В начале 2026 г. приняты значимые судебные решения по делам об «утечке» персональных данных.
Два противоположных мнения судов о доказанности вины оператора за сам факт «утечки».
В целом, можно отметить, что у судов общей юрисдикции более карательный вариант решений, чем в арбитражных судах. Напомним: период рассмотрения дел по ст. 13.11 КоАП РФ в арбитражных судах был временным (с 1 июня по 31 декабря 2025 г.).
Коротко про позиции судов и операторов по данным делам можно прочитать на сайте: ВС РФ и 9ААС.
| ||
Оператор | Минтруд России | ОАО «РЖД» |
Сведения об «утечке» | Дата обнаружения – 27.11.2023 Количество строк – 1400 (ФИО, даты и места рождения, паспортные данные, адреса регистрации, сведения о родственниках, реквизиты банковских карт, сведения о гражданстве и др.) Субъекты – сотрудники и их родственники Место распространения – Telegram-канал Утечка на стороне подрядчика | Дата обнаружения – 20.02.2025 Количество строк – более 17 млн. (ФИО, адрес электронной поты, должность, место работы) Субъекты – работники Место распространения – Telegram-канал Взлом адресной книги сервисного портала общества
|
Санкция | Ч. 1 ст. 13.11 КоАП РФ – 100 тыс. руб. (max размер на тот момент) | Решение Арбитражного суда города Москвы отменено (ч. 1 ст. 13.11 КоАП РФ – 150 тыс. руб.), в удовлетворении заявления Роскомнадзора о привлечении ОАО "РЖД" к административной ответственности отказано
|
Ключевой вывод | То, что доступ к персональным данным был осуществлен через инфраструктуру подрядчика, не снимает ответственности с Министерства, не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением защиты у подрядчика | В условиях наличия в материалах дела доказательств о возбуждении уголовного дела выводы административного органа о наличии единоличной вины ОАО "РЖД" являются преждевременными |
Отрицательные моменты, повлиявшие на решение | Нет доказательств принятия мер, предусмотренных ст.18.1, ст. 19, ст. 22.1 152-ФЗ по обеспечению безопасности персональных данных.
Оператор направил уведомление об "утечке" только после направления запроса Роскомнадзора |
|
Положительные моменты, повлиявшие на решение |
| По заявлению оператора возбуждено уголовное дело по признакам преступления, предусмотренного ч. 1 ст. 272.1 УК РФ в отношении неустановленного лица, получившего доступ к базам данных.
Обязанность доказывания обстоятельств, послуживших основанием для привлечения к административной ответственности, возлагается на административный орган, принявший оспариваемое решение (ч. 2 ст. 210 АПК РФ) |
Нижестоящие суды | Судебный участок мирового судьи № 370 Тверского района города Москвы дело № 05-0766/370/2024
Тверской районный суд дело № 12-0058/2025
|
Рекомендации по итогам двух дел :
тщательнее отбирать подрядчиков;
в договоре с подрядчиком/ поручении важно прописать ответственность обработчика и его обязанность обеспечить безопасность персональных данных при их обработке;
необходимо проводить регулярный внутренний контроль/ аудит соблюдения требований, который может стать одним из аргументов фактического выполнения требований обеспечения безопасности;
важно собрать доказательства фактического выполнения требований ст.18.1, ст. 19, ст. 22.1 152-ФЗ по обеспечению безопасности персональных данных;
обращение в органы МВД России с заявлением о возбуждении уголовного дела по признакам преступления, предусмотренного ч. 1 ст. 272.1 УК РФ, может быть аргументом для переложения вины за компрометацию персональных данных.
