Роскомнадзор оспаривает отказ в штрафе для «Ростелекома» за утечку данных клиентов
Судебное разбирательство между Роскомнадзором и «Ростелекомом» по делу об утечке данных получило продолжение. В декабре 2025 года суд отказал регулятору в привлечении оператора к ответственности из-за истечения срока давности и несоответствия статьи правонарушению. РКН с этим не согласился и подал жалобу.
Роскомнадзор пытается оспорить решение Арбитражного суда Санкт-Петербурга и Ленинградской области в отношении наказания для телеком-оператора «Ростелеком» по делу об утечке данных. Судебное разбирательство касалось кибератаки, произошедшей в январе 2025 года на корпоративный сайт «Ростелекома» и сайт «Закупки ПАО Ростелеком». Из карточки дела следует, что следующее заседание по апелляционной жалобе назначено на 24 марта.
SecPost направил запросы в «Ростелеком» и Роскомнадзор. На момент выхода материала ответ не поступил.
Атака произошла в январе 2025 года. По данным DLBI (Data Leakage & Breach Intelligence), в распоряжении злоумышленников оказались 154 тыс. адресов электронной почты и 101 тыс. телефонных номеров клиентов сервисов «Ростелекома». Атаку связывали с группировкой Silent Crow, также заявлявшей об успешных атаках на сетевую инфраструктуру Росреестра, «Киа Россия и СНГ», «АльфаСтрахование-Жизнь» и «Клуб клиентов Альфа‑Банка». Отметим, что позднее DLBI столкнулась с иском от Роскомнадзора из-за публикации информации об утечках.
Из материалов дела следовало, что «Ростелеком» дважды направлял уведомление в Роскомнадзор о факте неправомерной/случайной передачи персональных данных — сообщения датировались 22 января и 24 января. Из уведомлений следовало, что в сентябре 2024 года произошел киберинцидент: к инфраструктуре был совершен внешний несанкционированный доступ с помощью легитимных учетных записей организации «Кьюсофт» (Qsoft), обслуживающей порталы «Ростелекома». В компании допустили вероятность утечки, указав, что она могла произойти на стороне компании-подрядчика.
В судебной документации не приводится объем утечки, но отмечается, что оказались скомпрометированы ФИО, номера телефонов, адреса электронной почты, сведения о трудовой деятельности и образовании, возраст, адреса места жительства и сведения о семейном положении.
Роскомнадзор провел внеплановую выездную проверку в «Ростелекоме» и обнаружил, что данные, приведенные в слитых базах, соотносились с теми ПДн, которые содержались в базе «1С-Битрикс: Управление сайтом».
В заявление о привлечении к ответственности Роскомнадзор направил в Арбитражный суд 9 сентября 2025 года. Регулятор пытался привлечь к ответственности по части 1 статьи 13.11 КоАП РФ. Эта часть подразумевает «обработку персональных данных в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработку ПДн, несовместимую с целями сбора персональных данных». Суд установил, что действия «Ростелекома» по размещению сведений на интернет-портале, обнаруженные РКН при проведении мониторинга, не подтверждают административное нарушение по этой статье. «Такие действия являются следствием совершенного ранее административного правонарушения, повлекшего за собой использование персональных данных пользователей», — сказано в материалах дела.
Помимо этого, суд посчитал, что ответственность оператора установлена специальными нормами статьи 13.11 КоАП, введенными в действие с 30.05.2025, то есть позднее действия, квалифицированного Роскомнадзором как правонарушение. Также в суде подчеркнули, что административное правонарушение произошло в сентябре 2024 года, когда были скомпрометированы учетные данные подрядчика. Поскольку «Ростелеком» сменил пароли в октябре 2024 года, срок давности привлечения к ответственности за правонарушение уже истек. Это следует из решения об отказе в привлечении к административной ответственности, которое было опубликовано в декабре 2025 года.
Однако сразу после публикации решения Роскомнадзор направил апелляционную жалобу, не согласившись с решением суда. Жалобу приняли к производству 22 января, судебное разбирательство продолжается.
Ранее SecPost писал, что после инцидента «Ростелеком» ввел для подрядчиков требования по информационной безопасности. Новые правила обязывают контрагентов как минимум внедрять базовые процессы и средства защиты.
Отметим, что ранее была оштрафована онлайн-школа Ukids из-за утечки базы данных клиентов масштабом в 500 тыс. строк. Утечка содержала фамилии, имена, номера телефонов, адреса электронной почты, а также служебные комментарии о статусах взаимодействия и корпоративные адреса сотрудников. Компанию оштрафовали 400 тыс. рублей по ч. 14 ст. 13.11 КоАП РФ.
Читайте также
