Кто должен обеспечивать сохранность персональных данных - разработчик ПО или администратор?

Добрый день.

Есть ли какие-то законодательные требования ко мне как к разработчику по тому, как организовано хранение этих данных на серверах заказчика?

Иван

К Вам как к разработчику нет.

Обеспечение сохранности персональных данных лежит на пользователе данного ПО, который их собственно и получает.

В ст. 19 ФЗ «О персональных данных»

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Соответственно обязанность по их сохранности лежит на операторе, под которым по смыслу названного закона понимается

2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

При этом стоит учесть, что обработка понятие достаточно емкое, которое включает в себя собственно и сбор персональных данных.

Таким образом, пользователь Вашего ПО, который осуществляет сбор персональных данных и должен обеспечить их сохранность.

Вы как его разработчик соответствующей обязанности не несете. 

Я как разработчик могу только шифровать данные, которые будут храниться в базе данных. Это обязательно?

Иван

Вы можете создать алгоритм и ключи шифрования, по заданию заказчика. Однако, как сами понимаете, алгоритм шифрования не предполагает фактическое использование для целей его создания конкретных персональных данных.

В том случае, если от Вас требуют создать данный алгоритм — то Вы его выполняете в рамках конкретного задания. 

Есть ли какие-то законодательные требования ко мне как к разработчику по тому, как организовано хранение этих данных на серверах заказчика?

Иван

Здравствуйте. Если Вы только разрабатываете приложение, то к Вам требований соотносящихся с Законом «О персональных данных» не будет. А вот если помимо разработки Вы осуществляете еще и какие-то иные действия, которые могут расцениваться как одно из упомянутых в законе, тогда к Вам могут применяться требования как к оператору данных.

Статья 3 Закона:

3) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
4) автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
5) распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
6) предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
7) блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
8) уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
9) обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

То есть если помимо разработки алгоритма, приложения, иных каких-то программных инструментов, Вы больше ничего не делаете, то то, что потом Ваш инструмент используется для действий с персональными данными Вас ни к чему не обязывает.