Исходный вопрос:
Появился закон о внедрении ЭДО с Пенсионным фондом ( сдача отчетов).
В связи с этим появляется вопрос, нужны ли какие нибудь меры помимо крипто про, встроенного в ПО ЭДО, становимся ли мы оператором ПДн и надо ли нам теперь получать лицензию по защите КИ и тд?
В конторах предоставляющих данное ПО и услуги УЦ ничего по этому поводу сказать не смогли (кроме того, что этого никто не делает).
Пояснения:
Все строится на ФЗ от 30 апреля 2008года № 56-ФЗ «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений»

Пунктами 4 и 7 статьи 9 Федерального закона от 30 апреля 2008года № 56-ФЗ предусмотрено, что одновременно с перечислением дополнительных страховых взносов на накопительную часть трудовой пенсии страхователем формируется реестр застрахованных лиц, который представляется им в территориальный орган Пенсионного фонда Российской Федерации не позднее 20 дней со дня окончания квартала, в течение которого перечислялись дополнительные страховые взносы на накопительную часть трудовой пенсии и уплачивались взносы работодателя (в случае их уплаты).
Работодатели, среднесписочная численность работников которых за предшествующий календарный год превышает 100 человек, а также вновь созданные (в том числе путем реорганизации) организации, численность работников которых превышает указанное выше количество, представляют заявления застрахованных лиц и реестры в территориальный орган Пенсионного фонда Российской Федерации в электронной форме в соответствии с Федеральным законом от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи».
Ответ:
1.       Основание для обработки – наличие трудового договора и выплата накопительной части пенсии согласно ФЗ.
2.       Если штатное расписание более 100 человек, то согласно ФЗ есть право на автоматизированную обработку.
3.       Организация, которая предоставляет такую услугу является специализированным оператором связи и обязана представить: лицензии ФСБ на распространение, техническое обслуживание шифровальных (криптографических) средств и оказание услуг по шифрованию информации, лицензию ФСТЭК на техническую защиту конфиденциальной информации, а также регламент УЦ и указание, что УЦ классифицирован и аттестован как ИСПДн, в том числе указать регистрацию оператором персональных данных.
4.       Работодателю, как клиенту системы электронного документооборота получить от ОКЗ специализированного оператора все требования по функционированию рабочего места. Как правило идет как приложение к договору.
5.       Лицензию ТЗКИ работодателю получать получать не нужно для работы в этой системе.
6.       Лицензии ФСБ работодателю получать не нужно для работы в этой системе.