Постановление Верховного Суда РФ от 21 января 2026 г. N 5-АД25-119-К2
Федеральное ведомство не смогло оспорить штраф по ч. 1 ст. 13.11 КоАП РФ (норма в редакции на дату правонарушения, ноябрь 2023 г.), который был наложен судом в связи с утечкой 1400 строк персональных данных (ПДн) сотрудников ведомства и их родственников, в том числе ФИО, даты и места рождения, паспортные данные, адреса регистрации, реквизиты банковских карт, сведения о гражданстве и другие сведения.
Само ведомство настаивало на отсутствии своей вины в инциденте:
- серверы и рабочие станции ведомства были частично зашифрованы экземпляром вредоносной программы, предположительно, инфраструктуру ведомства атаковали иностранные спецслужбы,
- эта инфраструктура скомпрометирована через подрядную организацию,
- неустановленное третье лицо получило доступ к инфраструктуре подрядчика, а затем к VPN подрядчика, подключилось к инфраструктуре ведомства и частично зашифровало ее вредоносными программами (это сообщил замначальника отдела ИБ, в том числе при рассмотрении уже собственного штрафа за то же нарушение).
Однако суды, включая Верховный Суд РФ, единодушно пришли к следующему:
- согласно п. 3 постановления Правительства РФ от 01.11.2012 N 1119 об утверждении требований к защите ПДн при их обработке в ИС ПДН безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в ИС;
- согласно ч. 1 ст. 19 Закона о персональных данных оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- ведомство не доказало, что у него не было реальной возможности исполнить эти требования законодательства, а также, что оно принимало все зависящие от него меры по исполнению указанных требований. В данном случае именно оператор ПДн не обеспечил конфиденциальность информации и допустил обработку (передачу) вверенной ему информации, при этом факт несанкционированного доступа к персональным данным в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ;
- довод защиты о том, что доступ к персональным данным был осуществлен через инфраструктуру подрядной организации, не снимает ответственности непосредственно с ведомства, не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением такой защиты у подрядной организации. Доводы о невиновности ведомства в неправомерном доступе к персональным данным своих сотрудников, который произошел через доступ злоумышленника к инфраструктуре подрядной организации, не обеспечившей защиту этих данных, несостоятельны;
- таким образом, именно ведомство, являясь оператором ПДн, неправомерно предоставило открытый доступ неограниченному кругу лиц к базе данных, содержащих персональные сведения своих сотрудников, опубликованных в сети Интернет, что по своей сути является обработкой персональных данных, которая не предусмотрена законодательством в области ПДн и несовместима с целью сбора персональных данных.
Дополнительно суд указал на вялое участие ведомства в реализации мер, которые направлены на обеспечение выполнения оператором ПДн своих обязанностей (предусмотрены статьями 18.1, 19, 22.1 Закона о персональных данных).
Отметим, что прошлогодние изменения в Закон о КИИ с 01.09.2025 обязывают руководителей федеральных и региональных ведомств, ГУП и госучреждений - независимо от статуса субъекта КИИ - содействовать в обнаружении, предупреждении и ликвидации последствий компьютерных атак, а также осуществлять непрерывное взаимодействие с ГоССОПКА.
Кроме того, с марта 2026 г. вступают в силу Требования ФСТЭК о защите информации в любых информационных системах госорганов, ГУП и госучреждений. См. подробный комментарий к этим Требованиям.