Ответственность самозанятого оператора за защиту персональных данных
Анализ ситуации
Самозанятый гражданин, осуществляющий обработку персональных данных через свой сайт с использованием баз данных, размещенных у хостинг-провайдера, является оператором персональных данных в соответствии с законодательством РФ.
Применимые правовые нормы
Статус оператора и обязанности по защите данных
"Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 3)
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)
"Обеспечение безопасности персональных данных достигается, в частности: определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; применением организационных и технических мер по обеспечению безопасности персональных данных" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)
Распределение ответственности с хостинг-провайдером
"Провайдер хостинга обязан обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, требований о защите информации при предоставлении вычислительной мощности" (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", статья 10.2-1)
"Провайдер хостинга и оператор связи не несут ответственность перед правообладателем и перед пользователем за ограничение доступа к информации и (или) ограничение ее распространения в соответствии с требованиями настоящего Федерального закона" (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", статья 17)
Административная ответственность
"Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных - влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до трех тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.11)
"Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации - влечет наложение административного штрафа на граждан в размере от пяти тысяч до десяти тысяч рублей" (Источник: Кодекс Российской Федерации об административных правонарушениях, статья 13.12)
Уголовная ответственность
"Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации - наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев" (Источник: Уголовный кодекс Российской Федерации, статья 272)
"Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб - наказывается штрафом в размере до пятисот тысяч рублей" (Источник: Уголовный кодекс Российской Федерации, статья 274)
Выводы и рекомендации
1. Обязанности самозанятого оператора
Самозанятый гражданин как оператор персональных данных обязан в полном объеме выполнять требования по защите персональных данных, включая:
- Определение угроз безопасности данных
- Применение организационных и технических мер защиты
- Обеспечение соответствия уровня защиты установленным требованиям
2. Распределение ответственности
Ответственность за обеспечение защиты персональных данных лежит преимущественно на операторе (самозанятом), а не на хостинг-провайдере. Хостинг-провайдер отвечает только за обеспечение безопасности предоставляемой инфраструктуры.
3. Административная ответственность
Несоблюдение требований к защите персональных данных влечет административную ответственность по ст. 13.11 и 13.12 КоАП РФ с штрафами для граждан до 10 000 рублей.
4. Уголовная ответственность
Для привлечения к уголовной ответственности по ст. 272 или 274 УК РФ необходимо наличие последствий в виде уничтожения, блокирования, модификации данных и причинения крупного ущерба (свыше 1 млн рублей).
Рекомендации для самозанятого оператора:
- Разработать и опубликовать политику обработки персональных данных
- Реализовать базовые меры защиты: шифрование передаваемых данных, контроль доступа, регулярное резервное копирование
- Заключить с хостинг-провайдером соглашение, четко разграничивающее обязанности по защите данных
- Оценить риски и принять меры, соразмерные обрабатываемым данным
- В случае сомнений в достаточности принимаемых мер обратиться к адвокату, специализирующемуся на защите персональных данных
