Практика привлечения оператора к ответственности за утечку персональных данных дала сбой

В ответ на пост

Практика привлечения оператора к ответственности за утечку персональных данных дала сбой

Очень удобная позиция у Роскомнадзора - за беспредел, устроенный хакерами, привлекать к ответственности потерпевшего - оператора, которого взломали...

Наконец-то, Арбитражный апелляционный суд не согласился с такой позицией, не стал "проштамповывать" решение РКН и нижестоящего суда, а отменил административную ответственность.

Постановление Девятого арбитражного апелляционного суда № 09АП-62551/2025 от 16.02.2026 по делу № А40-263206/25 (резолютивная часть оглашена 27.01.2026)

Мы помним, что даже федеральные министерства были оштрафованы за утечку.

Помним фразу Верховного Суда "Министерство... предоставило неправомерный открытый доступ к информационным системам персональных данных Министерства..." (это про хакеров...).🤦‍♂️

А "Девятка" напомнила всем, что вообще-то есть ещё и вина:

"Для решения вопроса о привлечении общества к административной ответственности подлежат установлению и доказыванию все элементы состава административного правонарушения, в том числе субъективная сторона правонарушения, как это предусмотрено положениями главы 29 Кодекса Российской Федерации об административных правонарушениях"

"выводы административного органа о наличии единоличной вины ОАО «Российские железные дороги» нарушения законодательства Российской Федерации в области персональных данных, являются преждевременными"

сослалась на ч.1 ст.1.5, ч.1 ст.1.6, ч.2 ст.2.1 КоАП РФ (где про вину) и зацитировала обширно мнение КС РФ (тоже на тему вины):

"вина юридического лица проявляется в виновном действии (бездействии) соответствующих физических лиц, действующих от его имени и допустивших правонарушение (постановления от 17.01.2013 № 1-П и от 25.02.2014 № 4-П, определения от 14.12.2000 N 244-О и от 26.11.2018 N 3062-О). При этом, поскольку административное правонарушение как факт реальной действительности представляет собой единство субъективных и объективных элементов, по фактическим обстоятельствам, установленным на основе исследования и оценки доказательств и отражающим характер и степень опасности нарушения, его последствия, можно определить и характеристики вины нарушителя, в том числе юридического лица (постановление Конституционного Суда Российской Федерации от 14.04.2020 № 17-П)"

👉 Но главное, что сделало РЖД (юристам на заметку):

по факту хакерской атаки РЖД направило информацию в НКЦКИ ФСБ России, и, главное(!) - подало сообщение о преступлении в ДЧ ГУ МВД России по ч. 1 ст. 272.1 УК РФ.

И уголовное дело было возбуждено!

Добытое постановление о возбуждении уголовного дела было подано в апелляционную инстанцию и приобщено к делу.

❗️И вот оно - это уголовное дело, - как раз и дало возможность апелляционному суду указать Роскомнадзору на настоящего виновника утечки - украинских хакеров, а не повторять дебильные уже фразы про "оператор предоставил неправомерный открытый доступ к информационным системам персональных данных...".

А это место в Постановлении Девятки юристы точно оценят:

"Следует учитывать общеизвестные сведения и данные из открытых источников, что с начала проведения специальной военной операции (24.02.2022), вследствие действий со стороны недружественного государства, на территории Российской Федерации наблюдаются сбои в работе программного обеспечения, значительно повысилось количество хакерских атак"

Признание судом каких-то доказательств общеизвестными, - это не просто редкость, а почти эксклюзив.

Наслаждаемся).