В соответствии с п.4 ст.19 ФЗ-152 утвержден Приказ ФСТЭК №21 от 18.02.2013 "Об утверждении Состава и содержания

Доброго времени суток.

В теории под уголовную статью 272.1 УК РФ можно подогнать любой вариант неисполнения требований Приказа ФСТЭК №21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Потому как статья новая, принята 30.11.2024 и практики по ней пока нет. 

Что делать, чтобы себя защитить:

1. работать с адвокатом. Наймите адвоката, если вас будут вызывать в полицию. Желательно того, кто разбирается в уголовном праве и ранее работал по ст.272 УК РФ.

По ней практики достаточно  и даже есть Пленум ВС РФ. Постановление Пленума Верховного Суда РФ от 15.12.2022 N 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или… \ КонсультантПлюс

2. Примите все возможные меры, которые вы, как самозанятый можете принять к сохранению данной информации в безопасности. Их комплекс должен быть разумным и соразмерным. Чтобы пояснить следователю и суду, что вы сделали все от вас зависящее, чтобы не допустить утечки персональных данных.

3. Так как практики нет, но есть понимание, что вначале будут работать по большим утечкам(вряд ли по теме государства, но вот частные компании будут поднимать). Работать по  самозанятым, с минимальными объемами персональных данных будут в последнюю очередь(но могут быть и исключения).

Согласно указанного выше Пленума ВС РФ и рассматривая его положения по аналогии к ст.272.1 УК РФ следует отметить

С учетом этого в ходе рассмотрения каждого дела о преступлении, предусмотренном статьями 272 или 274 УК РФ, подлежат установлению не только совершение неправомерного доступа к компьютерной информации или нарушение соответствующих правил, но и общественно опасные последствия, возможность наступления которых охватывалась умыслом лица, осуществившего такой доступ или допустившего нарушение правил, а также наличие причинной связи между данными действиями и наступившими последствиями. Об отсутствии такой связи может свидетельствовать, в частности, наступление указанных последствий в результате технических неисправностей компьютерных устройств или ошибок при функционировании компьютерных программ.

То есть преступник должен стремиться получить доступ к персональным данным, действовать умышленно, а его умысел быть направленным на похищение персональных данных, которые 

находящимися в дата-центре хостинга на территории РФ

Вы же самозанятый. Вы, наоборот, защищаете свой сайт и персональные данные всеми доступными вам способами, а соответственно, не будете преступником, так как сами свой сайт вряд ли взламывать будете.

Поэтому, 

Может ли невыполнение технических мер приказа 21 расцениваться как незаконные использование компьютерной информации, содержащей персональные данные, и наказываться согласно ст. 272.1 УК РФ?

не может быть расценено. 

Вы оператор персональных данных, а не преступник, который их похищает.

Вам персональные данные были переданы в рамках законной деятельности и политики конфиденциальности. И если вы их сами не продали преступникам, привлечь вас по ст.272.1 УК РФ не получиться.