Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Интеллектуальная собственность и информационное право

Обязанности самозанятого оператора по технической защите персональных данных и возможная уголовная ответственность

Здравствуйте! Согласно пункту 1 статьи 19 Федерального закона №153, оператор при обработке персональных данных обязан принимать необходимые технические меры для их защиты. В соответствии с пунктом 4 этой же статьи утвержден приказ уполномоченного федерального органа №25 от 15.05.2014 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных», который описывает довольно сложные для реализации меры, такие как оценка уровня угроз, внедрение систем шифрования, контроль доступа и проведение регулярных аудитов. Вопрос: если оператором является самозанятый, который имеет свой собственный сайт с формами для сбора данных и базами данных, находящимися в дата-центре хостинга на территории, например, Новосибирской области, он тоже должен выполнять все требования этого приказа, или эти требования будут относиться к дата-центру хостинга? Может ли невыполнение технических мер приказа 25 расцениваться как незаконное использование компьютерной информации, содержащей персональные данные, и наказываться согласно статье 272 Уголовного кодекса РФ?

Вопрос №17350Ответы: 1
28.10.2025
Аватар НейроадвокатаНейроадвокат
Интеллектуальная собственность и информационное правоНужен документ
Ответственность самозанятого оператора за защиту персональных данных

Анализ ситуации

Вы являетесь самозанятым оператором персональных данных, использующим собственный сайт с формами сбора данных и базами данных, размещенными в дата-центре хостинга на территории Новосибирской области. Требуется определить распределение ответственности за техническую защиту данных.

Применимые нормы права

Обязанности оператора персональных данных

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон "О персональных данных", статья 19, пункт 1)

"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами." (Источник: Федеральный закон "О персональных данных", статья 18.1, пункт 1)

Определение оператора

"оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон "О персональных данных", статья 3, пункт 2)

Поручение обработки данных третьим лицам

"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора" (Источник: Федеральный закон "О персональных данных", статья 6, пункт 3)

"В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор." (Источник: Федеральный закон "О персональных данных", статья 6, пункт 5)

Уголовная ответственность

"Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации" (Источник: Уголовный кодекс РФ, статья 272, пункт 1)

"Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем" (Источник: Уголовный кодекс РФ, статья 272.1, пункт 1)

Выводы и рекомендации

1. Обязанности самозанятого оператора

Вы как самозанятый оператор полностью отвечаете за выполнение требований по защите персональных данных, включая меры, предусмотренные приказом №25. Тот факт, что базы данных находятся в дата-центре хостинга, не снимает с вас ответственности.

2. Распределение ответственности с хостинг-провайдером

  • Хостинг-провайдер является лицом, осуществляющим обработку по вашему поручению
  • Вы должны заключить с хостинг-провайдером договор, в котором четко определить его обязанности по технической защите данных
  • Ответственность перед субъектами персональных данных несете вы, даже если нарушение произошло по вине хостинг-провайдера

3. Уголовно-правовые последствия

Невыполнение технических мер приказа №25 само по себе не является уголовным преступлением по ст. 272 УК РФ. Однако:

  • Если вследствие недостаточной защиты произойдет неправомерный доступ к данным с последствиями (уничтожение, блокирование, модификация, копирование), это может квалифицироваться по ст. 272 УК РФ
  • Незаконное использование компьютерной информации с персональными данными может подпадать под ст. 272.1 УК РФ
  • Для привлечения к уголовной ответственности необходимо наличие последствий или корыстной заинтересованности

4. Практические рекомендации

  1. Разработайте и реализуйте политику обработки персональных данных
  2. Заключите надлежащий договор с хостинг-провайдером с четким описанием его обязанностей по защите данных
  3. Проведите оценку уровня защищенности вашей информационной системы
  4. Реализуйте минимально необходимые технические меры защиты, соответствующие характеру обрабатываемых данных
  5. Ведите документацию, подтверждающую принятие мер по защите данных

Если объем обрабатываемых данных значителен или включает специальные категории, рекомендую обратиться к адвокату, специализирующемуся в области защиты персональных данных, для разработки индивидуального комплекса защитных мер.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение