Помните историю с утечкой данных сотрудников РЖД? В открытом доступе оказалась база более чем из 17 млн записей с ФИО, должностями, местом работы и адресами электронной почты. После обнаружения информации Роскомнадзор начал проверку и направил компании запрос о факте неправомерного доступа к персональным данным.
Реакция РЖД, цитирую судебный акт:
Согласно представленной ОАО «РЖД» информации (письмо от 21.02.2025 №ИСХ-4181) компьютерные атаки, а также доступ неустановленных лиц к информационным системам ОАО «РЖД» не зафиксированы.
✏️ Кстати, бизнесу стоит обратить внимание на этот момент: отвечать на запросы Роскомнадзора нужно максимально аккуратно и только после внутреннего расследования.
Материалы были направлены в суд, и первая инстанция привлекла компанию к ответственности по ч. 1 ст. 13.11 КоАП РФ, назначив штраф 150 тыс. рублей.
Сумма небольшая для РЖД, но репутационные риски несоизмеримы.
Апелляция отменила решение, указав, что распространение данных стало результатом целенаправленной хакерской атаки, по факту которой возбуждено уголовное дело. При этом Роскомнадзор не смог доказать, какие именно меры защиты оператор должен был принять, но не принял.
➡️ Кассация поддержала этот вывод. Доводы арбитражного суда округа:
1️⃣ Бесспорных доказательств нарушения РЖД требований законодательства о персональных данных представлено не было. Утечка произошла вследствие действий третьих лиц, а виновных действий или бездействия сотрудников компании не установлено.
То есть сам факт утечки еще не означает автоматическую вину оператора персональных данных.
2️⃣ В деянии РЖД отсутствует субъективная сторона административного правонарушения, предусмотренного частью 1 статьи 13.11 КоАП РФ (вина).
➡️ Недоказанность наличия состава административного правонарушения является обстоятельством, исключающим производство по делу об административном правонарушении, и влечет невозможность привлечения лица к административной ответственности.
3️⃣ Неустранимые сомнения трактуются в пользу лица, привлекаемого к ответственности.
Конечно, у Роскомнадзора еще остается возможность обратиться в Верховный Суд РФ, поэтому окончательную точку ставить рано. Но уже сейчас можно сделать несколько важных выводов для бизнеса:
▪️ Во-первых, наличие кибератаки само по себе не означает, что компания обязательно будет оштрафована.
▪️ Во-вторых, крайне важно иметь документы, подтверждающие выполнение требований по защите персональных данных: локальные акты, модели угроз, результаты аудитов, журналы событий, сведения о проведенных мероприятиях по безопасности. Именно они могут стать решающими доказательствами в суде.
▪️ И, наконец, не стоит отвечать на запросы Роскомнадзора формально. Очень часто именно первые объяснения компании потом становятся ключевыми доказательствами в деле.
‼️ Я уже давно говорю клиентам: защита персональных данных — это не про галочки ради проверок. Это про умение в случае инцидента показать, что вы сделали все разумно возможное.
Меня радует, что многие к этому прислушиваются, и даже пакет документов для сайта часто становится результатом полноценного аудита структуры бизнеса, чтобы содержание документов выдержало все проверки.
Если у вас есть вопросы по вашим документам на сайте, то пишите, я на связи 🙌
