Арбитражный суд города Москвы в ноябре 2025 года рассмотрел дело №А40-263206/25-94-1972, в котором общество ОАО «Российские железные дороги» оспаривало привлечении его к административной ответственности на основании ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях (КоАП) за утечку персональных данных (ПДн) сотрудников.
Суть спора
В ходе мониторинга сети Интернет в январе 2025 года был выявлен факт публикации пользователем в закрытом чате телеграмм-канала фрагмента архива с данными сотрудников ОАО «Российские железные дороги», предположительно, скопированных из адресной книги сервисного портала общества, являющейся общедоступным источником (справочником) общества.
В феврале 2025 года в телеграмм-канале был выявлен очередной факт публикации архива с данными работников общества.
В феврале 2025 года Роскомнадзор направил в адрес общества ОАО «РЖД» запрос о представлении информации о факте неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов ПДн.
Согласно представленной обществом ОАО «РЖД» информации, компьютерные атаки, а также доступ неустановленных лиц к его информационным системам зафиксированы не были.
Внеплановая выездная проверка в отношении ОАО «РЖД» была проведена в июне 2025 года. Управление Роскомнадзора по Центральному федеральному округу обратилось в Арбитражный суд г. Москвы с требованием о привлечении ОАО «РЖД» к административной ответственности на основании ч.1 ст.13.11 КоАП.
Позиция Арбитражного суда города Москвы
Суд отметил, что представленная в материалы дела Политика безопасности ОАО «РЖД» сама по себе не подтверждает факт её соблюдения привлекаемым лицом или его сотрудниками, и не может свидетельствовать об отсутствии в действиях общества события административного правонарушения.
Доказательств того, что обществом были приняты все зависящие от него меры по соблюдению установленных правил и норм, представлено не было и не было установлено судом (ст. 2.1 КоАП).
Суд привлек ОАО «РЖД» к административной ответственности по части 1 статьи 13.11 КоАП РФ с назначением административного наказания в виде штрафа в размере 150 тысяч рублей.
Позиция Девятого арбитражного апелляционного суда
Девятый арбитражный апелляционный суд в январе 2026 года отметил, что обществом по фактам утечек была направлена информация в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) ФСБ России; и было подано сообщение о преступлении в Дежурную часть Главного управления МВД России.
Суд апелляционной инстанции, в целях полного и всестороннего изучения обстоятельств дела и проверки обоснованности доводов ОАО «Российские железные дороги», приобщил к материалам дела представленное обществом постановление о возбуждении уголовного дела.
Суд отметил, что из содержания постановления о возбуждении уголовного дела по признакам преступления, предусмотренного ч.1 ст.272.1 Уголовного кодекса РФ следует, что неустановленное лицо, обладая специальными познаниями в области компьютерной техники и программного обеспечения, находясь в неустановленном месте, имея умысел, направленный на неправомерный доступ к охраняемой законом компьютерной информации, содержащей персональные данные (в том числе на её копирование), - используя неустановленное следствием компьютерное оборудование с программным обеспечением, позволяющим осуществить посещение веб-страниц, а также специальную программу, предназначенную для несанкционированного копирования компьютерной информации и нейтрализации защиты компьютерной информации; и пользуясь услугами неустановленного следствием провайдера, с неустановленного в ходе следствия IP-адреса - осуществило неправомерный доступ и копирование хранящейся на сервере компьютерной информации, содержащей ПДн сотрудников общества.
Суд апелляционной инстанции пришел к выводу о том, что в рассматриваемом случае, в условиях наличия в материалах дела доказательств о возбуждении уголовного дела по признакам преступления, предусмотренного ч.1 ст.272.1 Уголовного кодекса РФ - выводы административного органа о наличии единоличной вины ОАО «Российские железные дороги» нарушения законодательства РФ в области персональных данных, являются преждевременными.
Судом было принято во внимание:
- Наличие возбужденного уголовного дела (итоговый судебный акт - приговор, устанавливающий вину в рамках уголовного судопроизводства, не принят);
- Отсутствия достоверных доказательств виновности, противоправности действий со стороны общества либо его сотрудников, поскольку соответствующая вина не установлена, лица, причастные к нарушению охраняемых законом прав сотрудников общества не установлены.
По мнению суда, в деле отсутствуют относимые и допустимые доказательства несоблюдения ОАО «РЖД» установленных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
Суд отменил решение Арбитражного суда г. Москвы. В удовлетворении заявления Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу о привлечении ОАО «РЖД» к административной ответственности, предусмотренной ч. 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях было отказано.
В Арбитражный суд Московского округа обжалование не подавалось.
Мой комментарий: Данное дело показывает, что в условиях доказанной целенаправленной хакерской атаки с использованием вредоносного ПО, факт утечки сам по себе не является безусловным основанием для штрафа по ч.1 ст.13.11 КоАП РФ.
Решающим доказательством невиновности РЖД стало:
- Своевременное обращение в правоохранительные органы (МВД, ФСБ);
- Возбуждение уголовного дела (ст. 272.1 УК РФ), подтверждающее внешнее вмешательство.
Апелляционная инстанция признала, что вина оператора отсутствует, если нарушение стало результатом целевой атаки хакеров, а не следствием халатности сотрудников или отсутствия базовых организационных мер.
Таким образом, российским компаниям в случае утечек (особенно в контексте хакерских атак) необходимо:
- Фиксировать факт атаки (акты, логи);
- Подавать заявления в правоохранительные органы для возбуждения уголовного дела;
- Информировать НКЦКИ ФСБ.
Это даёт шанс перевести спор из плоскости «КоАП (вина оператора)» в плоскость «УК (вина неустановленного хакера)», и избежать административного штрафа, даже если утечка реально произошла.
Данное судебное решение не означает, что любой оператор ПДн автоматически освобождается от ответственности при атаке. Общество ОАО «РЖД», вероятно, смогло доказать, что его меры защиты были адекватными (иначе в возбуждении уголовного дела было бы отказано, а общество признали бы виновным). Для полной картины не хватает текста самого постановления о возбуждении уголовного дела - именно в нём содержатся доказательства использования «специальной программы для нейтрализации защиты», что и спасло РЖД.
Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/
