Top.Mail.Ru
8 800 700 3705

11.02.26 05:00

Оператор отвечает за утечку персональных данных, даже если инцидент произошел через подрядчика

11.02.26 05:00

Суды, включая Верховный Суд РФ, подтвердили: оператор персональных данных несет ответственность за утечку ПДн, даже если компрометация произошла через инфраструктуру подрядной организации.

Что произошло

Федеральное ведомство пыталось оспорить штраф по ч. 1 ст. 13.11 КоАП РФ за утечку около 1400 строк персональных данных сотрудников и их родственников (ФИО, паспортные данные, адреса, реквизиты карт, сведения о гражданстве и др.).

Ведомство утверждало, что:

  • его системы были частично зашифрованы вредоносной программой;

  • атака, предположительно, была организована иностранными спецслужбами;

  • доступ злоумышленник получил через подрядчика, чья инфраструктура была скомпрометирована;

  • подрядчик стал «точкой входа» в VPN и далее в инфраструктуру ведомства.

Позиция судов

Суды всех инстанций указали:

  • п. 3 Постановления № 1119: безопасность ПДн в ИС обеспечивает оператор или лицо, обрабатывающее данные по его поручению, причем договор должен содержать обязанность подрядчика обеспечивать защиту ПДн;

  • ч. 1 ст. 19 Закона № 152‑ФЗ: оператор обязан принимать необходимые правовые, организационные и технические меры для защиты данных;

  • ведомство не доказало, что не могло выполнить требования закона и что предприняло все необходимые меры;

  • факт несанкционированного доступа не влияет на квалификацию по ч. 1 ст. 13.11 КоАП РФ;

  • ссылка на вину подрядчика не освобождает оператора, который не обеспечил контроль за защитой данных при передаче их уполномоченному лицу;

  • ведомство фактически допустило неограниченный доступ к базе ПДн, опубликованной в интернете, что является неправомерной обработкой.

Суд также отметил слабое участие ведомства в выполнении обязанностей оператора ПДн, предусмотренных ст. 18.1, 19 и 22.1 Закона № 152‑ФЗ.

Ужесточение требований

  • С 01.09.2025 руководители федеральных и региональных органов, ГУП и учреждений обязаны содействовать обнаружению и предотвращению компьютерных атак и взаимодействовать с ГоССОПКА (изменения в Закон о КИИ).

  • С марта 2026 года вступают в силу новые требования ФСТЭК по защите информации во всех ИС госорганов, ГУП и учреждений.

-----

Постановление Верховного Суда РФ от 21 января 2026 г. N 5-АД25-119-К2

Задать вопрос по этой теме

Остались вопросы? Мы готовы помочь!

Консультация - БЕСПЛАТНО!

Ещё по этой теме