⚖️ Утечка ПДн

⚖️ Утечка ПДн. Милионный штраф заменён на предупреждение.

Решение Арбитражного суда Кемеровской области от 14.04.2026 г. по делу №А27-23786/2025

Хакеры получили доступ к сетевому оборудованию, физическим серверам и виртуальной инфраструктуре организации, к персональным данным в количестве 4226 строк.

Факт неправомерного доступа к ПДн организация подтвердила сама: направила в Роскомнадзор все положенные уведомления и провела расследования.

Роскомнадзору оставалось лишь возбудить административное дело по ч.12 ст.13.11 КоАП РФ, по которой предусмотрен штраф для юр.лиц - от 3 000 000 до 5 000 000 рублей.

Арбитражный суд назначил наказание в виде предупреждения.

И это при том, что организация делала нервы судье - затягивала процесс.

Арбитражный суд дал важные разъяснения - чем состав ст.272.1 УК РФ принципиально отличается от ч.12 ст.13.11 КоАП РФ.

Ранее мы давали разбор дела, в котором оператор смог избежать наказания по 13.11 КоАП РФ в т.ч. ссылкой на возбуждённое уголовное дело.

В этом кейсе данный финт не прошёл.

Суд указал:

"Статья 272.1 УК РФ криминализирует незаконные действия с компьютерной информацией, содержащей персональные данные."

"для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), который содержит персональные данные, полученные незаконным путем"

"Статья 272.1 УК РФ применяется только к данным, полученным незаконным путём: через неправомерный доступ к компьютерной системе (взлом, использование чужих учётных данных), путём вмешательства в функционирование систем хранения и обработки данных или другими незаконными способами, например, подкуп сотрудника с доступом к базе данных."

Поэтому суд посчитал, что организация сколько угодно может быть потерпевшей в рамках уголовного дела, но по ч.11 ст.13.11 КоАП РФ будет отвечать независимо от этого.

❗️Вопиющие нарушения в защите ИСПДн, отмеченные судом:

👉 в ИС сохранялись активные учетные записи уволенных сотрудников.

Через одну из таких записей хакеры и вломились.

👉 пароли от учетных записей не менялись годами

👉 развёрнутые на серверах ПО имели критические уязвимости, которые организация не устраняла

👉 некорректная конфигурация системы безопасности в операционной системе - пользователи могли сами себе повышать свои привилегии без ввода пароля

👉 простота паролей пользователей была такой, что пароль можно было подобрать по словарю либо простым перебором

"общество крайне пренебрежительно относилось к требованиям информационной безопасности..."

И, тем не менее, - всё равно предупреждение.

Суд применил ч.1 ст.4.1.1. КоАП РФ - о замене штрафа на предупреждение за впервые совершенное правонарушение, упомянул про "конституционный принцип соразмерности административного наказания" и учёл, что организация включена в Единый реестр субъектов малого и среднего предпринимательства.

Роскомнадзор возражал, что, якобы, ст.4.1.1 КоАП РФ "в данном случае не подлежат применению, поскольку правонарушение выявлено не в рамках осуществления государственного контроля (надзора), муниципального контроля"

Суд этот довод отыгнорил...

Не будем выяснять, так ли не прав Роскомнадзор в этом утверждении, но очевидно, что здравомыслие на стороне суда.

Запомним...)

ПравоВУЗа в Макс