10.02.2026
10.02.2026. АПИ — Оператор персональных данных несет полную ответственность за их утечку. Даже если это государственный орган, ставший жертвой злоумышленников. Такое решение принял Верховный суд России.
В открытом доступе оказалась база данных сотрудников Министерства труда и социальной защиты РФ – около 1,4 тысячи записей, включая фамилии, паспортные данные, адреса, реквизиты банковских карт и сведения о родственниках. В ведомстве объяснили инцидент хакерской атакой иностранных спецслужб, которые через VPN некой подрядной организации подключились к информационной инфраструктуре министерства. Также злоумышленники зашифровали его серверы и рабочие станции.
Административную ответственность за утечку Роскомнадзор возложил непосредственно на государственный орган, являющийся оператором персональных данных. Подтвердив допущенное правонарушение, мировой судья оштрафовал Минтруда на 100 тысяч рублей.
Оспаривая вынесенное постановление, юристы министерства утверждали, что оно стало жертвой действий хакеров, атака произошла в выходной день, а доступ осуществлялся через инфраструктуру подрядной организации. Но районный суд констатировал, что эти обстоятельства не снимают ответственности непосредственно с оператора, «не обеспечившего надлежащую защиту своих информационных систем и контроля за обеспечением такой защиты у подрядной организации». Это решение поддержала и кассационная инстанция: «Министерство труда и социальной защиты РФ, имея возможность не приняло все зависящие от него меры по соблюдению законодательства».
Доводы о невиновности оператора за действия злоумышленников и подрядчиков отклонил и Верховный суд России: «Из материалов дела следует, что размещение персональных данных сотрудников Минтруда в сети Интернет было подтверждено им лишь после направления контролирующим органом запроса о предоставлении информации по факту выявленного инцидента», – отмечается в решении высшей инстанции.
В ходе рассмотрения дела чиновники госоргана настаивали также на фактическом засекречивании дела – просили не публиковать судебные решения. Но еще мировой судья Мария Бурая признала эти доводы необоснованными и противоречащими принципу открытости судебной информации.
Отметим, что ответственность за административные правонарушения в сфере персональных данных с июня 2025 года ужесточена. В частности, утечка более тысячи записей обойдется организации минимум в три миллиона рублей, еще миллион взыскивается за не сообщение об инциденте в надзорный орган.
По данным аналитиков IT-компании F6, в 2025 году было зафиксировано 230 новых публичных утечек баз данных, содержащих 767 млн строк российских пользователей. В том числе 600 млн записей приходится на опубликованные базы данных четырех госсервисов.