласно этому критерию, деятельность по защите персональных данных не может являться предметом лицензирования.

Сообщение отредактировал malotavr: 20 August 2010 - 20:02

[Шмелев]

К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием.
Согласно этому критерию, деятельность по защите персональных данных не может являться предметом лицензирования.

Что то тут не вяжется у Вас. Деятельность по оказанию услуг в области пож безопасности - лицензировалась всю жизнь. И существование массы постановлений ПП РФ, Норм пожарной безопасности, сводов правил, и сотни документов МЧС не препятствовала этому. Оказание услуг медицинских - лицензируется? Да. И прекрасно уживается с "Основами законодательства РФ по охране здоровья". Строительство (сейчас правда СРО, однако несколько лет это прекрасно жило вместе). Частная детективная и охранная деятельность - лицензируется? Да. Несмотря на соответствующие законы и иные НПА. Понятно, что перечень можно продолжить. Всязть даже хоть ФЗ "О гостайне". Есть и он, и институт лицензирования в этой сфере (лиц на и работу со сведениями имею ввиду). Чем мотивируете? Я правильно понял логику Вашу - если есть закон, который регулирует деятельность, то лицензии на нее - долой?

Сообщение отредактировал Шмелев: 24 August 2010 - 22:56

[nunuvot]

К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации и регулирование которых не может осуществляться иными методами, кроме как лицензированием.
Согласно этому критерию, деятельность по защите персональных данных не может являться предметом лицензирования.

Что то тут не вяжется у Вас. Деятельность по оказанию услуг в области пож безопасности - лицензировалась всю жизнь. И существование массы постановлений ПП РФ, Норм пожарной безопасности, сводов правил, и сотни документов МЧС не препятствовала этому. Оказание услуг медицинских - лицензируется? Да. И прекрасно уживается с "Основами законодательства РФ по охране здоровья". Строительство (сейчас правда СРО, однако несколько лет это прекрасно жило вместе). Частная детективная и охранная деятельность - лицензируется? Да. Несмотря на соответствующие законы и иные НПА. Понятно, что перечень можно продолжить. Всязть даже хоть ФЗ "О гостайне". Есть и он, и институт лицензирования в этой сфере (лиц на и работу со сведениями имею ввиду). Чем мотивируете? Я правильно понял логику Вашу - если есть закон, который регулирует деятельность, то лицензии на нее - долой?

Павел Владимирович!
Поясните, пожалуйста. Согласно Вашей аргументации при наличии в муниципальном детском саду медсестры (это обязательная должность) у предприятия должны быть следующие лицензии: на образовательную деятельность, на оказание медицинских услуг, на ТЗКИ (504 постановление) и т.д.
Вам не кажется, что надо закрыть все предприятия, и открыть их заново в соответствии с требованиями 504 постановления, 128ФЗ, 152ФЗ и т.д.
Очень хотелось - бы посмотреть на 2 обученных специалистов, груду оборудования, ПО (ПП 504), которые обслуживают ясли или детский сад, не говоря уж о сельской поликлинике, где не дай БОГ есть 1 компьютер с модемом для отчетности перед страховой компанией.

[malotavr]

Что то тут не вяжется у Вас. Деятельность по оказанию услуг в области пож безопасности - лицензировалась всю жизнь. И существование массы постановлений ПП РФ, Норм пожарной безопасности, сводов правил, и сотни документов МЧС  не препятствовала этому. Оказание услуг медицинских - лицензируется? Да. И прекрасно уживается с "Основами законодательства РФ по охране здоровья". Строительство (сейчас правда СРО, однако несколько лет это прекрасно жило вместе). Частная детективная и охранная деятельность - лицензируется? Да. Несмотря на соответствующие законы и иные НПА. Понятно, что перечень можно продолжить. Всязть даже хоть ФЗ "О гостайне". Есть и он, и институт лицензирования в этой сфере (лиц на и работу со сведениями имею ввиду).  Чем мотивируете? Я правильно понял логику Вашу - если есть закон, который регулирует  деятельность, то лицензии на нее - долой?

Ну, раз уж тему "апнули"

Мотивирую тем, что дядька в Киеве не имеет ни малейшего отношения к огородной бузине.

Напомню, что мы говорили только о пределах применения ФЗ "О лицензировании отдельных видов деятельности", и только применительно к исполнению установленной законом обязаности. Вы приводите примеры:
а) оказание медицинских УСЛУГ (деятельность не является обязанностью, необходимость лицензирования установлена N 5487-1 от 1992 г.)
б) оказание УСДУГ в части монтажа пожарного оборудования, тушения пожаров (деятельность не является обязанностью)
в) частная охранная и детективная деятельность (деятельность не является обязанностью, необходимость лицензирования установлена ФЗ N 2487-1 от 1992 г.)
г) деятельность, связанная с использованием сведений, составляющих государственную тайну (деятельность не является обязанностью, необходимость лицензирования установлена ФЗ N 5485-1 от 1993 г.)

Список подобных примеров, не относящихся к обсуждаемому вопросу, действительно можно продолжать долго. Только зачем?

Еще раз: в силу статьи 4 ФЗ-128, в сферу действия закона попадают только те виды деятельности, которые НЕ МОГУТ регулироваться никаким другим образом, кроме лицензирования. Деятельность по защите ПД УЖЕ регулируется ФЗ-152 и рядом подзаконных актов. Роэтому утверждение о применимости обсуждаемой нормы противоречит статье 4 ФЗ.

Сумеете объяснить это противоречие в своих умозаключениях - милости просим, можем обсудить и другие виды деятельности, например - являются ли оказание первой помощи пострадавшему в ДТП, самолечение водочкой от простуды и тушение соседского сарая нарушением ФЗ-128

Добавлено немного позже:

Поясните, пожалуйста...
Вам не кажется, что надо закрыть все предприятия, и открыть их заново...

Провоцируете очевидный ответ в стиле "закон суров, но он - закон", и "законодательство несовершенно, но его надо исполнять, а то накажут" Эта мысль проходит рефреном через все пресэйловые материалы системных интеграторов в области безопасности.

Сообщение отредактировал malotavr: 29 August 2010 - 16:44

[Шмелев]

Напомню, что мы говорили только о пределах применения ФЗ "О лицензировании отдельных видов деятельности", и только применительно к исполнению установленной законом обязаности.

Мне кажется, что Вы недопонимаете пилотной мысли. Она в том, что обязанности осуществлять деятельноть по ТЗКИ в ФЗ 152 нет. Там другая обязанность есть. Что касается примеров с пожарными, медициной и пр - они вполне корректные, и эту ситуацию можно так же экстраполировать и на операторов ПДн. Ведь частенько и обработка ПДн НЕ является обязанностью. Точно также как порой и оказание медицинских услуг ЯВЛЯЕТСЯ обязанностью. Для муниципального ЛПУ. Оно для этого создано было. Про водочку и сараи это конечно все смешно, но я не их имел ввиду. Это не услуги и не работы. Множество видов деятельности регулируется законом, и при этом они мирно сосуществуют с механизмами их лицензирования.
Я раскрою более подробно эту тему в ближайшей статье. Нужно, чтобы все доводы были в одном месте сконцентрированы, иначе теряются важные тезисы.

Добавлено немного позже:

Поясните, пожалуйста. Согласно Вашей аргументации при наличии в муниципальном детском саду медсестры (это обязательная должность) у  предприятия должны быть следующие лицензии: на образовательную деятельность, на оказание медицинских услуг, на ТЗКИ (504 постановление) и т.д.

Нет. Медсестра в д\с не в штате этого д\с. Она из соседнего ЛПУ по договору. И ТОЧНО ТАК ЖЕ ПО ДОГОВОРУ могут быть выполнены услуги по ТЗКИ. Пример Ваш хороший. Правильный. На нем все видно.

Сообщение отредактировал Шмелев: 30 August 2010 - 19:00

[pavelser]

Еще раз: в силу статьи 4 ФЗ-128, в сферу действия закона попадают только те виды деятельности, которые НЕ МОГУТ регулироваться никаким другим образом, кроме лицензирования. Деятельность по защите ПД УЖЕ регулируется ФЗ-152 и рядом подзаконных актов. Роэтому утверждение о применимости обсуждаемой нормы противоречит статье 4 ФЗ

Боюсь что для простого суда это будет не вполне понятным, может пойти с этим в Ксюшу?

[Platosha]

malotavr

Еще раз: в силу статьи 4 ФЗ-128, в сферу действия закона попадают только те виды деятельности, которые НЕ МОГУТ регулироваться никаким другим образом, кроме лицензирования. Деятельность по защите ПД УЖЕ регулируется ФЗ-152 и рядом подзаконных актов. Роэтому утверждение о применимости обсуждаемой нормы противоречит статье 4 ФЗ.

Ответьте, пожалуйста, правильно ли я понимаю Вашу позицию - что если есть закон, который регулирует деятельность, то лицензии на нее быть не может?

[Джермук]

Platosha

Ответьте, пожалуйста, правильно ли я по
нимаю Вашу позицию - что если есть закон, который регулирует деятельность, то лицензии на нее быть не может?

Ни в коей мере не влезаю в эту дискуссию, но, по моему мнению, наличие закона, регулирующего деятельность (права и обязанности сторон), ну, никак не определяет ФОРМУ, подтверждающую право на осуществление законом установленной деятельности.
Право по закону на труд, не определяет ФОРМУ трудовой книжки или какого-либо договора с работодателем и т.п. А без них "право на труд" не реализуется. Точнее, труд то реализуется и все пашут как лошади, но подтверждения реализации данного права не возникает от одной лишь декларации права на труд.
Помните старый анекдот советских времен:
"... могу ли я ..., - ответ, нет не можете;
"а имею ли я право..., - о да, конечно имеете".
Так и с наличием лицензии, которая не право подтверждает, а удостоверяет, что некое лицо этим правом обладает.

[Platosha]

Джермук

Ни в коей мере не влезаю в эту дискуссию, wink.gif но, по моему мнению, наличие закона, регулирующего деятельность (права и обязанности сторон), ну, никак не определяет ФОРМУ, подтверждающую право на осуществление законом установленной деятельности.

[Шмелев]

Еще раз: в силу статьи 4 ФЗ-128, в сферу действия закона попадают только те виды деятельности, которые НЕ МОГУТ регулироваться никаким другим образом, кроме лицензирования. Деятельность по защите ПД УЖЕ регулируется ФЗ-152 и рядом подзаконных актов. Роэтому утверждение о применимости обсуждаемой нормы противоречит статье 4 ФЗ.
Сумеете объяснить это противоречие в своих умозаключениях - милости просим,

Попробую объяснить. Точнее, давайте вместе попробуем. Возможно, кто-то из нас находится во власти заблуждений.
ФЗ152 не регулирует деятельность по защите. Это следует из сферы его действия (ст.1 недвусмысленно, исчерпывающе описывает сферу своего действия, и в статье законодатель пишет (ч.1 ст1), что регулирует закон). Он регулирует отношения, связанные с обработкой ПДн, а не с защитой. Т.е. о ней о упоминает, но не регулирует. ПП 781 устанавливет требования по обеспечению безопасности ПДн (не требования к лицу, которое осуществляет ТЗКИ). ФЗ 128 устанавливает, что деятельность по ТЗКИ подлежит лицензированию. ПП504 определяет порядок лицензирования (т. е. требования к лицу). Вот в связке с ФЗ 182 и механизмами (несущствующими пока) саморегулирования - да, лицензирование было бы лишним. Так и произошло с отменой лицензий на деятельность по тушению пожаров (в связи с ФЗ "О техническом регулировании пожарной безопасности").
Понятие технического регулирования указано в ФЗ 182.
Вроде все логично?

[Шмелев]

в муниципальном детском саду медсестры (это обязательная должность) у  предприятия должны быть следующие лицензии: на образовательную деятельность, на оказание медицинских услуг, на ТЗКИ (504 постановление) и т.д.
Вам не кажется, что надо закрыть все предприятия, и открыть их заново в соответствии с требованиями 504 постановления, 128ФЗ, 152ФЗ и т.д.
Очень хотелось - бы посмотреть на 2 обученных специалистов, груду оборудования, ПО (ПП 504), которые обслуживают ясли или детский сад, не говоря уж о сельской поликлинике, где не дай БОГ есть 1 компьютер с модемом для отчетности перед страховой компанией.

Я признаю абсурдность требования о наличии у д\с лицензии на ТЗКИ. Но такого требования (внимание!) никто и НИКОГДА не выдвигал. Требование было - о наличии лицензии у лица, выполняющего деятельность по ТЗКИ. Посмотрите внимательнее на детский сад во дворе. Его строили? Строили. Т.е. - лицензия на строительство зданий и сооружений 1 и 2 уровня ответственности (ныне - членство в СРО). Оборудовали сигнализацией? Лицензия (и не одна, кстати). Деревянные балки противопожарным раствором пропитывали? Лицензия. Медсестра (говорили уже) а иногда и врач есть? Лицензия (не у нее, у обслуживающего ЛПУ. Без мед лицензии к ребенку никто не прикоснется, если только градусник или стакан воды, не думаете же вы что прививки делает детский сад?). Детей кормят? Лицензия (как правило у самого учреждения есть, но сейчас все больше централизованно, в т.ч. и у нас в регионе). Детей возят из дома (бывают такие сады и школы, в селе в основном)? Лицензия. При этом у самого Д\с лицензия только одна, на образовательную деятельность (у интернатов побольше). И все нормально, никто не разорился. Государство/муниципалитет платит, лицензиаты работают. Ну а чем ТЗКИ отличается? И - не демонизируйте проблему. Все нормально будет. Все будут заниматься своим делом.

Сообщение отредактировал Шмелев: 31 August 2010 - 00:46

[malotavr]

Попробую объяснить. Точнее, давайте вместе попробуем. Возможно, кто-то из нас находится во власти заблуждений.
ФЗ152 не регулирует деятельность по защите. Это следует из сферы его действия (ст.1 недвусмысленно, исчерпывающе описывает сферу своего действия, и в статье законодатель пишет (ч.1 ст1), что регулирует закон). Он регулирует отношения, связанные с обработкой ПДн, а не с защитой. Т.е. о ней о упоминает, но не регулирует. ПП 781 устанавливет требования по обеспечению безопасности ПДн (не требования к лицу, которое осуществляет ТЗКИ).  ФЗ 128 устанавливает, что деятельность по ТЗКИ подлежит лицензированию. ПП504 определяет порядок лицензирования (т. е. требования к лицу). Вот в связке с ФЗ 182 и механизмами (несущствующими пока) саморегулирования - да, лицензирование было бы лишним. Так и произошло с отменой лицензий на деятельность по тушению пожаров (в связи с ФЗ "О техническом регулировании пожарной безопасности").
Понятие технического регулирования указано в ФЗ 182.
Вроде все логично?

Нет, не логично. Ваш вывод непротиворечив, но базируется на утверждении "ФЗ152 не регулирует деятельность по защите", которое я не считаю фактом. Поясню.

ФЗ128 регулирует отношения, связанные с осуществлением лицензирования отдельных видов деятельности. ФЗ152 регулирует отношения, связанные с обработкой персональных данных. Статья 19 ФЗ-152 указывает на то, что частью отношений, связанных с обработкой персональных данных, является обязанность оператора обеспечить защиту ПД теми методами, которое установит Правительство. Правительство установило эти методы в ПП781, и по совпадению эти методы названы в ПП504 деятельностью по ТЗКИ.

Итак, обязаность оператора по защите ПД есть отношения, которые, в соответствии с определением сфер действия, одновременно регулируются двумя ФЗ:
а) ФЗ152 как отношения, связанные с обработкой ПД
б) ФЗ128 как отношения, связанные с лицензированием отделных видов деятельности.

При этом ФЗ128 содержит самоограничение сферы своего применения, указывая не свою неприменимость в случае, когда деятельность может регулироваться чем либо, кроме лицензирования. При наличии такого самоограничения я просто не могу согласиться с искусственным ограничением сферы действия ФЗ 152, поскольку не вижу правовой основы для этого ограничния. Ваш довод о том, что обязанность, установленная законом, не является частью отношений, регулируемых этим законом, противоречит моим представлениям о мироздании



Добавлено немного позже:

Ни в коей мере не влезаю в эту дискуссию,   но, по моему мнению,  наличие закона, регулирующего деятельность (права и обязанности сторон), ну, никак не определяет ФОРМУ, подтверждающую право на осуществление законом установленной деятельности.
Право по закону на труд, не определяет ФОРМУ трудовой книжки или какого-либо договора с работодателем и т.п. А без них "право на труд" не реализуется. Точнее, труд то реализуется и все пашут как лошади,   но подтверждения реализации данного права не возникает от одной лишь декларации права на труд.
Помните старый анекдот советских времен:
"... могу ли я ...,  - ответ, нет не можете;
"а имею ли я право..., - о да, конечно имеете".
Так и с наличием лицензии, которая не право подтверждает, а удостоверяет, что некое лицо этим правом обладает.

Джермук,
а не могли бы вы, по-прежнему не влезая в дискуссию, пояснить свою мысль.

Для меня очевидно, что реализация права может потребовать предварительного подтверждения этого права в какой-либо форме. Но считаете ли вы, что может существовать обязанность, требующая аналогичного подтверждения? Если да, то не могли бы вы привести какой-нибудь более или менее очевидный пример такой обязаности? Потому как воможность сосуществования безусловной обязаности и одновременного запрета на исполнение этой обязанности при каком-либо условии в моей голове не укладывается.

Добавлено немного позже:

Еще раз: в силу статьи 4 ФЗ-128, в сферу действия закона попадают только те виды деятельности, которые НЕ МОГУТ регулироваться никаким другим образом, кроме лицензирования. Деятельность по защите ПД УЖЕ регулируется ФЗ-152 и рядом подзаконных актов. Роэтому утверждение о применимости обсуждаемой нормы противоречит статье 4 ФЗ

Боюсь что для простого суда это будет не вполне понятным, может пойти с этим в Ксюшу?

У простого суда и мотивировка попроще

Постановление ФАС ВВО от 06.05.2005 N А43-30702/2004-26-1135
Постановление апелляционной инстанции Арбитражного суда Свердловской области от 02.02.2005 N А60-39874/2004-С9
Постановление ФАС СЗО от 09.11.2007 N А05-5724/2007
Постановление ФАС ВВО от 18.06.2008 N А31-6296/2007-13
Решение Арбитражного суда Свердловской области от 26.05.2008 N А60-5642/2008-С9

Сообщение отредактировал malotavr: 31 August 2010 - 02:04

[malotavr]

malotavr

Еще раз: в силу статьи 4 ФЗ-128, в сферу действия закона попадают только те виды деятельности, которые НЕ МОГУТ регулироваться никаким другим образом, кроме лицензирования. Деятельность по защите ПД УЖЕ регулируется ФЗ-152 и рядом подзаконных актов. Роэтому утверждение о применимости обсуждаемой нормы противоречит статье 4 ФЗ.

Ответьте, пожалуйста, правильно ли я понимаю Вашу позицию - что если есть закон, который регулирует деятельность, то лицензии на нее быть не может?

Моя позиция - если есть закон, устанавивший мою обязанность и порядок исполнения этой обязанности, то исполнение этой обязанности не попадает в сферу действия ФЗ-128.

Наш спор с Павлом Владимировичем осложняется тем, что меня интересует только исполнение обязанности по защите ПД (эта обязанность присуща всем юридическим лицам в связи с кадровым учетом), а мне в качестве контрпримера приводят лицензирование деятельности, которая осуществляется своей волей и в своем интересе.

[Шмелев]

Нет, не логично. Ваш вывод непротиворечив, но базируется на утверждении "ФЗ152 не регулирует деятельность по защите", которое я не считаю фактом. Поясню.
ФЗ152 регулирует отношения, связанные с обработкой персональных данных. Статья 19 ФЗ-152 указывает на то, что частью отношений, связанных с обработкой персональных данных, является обязанность оператора

Итак, обязаность оператора по защите ПД есть отношения, которые, в соответствии с определением сфер действия,  одновременно регулируются двумя ФЗ:
а) ФЗ152 как отношения, связанные с обработкой ПД

Давайте сначала все же поставим точку в вопросе, регулирует ли ФЗ152 деятельность по защите ПДн. В формате ДА/НЕТ.
Мой аргумент прост и понятен - законодатель САМ указал, что регулирует закон (ч.1 ст.1). Слова ЗАЩИТА ни в сфере действия, ни в предмете регулирования НЕТ. Вы же пытаетесь его дополнить, подправить. Мотивируете свои доводи ст. 19, где указано про обязанности. И считаете, что это является основанием для выводов, что и ЭТО закон регулирует. Следуя этой логике, можно обратиться и к ст. 24 ФЗ (ответственность). И на основании этих четырех строк утверждать, что ФЗ 152 регулирует также и вопросы административного наказания, уголовного преследования, гражданской ответственности. Или, опираясь на ч. 2, 3 ст 19, утверждать, что ФЗ 152 регулирует и деятельность Правительства, и деятельность ФСБ, и деятельность ФСТЭК. Просто на том основании, что там указаны обязанности этих органов.
Если мы будем идти по пути добавления в закон отсебятины, то мы так далеко не уедем. У меня нет других способов доказать, что закон НЕ регулирует деятельность по защите, кроме как сославшись на САМ закон, который ВНЯТНО, НЕВУСМЫСЛЕННО, ИСЧЕРПЫВАЮЩЕ говорит, что именно он регулирует.
Разобравшись с этим, пойдем и далее. Но не раньше.

Сообщение отредактировал Шмелев: 31 August 2010 - 12:28

[Pavel Arievich]

Добавлю 5 копеек.

Ну право, как уже звучало выше, безумной выглядела бы идея обязать каждую компанию - от мелкой конторы до детского сада - получать специальную лицензию и устанавливать какое-л. дорогое оборудование. Между прочим, из статьи такой вывод вполне напрашивается. Наше государство, конечно, и без того способно удивить бизнес чем угодно, но надеюсь, всё же, на здравый смысл - в противном случае ни один нормальный гендир эти требования выполнять не будет.

В практическом же плане нам становится всё сложней объяснять клиентам про особенности защиты персональных данных (в части установки спец. оборудования) - трудно лезть в дебри подзаконных актов ФСТЭК, плохо написанных, неисполнимых и с непонятной юридической судьбой, да и непонятно, надо ли вообще, если честно.

[Platosha]

Pavel Arievich

Между прочим, из статьи такой вывод вполне напрашивается.

То есть Вы все же считаете, что буква закона требует защиты ПД (самостоятельно или услугами лицензиата)?

А здравый смысл, как известно, к делу не пришьешь

[werefish]

Pavel Arievich

безумной выглядела бы идея обязать каждую компанию - от мелкой конторы до детского сада - получать специальную лицензию и устанавливать какое-л. дорогое оборудование.

поскольку выше прозвучало сакральное "кадровые службы", идея не безумная, а здравая. предоставляя сведения кадровику, я должен быть уверен, что они будут использованы по назначению, изучаться в закрытом помещении и храниться в "дорогом оборудовании" (сейфе). следует также понимать, что качество обращения с "персональными данными", не является личным делом юрлица.

также, по аналогии с состоянием пожарной охраны в стране, все эти разговоры имеют, преимущественно, теоретический характер.

[pavelser]

поскольку выше прозвучало сакральное "кадровые службы", идея не безумная, а здравая. предоставляя сведения кадровику, я должен быть уверен, что они будут использованы по назначению, изучаться в закрытом помещении и храниться в "дорогом оборудовании" (сейфе). следует также понимать, что качество обращения с "персональными данными", не является личным делом юрлица.

весь вопрос в том, требуеться ли для этого лицензирование ....
на мой взгляд нет.. а в соответствии с теми формулировками, которые есть в законе, на мой взгляд да..

[malotavr]

Мой аргумент прост и понятен - законодатель САМ указал, что регулирует закон (ч.1 ст.1). Слова ЗАЩИТА ни в сфере действия, ни в предмете регулирования НЕТ.

Этот аргумент, мягко говоря, вызывает недоумение. В определении сферы действия ФЗ152 нет многих слов, определяющих отношения, связанные с обработкой ПД. Что не мешает ФЗ152, в соответствии с определением сферы действия, регулировать ВСЕ эти отношения. В том числе - установить порядок исполнения обязанности оператора по защите ПД и порядок государственного надзора за исполнением этой обязанности. Хотите исключить отношения, связанные с заитой ПД, из сферы действия закона - исключайте всю его 19-ю статью

Вы же пытаетесь его дополнить, подправить. Мотивируете свои доводи ст. 19, где указано про обязанности. И считаете, что это является основанием для выводов, что и ЭТО закон регулирует.

Закон установил обязанность по защите ПД так, что она неотделима от обработки ПД. Закон установил порядок технического регулирования исполнения этой обязанности. Закон установил порядок государственного надзора за исполнением этой обязаности. Если это не "регулирует", то что же тогда "регулирует"? Я понимаю ваше желание откреститься от этих норм в пользу ФЗ128, но вы не приводите для этого должных оснований.

Или, опираясь на ч. 2, 3 ст 19, утверждать, что ФЗ 152 регулирует и деятельность Правительства, и деятельность ФСБ, и деятельность ФСТЭК. Просто на том основании, что там указаны обязанности этих органов.

Статья 19 не просто "указывает обязанность".

Если мы будем идти по пути добавления в закон отсебятины, то мы так далеко не уедем. У меня нет других способов доказать, что закон НЕ регулирует деятельность по защите, кроме как сославшись на САМ закон, который ВНЯТНО, НЕВУСМЫСЛЕННО, ИСЧЕРПЫВАЮЩЕ  говорит, что именно он регулирует. 
Разобравшись с этим, пойдем и далее. Но не раньше.

Я и не призываю вас идти по этому пути. Найдите в каком-нибудь обзоре судебной практики пример применения статей 14.1 КоАП (что вряд ли) или 19.20 КоАП (что возможно, но за более чем три года споров никто так и не сумел продемонстрировать) в отношении лица, которое выполняло свою законную ОБЯЗАННОСТЬ, не имея необходимой лицензии - и вы убедительно докажете мою неправоту, дейсьвительно поставив в этом вопросе точку. Надеюсь, не надо объяснять, что я буду не единственным, кто скажет вам за это "спасибо".

Сообщение отредактировал malotavr: 01 September 2010 - 00:47

[Шмелев]

я буду не единственным, кто скажет вам за это "спасибо".

Коллега, у меня нет больше аргументов, помимо тех, что я уже привел. Возможно, имело бы смысл пытаться толковать невнятную, двоякую, двусмысленную позицию законодателя, но в силу того, что он черным по белому указал предмет регулирования, попытку переиначить его волю я считаю недопустимой. Бессмысленной. Кстати, и не определял ФЗ152 ПОРЯДОК надзора и контроля, а лишь указал лиц, реализующих эти государственные функции. НЕ усугубляйте дальше, не нужно, слишком много неверных утверждений у Вас.
Пересмотреть закон законными способами - таки да, приемлю. Но утверждать (в рамках действующего и в этой части понятного закона), что решение 2х2 инвариантно, и это примерно в районе 4,5 - это...мощно, мощно. Меня Ваши доводы (я их изучил, тщательно) не убедили. В них есть и логика и логические ошибки (в толковании норм они кроются), просто я с ними (с доводами) не согласен. Однако убедительной кажется Ваша уверенность в своей правоте (не аргументы). Чтобы обладать такой уверенностью, надо же ее культивировать! Была бы медаль Коперника (или Мюнхгаузена) - я бы отдал ее Вам. Это был комплимент.

[Pavel Arievich]

То есть Вы все же считаете, что буква закона требует защиты ПД (самостоятельно или услугами лицензиата)?

Я имею в виду не статью закона, а статью г-на Шмелева, ссылка на которую дана в одном из первых постов. Саму эту статью я сейчас не буду препарировать, речь лишь о том, что такие требования к чуть ли не КАЖДОМУ юрлицу (коих многие тысячи) мне кажутся абсурдными и заведомо невыполнимыми.

Добавлено немного позже:

поскольку выше прозвучало сакральное "кадровые службы", идея не безумная, а здравая. предоставляя сведения кадровику, я должен быть уверен, что они будут использованы по назначению, изучаться в закрытом помещении и храниться в "дорогом оборудовании" (сейфе). следует также понимать, что качество обращения с "персональными данными", не является личным делом юрлица.

Говоря об абсурде, я , конечно, имею в виду не сейф и т.п. - это как раз логично и применимо к хранению любых носителей коммерческой тайны, не только ПД (пусть это и часто игнорируется). "Дорогое оборудование" - это специальные информационные системы, обсуждающиеся в этой ветке, в которых чёрт ногу сломит (если пытаться читать акты ФСТЭК).

[werefish]

pavelser

на мой взгляд нет..

какую-то бумажку полезно иметь, вероятно. сертификат или "акт проверки..."

можно назвать это "лицензией", а уборщицу "менеджером по напольным покрытиям"

при работе с электроустановками персонал имеет "допуски", предоставляемые по результатам регуляртных проверок знаний. скорее всего, для менеджера по персоналу чего-то подобного более чем достаточно.