Обстоятельства дела
06.01.2025 в ходе мониторинга сети «Интернет» Роскомнадзором в закрытом чате телеграмм-канала выявлен факт публикации фрагмента архива с ПДн сотрудников РЖД, предположительно, скопированных из адресной книги сервисного портала общества, являющейся общедоступным источником (справочником) общества.
17.02.2025 выявлен очередной факт публикации архива с ПДн работников РЖД в телеграмм-канале. РЖД по данным фактам направлена информация в НКЦКИ и подано сообщение о преступлении в ДЧ ГУ МВД России.
20.02.2025 Роскомнадзором направлен запрос о предоставлении информации о факте передачи персональных данных.
21.02.2025 РЖД ответило, что компьютерные атаки и доступ неустановленных лиц к информационным системам не зафиксированы.
С 26.06.2025 по 09.07.2025 Роскомнадзором по согласованию с прокуратурой проведена внеплановая выездная проверка РЖД.
29.10.2025 возбуждено уголовное дело по признакам преступления, предусмотренного ч. 1 ст. 272.1 УК РФ в отношении неустановленного лица, получившего доступ к базам данных РЖД.
10.11.2025 решением Арбитражного суда города Москвы РЖД привлечены к административной ответственности по ч. 1 ст. 13.11 КоАП РФ. Штраф – 150 тыс. руб.
16.02.2026 постановлением Девятого арбитражного апелляционного суда решение Арбитражного суда города Москвы отменено, в удовлетворении заявления Роскомнадзора о привлечении РЖД к административной ответственности отказано.
Позиция суда первой инстанции
Согласно ст.7 152-ФЗ оператор (РЖД) обязан обеспечивать конфиденциальность персональных данных и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
Наличие в действиях заинтересованного лица состава административного правонарушения подтверждается материалами дела.
Представленная в материалы дела Политика безопасности РЖД не подтверждает факт её соблюдения привлекаемым лицом или его сотрудниками и не может сама по себе свидетельствовать об отсутствии в действиях общества события административного правонарушения.
Доказательств того, что РЖД были приняты все зависящие от него меры по соблюдению установленных правил и норм, не представлено и судом не установлено (ст. 2.1 КоАП).
РДЖ было привлечено к административной ответственности по ч.1 ст.13.11 КоАП РФ.
Решение Арбитражного суда г. Москвы.
Позиция суда апелляционной инстанции
Суд, отменяя решение суда первой инстанции указал следующее:
Согласно позиции КС РФ, вина юридического лица проявляется в виновном действии (бездействии) соответствующих физических лиц, действующих от его имени и допустивших правонарушение.
В силу ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.
В соответствии с ч. 4 ст. 210 АПК РФ по делам об оспаривании решений административных органов о привлечении к административной ответственности обязанность доказывания обстоятельств, послуживших основанием для привлечения к административной ответственности, возлагается на административный орган, принявший оспариваемое решение.
Суд апелляционной инстанции пришел к выводу о том, что в рассматриваемом случае, в условиях наличия в материалах дела доказательств о возбуждении уголовного дела от 29.10.2025 по признакам преступления, предусмотренного ч. 1 ст. 272.1 УК РФ в отношении неустановленного лица, которое обладая специальными познаниями в области компьютерной техники и программного обеспечения, находясь в неустановленном месте, имея умысел, направленный на неправомерный доступ к охраняемой законом компьютерной информации , пользуясь услугами неустановленного следствием провайдера с неустановленного в ходе следствия IP-адреса осуществлен неправомерный доступ и копирование компьютерной информации, содержащей персональные данные сотрудников общества, хранящейся на сервере общества, выводы административного органа о наличии единоличной вины РЖД являются преждевременными.
Суд указал, что следует учитывать общеизвестные сведения и данные из открытых источников, что с начала проведения специальной военной операции (24.02.2022), вследствие действий со стороны недружественного государства, на территории России наблюдаются сбои в работе программного обеспечения, значительно повысилось количество хакерских атак.
Постановление Девятого арбитражного апелляционного суда.
Подробнее: https://t.me/privacyexpert/1887
