Добавить в корзинуПозвонить
Найти в Дзене
Воропаев | Юрист по гражданским делам
14 подписчиков

Утечка персональных данных через подрядчика: почему отвечает оператор

1 мин
Верховный Суд РФ в постановлении от 21.01.2026 № 5-АД25-119-К2 подтвердил важный принцип: если персональные данные утекли через подрядчика — ответственность всё равно несёт оператор. Поводом стал штраф по ч. 1 ст. 13.11 КоАП РФ за утечку 1400 строк ПДн сотрудников и их родственников. Ведомство ссылалось на кибератаку и компрометацию инфраструктуры подрядчика. Однако суды указали: По ст. 19 Закона № 152-ФЗ оператор обязан принимать правовые, организационные и технические меры защиты. Передача обработки подрядчику не снимает ответственности. Согласно Постановлению Правительства № 1119, в договоре должна быть закреплена обязанность подрядчика обеспечить защиту ПДн. Но даже при наличии такого условия оператор обязан контролировать его исполнение. Факт несанкционированного доступа не отменяет состава правонарушения. Если не доказано, что оператор принял все зависящие меры, ответственность наступает. Сегодня почти каждая компания: И в случае утечки штраф, проверки и репутационные риски приду
Оглавление

Верховный Суд РФ в постановлении от 21.01.2026 № 5-АД25-119-К2 подтвердил важный принцип: если персональные данные утекли через подрядчика — ответственность всё равно несёт оператор. Поводом стал штраф по ч. 1 ст. 13.11 КоАП РФ за утечку 1400 строк ПДн сотрудников и их родственников. Ведомство ссылалось на кибератаку и компрометацию инфраструктуры подрядчика. Однако суды указали:

1. Оператор отвечает за безопасность ПДн

По ст. 19 Закона № 152-ФЗ оператор обязан принимать правовые, организационные и технические меры защиты. Передача обработки подрядчику не снимает ответственности.

2. Договор с подрядчиком — не формальность

Согласно Постановлению Правительства № 1119, в договоре должна быть закреплена обязанность подрядчика обеспечить защиту ПДн. Но даже при наличии такого условия оператор обязан контролировать его исполнение.

3. «Нас взломали» — не освобождает

Факт несанкционированного доступа не отменяет состава правонарушения. Если не доказано, что оператор принял все зависящие меры, ответственность наступает.

Сегодня почти каждая компания:

  • использует аутсорсинг ИТ;
  • хранит данные в облаке;
  • передаёт ПДн подрядчикам.

И в случае утечки штраф, проверки и репутационные риски придут к вам — как к оператору. С 2026 года требования к защите усиливаются, включая взаимодействие с ГоССОПКА и новые регламенты ФСТЭК для госструктур. Тренд очевиден: ответственность ужесточается.

Что должен проверить бизнес уже сейчас

✔ Есть ли корректный договор поручения на обработку ПДн
✔ Закреплена ли обязанность по защите и ответственность подрядчика
✔ Проведена ли оценка рисков и категорирование ИСПДн
✔ Назначен ли ответственный за обработку ПДн
✔ Разработаны ли внутренние регламенты и политика безопасности

Когда к нам обращаются

Обычно в двух ситуациях:

  • после инцидента и получения запроса Роскомнадзора;
  • при проверке или угрозе штрафа.

Но выгоднее работать на опережение — аудит документов обходится дешевле, чем административное дело.

Я занимаюсь:

  • аудитом обработки персональных данных,
  • подготовкой договоров с подрядчиками,
  • разработкой регламентов и политики ПДн,
  • сопровождением дел по ст. 13.11 КоАП РФ.

Если есть подрядчики, облака или доступ к данным извне — лучше сначала проверить документы и схему ответственности. Это как раз тот случай, когда профилактика дешевле штрафа.

Мой телеграмм: 8 (999)089-80-84