За слив ПД наказали... министерство!

Вот уже целое федеральное ведомство пострадало за легкомысленное отношение к вопросам защиты персональных данных. Соответствующее решение было вынесено судами нескольких уровней и окончательно подтверждено постановлением Верховного Суда Российской Федерации от 21 января 2026 года № 5-АД25-119-К2.

Предметом разбирательства стало дело об административном правонарушении, в котором Министерство труда и социальной защиты РФ выступило в роли ответчика. Суть претензий к ведомству заключалась в том, что оно допустило утечку персональных данных. В ноябре 2023 года в открытом доступе в интернете оказались личные данные сотрудников Минтруда и их родственников. С точки зрения надзорных органов, министерство, являясь оператором персональных данных, не обеспечило их сохранность, что привело к распространению информации неограниченному кругу лиц.

Дело разбирал мировой судья судебного участка № 370 Тверского района города Москвы, который квалифицировал его по части 1 статьи 13.11 КоАП РФ. Что предусматривает ответственность за обработку персональных данных в случаях, не предусмотренных законом, или обработку, несовместимую с целями сбора таких данных. В августе 2024 года министерству был назначен штраф в размере 100 тысяч рублей.

Минтруд платить не захотел, вину не признал и пытался оспорить это решение в Тверском районном суде города Москвы и во Втором кассационном суде общей юрисдикции, однако обе инстанции оставили штраф в силе, подтвердив законность выводов мирового судьи. Это произошло в феврале и октябре 2025 года соответственно.

Не согласившись с таким положением дел, министерство подало жалобу в Верховный Суд РФ. Главный аргумент защиты строился на том, что само ведомство невиновно в утечке. По его версии, доступ злоумышленника к данным стал возможен из-за «недостаточной защиты информации» со стороны некой подрядной организации, которая работала с инфраструктурой министерства. Защита настаивала на том, что ответственность должен нести подрядчик.

Однако свалить вину на третьих лиц не получилось. ВС РФ, изучив материалы дела и доводы жалобы, не нашёл оснований для отмены предыдущих решений. Высшая судебная инстанция указала, что по закону именно оператор персональных данных, то есть министерство, обязан принимать все необходимые меры для защиты информации и контролировать их выполнение. Закон возлагает на оператора обязанность не только обеспечить безопасность данных, но и в случае инцидента немедленно, в течение суток, уведомить уполномоченный орган.

Однако, как выяснилось, министерство никак не отреагировало на утечку самостоятельно. Оно подтвердило сам факт размещения своих данных в интернете только после того, как получило официальный запрос от контролирующих структур. Это свидетельствует о том, что должного внутреннего контроля и аудита безопасности в Минтруде налажено не было.

Таким образом, доводы о вине подрядной организации не освобождают само министерство от ответственности за ненадлежащее выполнение своих прямых обязанностей как оператора данных. Верховный Суд подчеркнул, что все предыдущие инстанции разобрали дело полно и всесторонне, нарушений процессуальных норм допущено не было, а наказание назначено в пределах санкции статьи. В итоге в январе 2026 года высшая инстанция оставила все обжалуемые судебные акты без изменения, а жалобу Министерства труда и социальной защиты РФ – без удовлетворения. Штраф в 100 тысяч рублей остался в силе.

Ситуацию непросто прокомментировать. Если так обстоят дела с защитой информации в федеральном ведомстве, которое, по определению, имеет и средства, и возможности, и полный контроль над всеми цифровыми процессами, то что говорить про всех остальных. В очередной раз мы убедились, что странная идея – а пусть компания, которая допустила слив данных, сама на себя заявит в полицию – не работает и работать не будет. С повинной головой не пришёл даже Минтруд, который, вроде бы, должен быть образцом законопослушности.

Что уж говорить про банки, службы доставки или онлайн-магазины. Или про мессенджер Мах, который до сих пор никто не знает как писать – латиницей или кириллицей. И тем более неизвестно, кому он конкретно принадлежит, какие люди за него отвечают и где находятся его серверы…

Искренне Ваш,
За-Строй.РФ

При полном и/или частичном копировании данного материала, для последующего размещения его на стороннем ресурсе, обратная, индексируемая ссылка на источник обязательна!