Суд не стал штрафовать владельца платформы «Инвестиционные проекты» за утечку данных 70 тыс. клиентов

Арбитражный суд Санкт-Петербурга и Ленинградской области вынес решение по делу № А56-4733/2026 о привлечении ООО «ПКР Аналитика» к административной ответственности по ч. 13 ст. 13.11 КоАП РФ. С заявлением в суд обратилось Управление Роскомнадзора по Северо-Западному федеральному округу. На решение суда обратил внимание автор телеграм-канала «Кибервойна» Олег Шакиров.

Как следует из материалов дела, 5 сентября 2025 года оператор направил в Роскомнадзор уведомление об инциденте персональных данных. Согласно информации, предоставленной компанией, 4 сентября 2025 года ею был выявлен факт неправомерного доступа к SQL-базе данных интернет-ресурса investprojects.info в результате хакерской атаки. В ходе административного расследования Управление установило, что фактически неправомерный доступ и распространение данных произошли 17 августа 2025 года (дата публикации в Telegram-канале группировки Cyber Anarchy Squad).

В объяснениях, направленных в Роскомнадзор письмами от 10.10.2025 № 1146А и от 15.10.2025 № 1169А, компания подтвердила факт неправомерного доступа к информационной системе и последующего распространения в открытом доступе персональных данных 70 тыс. субъектов — представителей (сотрудников) юридических лиц, клиентов ООО «ПКР Аналитика». В состав утечки вошли ФИО, должность, служебный адрес электронной почты и служебный номер телефона.

На основании материалов проверки Управлением в отношении общества был составлен протокол от 07.11.2025 № АП-78/12/1265 об административном правонарушении, предусмотренном ч. 13 ст. 13.11 КоАП РФ (неправомерная передача персональных данных от 10 до 100 тыс. субъектов).

Продолжение ниже

Суд признал компанию виновной в нарушении требований ч. 1 ст. 6 и ст. 7 Федерального закона № 152-ФЗ «О персональных данных». При этом, как указывается в решении суда, административное наказание в виде штрафа было заменено на предупреждение. Данное решение принято на основании ст. 4.1.1 КоАП РФ, так как правонарушение совершено впервые, и доказательств обратного материалы дела не содержат. В удовлетворении ходатайства компании о приостановлении производства по делу судом было отказано.

В комментарии для SecPost Олег Шакиров отметил, что в делах об утечках компании нередко ссылаются на то, что они сами являются пострадавшей стороной, а вина лежит на хакерах. Известны отдельные примеры, когда такой довод помогал избежать штрафа (например, дело «Спортмастера» в 2023 году или недавняя апелляция РЖД). Однако, подчеркивает он, так происходит далеко не всегда: обычно суды даже за утечки, ставшие результатом хакерских атак, накладывают штрафы, приходя к выводу, что организации не выполнили все требования по защите данных в должной мере.

«Наша инфраструктура, по сути, была отформатирована», — исполнительный директор «Орион Телеком» о разрушительной кибератаке в интервью SecPost

Бюджет

Шакиров обращает, что ключевое нововведение сейчас — повышенные размеры штрафов. Раньше административное правонарушение особо не добавляло проблем для жертвы утечки, но теперь наказания могут оказаться куда более ощутимыми.

«Уже есть несколько публичных случаев, когда украинские группировки, сливая данные, призывали Роскомнадзор штрафовать организации. Не думаю, что суды будут делать на это скидку, все-таки они оценивают, нарушила ли организация законодательство в области персональных данных, а не позицию взломщиков», — считает эксперт.

Однако Шакиров допускает, что в перспективе можно представить сценарий, при котором компания, оказавшаяся жертвой утечки по вине злоумышленников, развернет пиар-компанию перед апелляцией — мол, «на кого работает правосудие?».

Ранее SecPost писал о том, что суд впервые оштрафовал российскую онлайн-школу за утечку данных по ужесточенным правилам.