За утечку персданных через незащищенный канал подрядчика отвечает оператор ПДн

Федеральное ведомство не смогло оспорить штраф по ч. 1 ст. 13.11 КоАП РФ (норма в редакции на дату правонарушения, ноябрь 2023 года), который был наложен судом в связи с утечкой 1400 строк персональных данных (ПДн) сотрудников ведомства и их родственников, в том числе ФИО, даты и места рождения, паспортные данные, адреса регистрации, реквизиты банковских карт, сведения о гражданстве и другие сведения (Постановление Верховного Суда Российской Федерации от 21 января 2026 г. № 5-АД25-119-К2).

Само ведомство настаивало на отсутствии своей вины в инциденте:

• cерверы и рабочие станции ведомства были частично зашифрованы экземпляром вредоносной программы, предположительно, инфраструктуру ведомства атаковали иностранные спецслужбы,
• эта инфраструктура скомпрометирована через подрядную организацию,
• неустановленное третье лицо получило доступ к инфраструктуре подрядчика, а затем к VPN подрядчика, подключилось к инфраструктуре ведомства и частично зашифровало ее вредоносными программами (это сообщил замначальника отдела ИБ, в том числе при рассмотрении уже собственного штрафа за то же нарушение).

Однако суды, включая Верховный Суд РФ, единодушно пришли к следующему:

• согласно п. 3 постановления Правительства РФ от 1 ноября 2012 г. № 1119 об утверждении требований к защите ПДн при их обработке в ИС ПДН безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность ПДн при их обработке в ИС;
• согласно ч. 1 ст. 19 Закона о персональных данных оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
• ведомство не доказало, что у него не было реальной возможности исполнить эти требования законодательства, а также, что оно принимало все зависящие от него меры по исполнению указанных требований. В данном случае именно оператор ПДн не обеспечил конфиденциальность информации и допустил обработку (передачу) вверенной ему информации, при этом факт несанкционированного доступа к персональным данным в данном случае не имеет значения для квалификации содеянного по ч. 1 ст. 13.11 КоАП РФ;
• довод защиты о том, что доступ к персональным данным был осуществлен через инфраструктуру подрядной организации, не снимает ответственности непосредственно с ведомства, не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением такой защиты у подрядной организации. Доводы о невиновности ведомства в неправомерном доступе к персональным данным своих сотрудников, который произошел через доступ злоумышленника к инфраструктуре подрядной организации, не обеспечившей защиту этих данных, несостоятельны;
• таким образом, именно ведомство, являясь оператором ПДн, неправомерно предоставило открытый доступ неограниченному кругу лиц к базе данных, содержащих персональные сведения своих сотрудников, опубликованных в сети Интернет, что по своей сути является обработкой персональных данных, которая не предусмотрена законодательством в области ПДн и несовместима с целью сбора персональных данных.

Дополнительно суд указал на вялое участие ведомства в реализации мер, которые направлены на обеспечение выполнения оператором ПДн своих обязанностей (предусмотрены статьями 18.1, 19, 22.1 Закона о персональных данных).

Отметим, что прошлогодние изменения в Закон о КИИ с 1 сентября 2025 года обязывают руководителей федеральных и региональных ведомств, ГУП и госучреждений – независимо от статуса субъекта КИИ – содействовать в обнаружении, предупреждении и ликвидации последствий компьютерных атак, а также осуществлять непрерывное взаимодействие с ГоССОПКА.

Кроме того, с марта 2026 года вступают в силу Требования ФСТЭК о защите информации в любых информационных системах госорганов, ГУП и госучреждений. См. подробный комментарий к этим Требованиям.