Суд отказал Роскомнадзору в штрафе для «Ростелекома» за утечку данных подрядчика
Арбитражный суд Санкт-Петербурга и Ленинградской области, а затем Тринадцатый арбитражный апелляционный суд отказали Управлению Роскомнадзора по Северо-Западному федеральному округу в привлечении «Ростелекома» к административной ответственности за утечку данных. Как сообщает TAdviser со ссылкой на электронные копии судебных актов, иски подавались в 2025 и 2026 годах.
Основанием для разбирательства стал инцидент, о котором стало известно в начале 2025 года. Как указывается в материалах дела, хакерская группировка заявила о хищении данных «Ростелекома»: были выкачаны базы сайтов company.rt.ru и zakupki.rostelecom.ru, получен доступ к 154 000 уникальных адресов электронной почты и 101 000 уникальных номеров телефонов.
В суде «Ростелеком» возражал против требований, заявляя об отсутствии вины, истечении срока давности, а также о том, что на момент совершения деяний они не считались административным правонарушением. Как сообщается в судебных актах, инцидент был связан с внешним несанкционированным доступом с использованием легитимных учетных записей организации ООО «Кьюсофт» (QSoft), обслуживавшей интернет-порталы «Ростелекома».
В своих уведомлениях в Роскомнадзор «Ростелеком» указал, что само нарушение произошло ещё в сентябре 2024 года. Компания самостоятельно приняла меры: блокировка подрядчика, ротация учётных данных, ужесточение парольной политики. Также информация об инциденте была направлена в НКЦКИ ФСБ России, проведено расследование, функционирование порталов восстановлено.
Ранее SecPost писал о том, что Роскомнадзор подал апелляционную жалобу, чтобы оспорить решение суда об отказе в штрафе для «Ростелекома» за утечку персональных данных клиентов. В декабре 2025 года суд отказал регулятору из-за истечения срока давности и несоответствия статьи правонарушению.
Суд установил, что датой начала правонарушения следует считать 21.09.2024, а датой окончания — 04.10.2024. Согласно ч. 1 ст. 4.5 КоАП РФ, для статьи 13.11 КоАП РФ (нарушение законодательства о персональных данных) установлен специальный срок давности 1 год. На момент рассмотрения дела этот срок истёк.
Кроме того, суд указал, что ответственность оператора, на которую ссылался Роскомнадзор, введена нормами статьи 13.11 КоАП РФ, действующими с 30.05.2025, то есть позднее действий «Ростелекома». Таким образом, на дату составления протокола вменяемые действия не являлись противоправными. Суд апелляционной инстанции в апреле 2026 года поддержал это решение.
Как отмечается в публикации, часть 1 статьи 13.11 КоАП РФ предусматривает для юрлиц штраф от 150 до 300 тыс. рублей. Исков к компании «Кьюсофт» в картотеке арбитражных дел не зарегистрировано.
