Верховный Суд РФ подтвердил: ответственность за утечку персональных данных через подрядчика несет оператор

Верховный Суд РФ подтвердил: ответственность за утечку персональных данных через подрядчика несет оператор

21 января 2026 года Верховный Суд РФ оставил в силе решение о привлечении Министерства труда и социальной защиты Российской Федерации к административной ответственности за утечку персональных данных сотрудников. Инцидент произошел по вине подрядной организации, но суды всех инстанций признали, что именно оператор обязан отвечать за действия привлеченных лиц и обеспечивать безопасность обрабатываемой информации.

Фабула дела

27 ноября 2023 года в сети «Интернет» в Telegram-каналах была опубликована база данных, содержащая персональные сведения сотрудников Минтруда России: ФИО, даты и места рождения, паспортные данные, адреса регистрации, сведения о родственниках и реквизиты банковских карт.

В ходе разбирательства Министерство указало, что доступ к инфраструктуре ведомства был получен злоумышленниками через подрядную организацию. Согласно позиции Минтруда, подрядчик имел легитимный доступ к системам Министерства на основании договора, но не обеспечил защиту собственной инфраструктуры, что позволило третьим лицам подключиться к VPN подрядчика и атаковать ресурсы ведомства.

Изучив материалы дела, Верховный Суд не нашел оснований для удовлетворения жалобы Министерства. Доводы защитников об отсутствии состава правонарушения и неверном определении субъекта ответственности были отклонены как противоречащие нормам Федерального закона № 152-ФЗ «О персональных данных».

Суды указали, что в силу требований закона именно оператор (Минтруд России) обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных. Действующее законодательство прямо устанавливает, что за действия подрядчика, в том числе повлекшие несанкционированное распространение персональных данных, ответственным лицом признается оператор как субъект, организовавший такую обработку. Привлечение подрядчика не освобождает государственный орган от этой обязанности: договор может распределять зоны ответственности, но не снимает с оператора публично-правовые обязательства перед субъектами данных и надзорными органами.

Действия Министерства были квалифицированы по части 1 статьи 13.11 КоАП РФ (обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора данных) в редакции, действовавшей на момент инцидента (ноябрь 2023 года). Штраф для юридического лица по данной норме составил 100 000 рублей.

Данное дело является важным прецедентом для всех операторов персональных данных, привлекающих подрядные организации для обработки данных. Суды подтвердили, что:

1. Наличие договора с подрядчиком не является основанием для освобождения оператора от ответственности.

2. Оператор обязан контролировать не только свои системы, но и то, насколько надежно подрядчик защищает доступ к инфраструктуре заказчика.

3. Возможность предъявления регрессных требований к подрядчику зависит исключительно от формулировок заключенного договора и доказанности его вины.

Особое внимание необходимо обратить на изменение законодательства. На момент совершения правонарушения действовала «старая» редакция КоАП, предусматривающая штраф до 100 тысяч рублей. Если бы подобный инцидент произошел после вступления в силу новых норм об ужесточении ответственности за утечки персональных данных, размер штрафа для государственного органа мог бы быть кратно выше.

Реквизиты решения: Постановление Верховного Суда РФ от 21.01.2026 № 5-АД25-119-К2