Верховный суд: Минтруд не смог переложить ответственность за утечку персональных данных на подрядчика
Верховный Суд РФ оставил в силе штраф Министерству труда и социальной защиты РФ по части 1 статьи 13.11 КоАП РФ. Причина — утечка персональных данных сотрудников и их родственников. Ведомство пыталось сослаться на подрядную организацию, через инфраструктуру которой злоумышленник получил доступ. Не сработало.
Обстоятельства дела
27 ноября 2023 года Минтруд, являясь оператором персональных данных, допустил неправомерный открытый доступ к своим информационным системам. Результат — распространение персональных данных работников и членов их семей в интернете по нескольким адресам.
Объём утечки — 1400 строк. В массиве: ФИО, даты и места рождения, паспортные данные, адреса регистрации, реквизиты банковских карт, сведения о гражданстве.
Мировой суд 7 августа 2024 года оштрафовал ведомство на 100 000 рублей. Тверской районный суд Москвы 3 февраля 2025 года оставил решение без изменения. Второй кассационный суд общей юрисдикции 1 октября 2025 года — тоже.
Позиция министерства
Защитник Безпрозванных А.Ю. подал жалобу в Верховный Суд. Доводы:
- доступ к ПДн получен через инфраструктуру подрядной организации;
- злоумышленник взломал подрядчика, затем его VPN, после чего подключился к инфраструктуре Минтруда;
- подрядная организация не обеспечила защиту данных;
- следовательно, вины министерства нет.
Позиция Верховного Суда
Суд жалобу отклонила. Ключевые выводы суда:
à Оператор отвечает всегда
Доводы о невиновности через доступ к инфраструктуре подрядчика несостоятельны. Именно оператор ПДн обязан обеспечивать безопасность.
à Факт утечки установлен
Министерство предоставило открытый доступ неограниченному кругу лиц к базам ПДн в интернете. Это само по себе является обработкой, не предусмотренной законом и несовместимой с целями сбора данных.
à Меры не приняты
Закон о ПДн (статьи 18.1, 19, 22.1) требует внутреннего контроля, аудита, контроля за работниками и за уровнем защищённости информационных систем. Доказательств, что Минтруд принимал такие меры, в материалах дела нет.
à Реакция ведомства
Размещение ПДн в интернете подтверждено министерством только после запроса контролирующего органа. Своей инициативы не проявили.
à Порядок соблюдён
Сроки давности, право на защиту, процедура рассмотрения жалоб — нарушений нет. Штраф назначен в пределах санкции (100 000 рублей).
Суть правовой позиции
Для квалификации по части 1 статьи 13.11 КоАП РФ не имеет значения, как именно произошёл несанкционированный доступ — напрямую или через подрядчика. Не имеет значения и то, что доступ осуществлён неустановленным третьим лицом. Важен сам факт неправомерной обработки (распространения) ПДн.
Оператор не доказал, что у него не было реальной возможности соблюсти требования закона. Также не доказал, что принял все зависящие от него меры.
Результат
Постановление мирового судьи от 7 августа 2024 года, решение Тверского районного суда от 3 февраля 2025 года и постановление Второго кассационного суда от 1 октября 2025 года оставлены без изменения. Жалоба защитника Безпрозванных А.Ю. — без удовлетворения.
Номер дела: 5-АД25-119-К2
Дата постановления ВС РФ: 21 января 2026 г.
Подготовлено: ПКО Долгофф