«Даже Минтруд не смог «перевести стрелки» на подрядчика»: ведомство оштрафовали за утечку данных через подрядчика

В конце января 2026 года Верховный суд России вынес постановление по делу об административном нарушении со стороны федерального Минтруда: ведомство окончательно признали виновным в нарушении законодательства в области персональных данных. Несмотря на доводы министерства о том, что утечка произошла по вине подрядчика, суд принял решение наказать именно Минтруд, обратил внимание ИБ-специалист Алексей Лукацкий.

Инцидент произошел в ноябре 2023 года. Как писал автор телеграм-канала «Кибервойна» Олег Шакиров, ответственность за нападение взяла на себя проукраинская группировка BlackJack — они заявили о краже и удалении 50 ТБ данных министерства. Украинские СМИ утверждали, что поддержку при атаке осуществляла СБУ. 

В августе 2024 года Минтруду присудили штраф в размере 100 тысяч рублей. Из судебных материалов следовало, что ведомство взломали посредством атаки через подрядчика — он имел легитимный доступ к инфраструктуре Минтруда. Злоумышленники получили доступ к подрядчику, а затем через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции. В первоначальном постановлении было указано, что ведомство допустило утечку персональных данных сотрудников на 1,4 тысячи строк.

По словам партнера адвокатского бюро INTELLECT Анны Сунгуровой, в строгом смысле российская правовая система не является прецедентной. Но на практике позиции Верховного Суда РФ оказывают мощное ориентирующее воздействие на нижестоящие суды.

«Это постановление, на мой взгляд, подтверждает и укрепляет уже сложившуюся тенденцию: суды и ранее отклоняли доводы операторов о вине подрядчиков, опираясь, в частности, на часть 5 статьи 6 Закона о персональных данных», — отмечает Сунгурова.

Однако она подчеркивает, что в данном деле Верховный Суд РФ пошёл иным путём — и в этом дополнительная ценность постановления. Во-первых, нужно учитывать, что это позиция Верховного суда — и она фиксирует подход на высшем уровне и делает его ориентиром для нижестоящих инстанций.

«Во-вторых, субъект — федеральное министерство. Если даже Минтруд не смог «перевести стрелки» на подрядчика, у коммерческих организаций в аналогичных ситуациях шансов будет ещё меньше», — отмечает юрист.

Третий фактор — с мая 2025 года вступили в силу поправки в КоАП, которые радикально ужесточают ответственность за утечки, включая оборотные штрафы. В условиях нового регулирования это постановление Верховного Суда РФ станет ключевым аргументом для судов при рассмотрении дел с куда более серьёзными санкциями, считает Сунгурова.

«Поэтому суды с высокой вероятностью будут принимать аналогичные решения. Собственно, они уже это делали, а теперь получили «процессуальное благословение» Верховного Суда РФ», — говорит представитель INTELLECT.

Как отмечает Сунгурова, принципиально важно понимать логику суда: он не сослался на часть 5 статьи 6 Закона о персональных данных, которая устанавливает ответственность оператора за действия лица, которому поручена обработка.

«Верховный Суд РФ не стал говорить: «вы автоматически отвечаете за подрядчика в силу закона». Он пошёл другим, более глубоким путём — через анализ собственных обязанностей оператора», — подчеркивает юрист.

Сунгурова отмечает: оператор не доказал выполнение собственных обязанностей по сохранению персональных данных. ВС РФ прямо указал на статьи 18.1, 19 и 22.1 Закона о персональных данных, которые обязывают оператора осуществлять внутренний контроль и аудит соответствия обработки данных закону, контроль за соблюдением законодательства работниками, а также принимать меры по обеспечению безопасности персональных данных и уровня защищённости информационных систем. Как подчеркивает эксперт, суд констатировал: доказательств того, что министерство приняло такие меры, в материалах дела нет.

Второй важный момент, по мнению Сунгуровой, это бездействие после инцидента. ВС РФ обратил внимание на часть 3.1 статьи 21 Закона: оператор обязан в течение 24 часов уведомить регулятора об инциденте, его причинах и принятых мерах, а в течение 72 часов — предоставить результаты внутреннего расследования и сведения о виновных лицах. Как отмечает Сунгурова, в материалах дела отсутствуют доказательства выполнения Минтрудом этих требований.

«Более того, из материалов дела следует, что министерство подтвердило утечку лишь после того, как должностное лицо контролирующего органа само направило запрос», — отмечает юрист.

Как следствие, вина заключается в бездействии ведомства, а не в чужих действиях, поясняет Сунгурова. Именно поэтому довод о вине подрядчика признали несостоятельным.

«Верховный Суд РФ квалифицировал ситуацию не просто как «оператор отвечает за подрядчика», а как «оператор не сделал того, что обязан был сделать сам»: не обеспечил контроль, не выстроил систему обнаружения инцидентов, не уведомил регулятора, не провёл расследование. Ссылка на подрядчика в такой ситуации не снимает вину», — говорит Сунгурова.

Партнер INTELLECT дает следующий вывод для организаций: даже при наличии договора с подрядчиком оператор обязан иметь собственную систему контроля — аудит обработки данных, мониторинг инцидентов, регламент немедленного реагирования и уведомления. Отсутствие этих мер означает вину оператора вне зависимости от того, на чьей стороне произошла утечка, подчеркивает Сунгурова.

«Договор с подрядчиком — это не способ переложить ответственность, а дополнительное основание для контроля: оператор окажется виноват не потому, что «отвечает за подрядчика», а потому, что не выполнил собственные обязанности», — заключает эксперт.

Младший юрист коллегии адвокатов Pen & Paper Анна Лысенко соглашается с коллегой — у дела есть все шансы стать «прецедентным». Верховный суд четко обозначил, что привлечение подрядчика не освобождает оператора персональных данных от ответственности за нарушения.

«С учётом усиления регуляторного внимания к утечкам ПДн, роста числа дел, связанных с инцидентами у подрядчиков, и готовящихся разъяснений (в том числе методических материалов к приказу № 117), можно прогнозировать, что суды будут всё чаще применять именно позицию Верховного суда — оператор отвечает всегда, а распределение вины между ним и подрядчиком — это уже отдельные правоотношения», — считает Лысенко.

Лысенко отмечает, что суд исходил из того, что обязанность по обеспечению безопасности ПДн прямо возложена законом на оператора. Сам факт нарушения этих обязанностей уже образует состав административного правонарушения, вне зависимости от наличия реального вреда и вне зависимости от того, кто технически допустил «ошибку». ВС фактически отделил публично-правовую ответственность оператора перед государством от гражданско-правовых отношений оператора с подрядчиком.

«Иными словами, если организация решила вынести обработку или защиту ПДн на аутсорсинг, она всё равно продолжает нести риски выбора ненадлежащего подрядчика и сохраняет полный объём обязанностей. Данный подход логически продолжает принцип «непереложимой ответственности» оператора персональных данных», — говорит Лысенко.