Дело РЖД: утечка в результате хакерской атаки - вина компании?

19.02.2026
Девятый арбитражный апелляционный суд отменил привлечение РЖД к административной ответственности за "утечку", поскольку действия третьих лиц не связаны с виной привлекаемого лица

Суть спора

В конце 2024-начале 2025 года Роскомнадзор нашёл признаки утечки 17 млн. записей работников РЖД. РЖД не признало утечку, Роскомнадзор провёл внеплановую проверку, в результате которой был составлен протокол об административном правонарушении по ч.1 ст.13.11 КоАП РФ.

Было выяснено, что базы ПДн РЖД утекли в сеть в результате хакерской атаки со стороны иностранцев. В дальнейшем было возбуждено уголовное дело по ч. 1 ст. 272.1 УК РФ.

Первая инстанция

Суд первой инстанции указал, что согласно ст.7 152-ФЗ оператор (в лице РЖД) обязан обеспечивать конфиденциальность персональных данныхи и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

Также было указано, что представленная в материалы дела Политика безопасности РЖД не подтверждает факт её соблюдения привлекаемым лицом или его сотрудниками и не может сама по себе свидетельствовать об отсутствии в действиях общества события административного правонарушения.

Вместе с тем, доказательств того, что РЖД были приняты все меры по соблюдению установленных правил и норм, не представлено и судом не установлено (ст. 2.1 КоАП).

В итоге суд удовлетворил требования Роскомнадзора, РДЖ было привлечено к административной ответственности по ч.1 ст.13.11 КоАП РФ в виде штрафа в размере 150 000 рублей.

Апелляция

Решение примечательно тем, что суд сослался на следующее основание: действия третьих лиц не связаны с виной привлекаемого лица.

Суд отменяя наказание указал следующее:

"Согласно позиции Конституционного Суда Российской Федерации, вина юридического лица проявляется в виновном действии (бездействии) соответствующих физических лиц, действующих от его имени и допустивших правонарушение..."

"В силу ч. 2 ст. 2.1 КоАП РФ юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению."

В решении апелляционной инстанции оценка выполнения мер по защите ПДн по ст. 18.1 и ст. 19 152-ФЗ не описана.

Последние алерты

Обсудим вашу задачу без лишних формальностей

Расскажем, как мы можем помочь именно в вашей ситуации — от разовой консультации до полного сопровождения
Оставить заявку
Не готовы обратиться сейчас?