10.02.2026

Верховный Суд РФ чётко определил: ответственность за утечки персональных данных всегда несёт оператор информационной системы – организация или ведомство, которое изначально собирает и обрабатывает эти данные. Даже если доступ к информации обеспечивала сторонняя организация‑подрядчик, конечная ответственность остаётся за оператором. Такое решение было принято в ходе разбирательства с участием Министерства труда, которое допустило утечку почти полутора тысяч строк о своих сотрудниках и их родных, а затем попыталось переложить ответственность на подрядчика.

В утечку попали ФИО, даты и места рождения, паспортные данные, реквизиты банковских карт. Министерство труда предположило, что атака могла исходить от иностранных разведывательных служб. Нижестоящие судебные инстанции наложили на подрядчика штрафные санкции, против которых тот обратился в Верховный Суд, который подтвердил, что именно Минтруд, являясь оператором персональных данных, несет ответственность за произошедшую утечку. В постановлении суда отмечено, что министерство не предприняло адекватных мер для обеспечения безопасности своей инфраструктуры и узнало о случившемся инциденте только после обращения надзорного ведомства. Это решение Верховного Суда может прецедентным. В нем подчеркнута необходимость для операторов персональных данных выработки четких и понятных регламентов сотрудничества с подрядчиками. Опрошенные экспертами «Коммерсантом» специалисты полагают, что данное судебное решение может означать, что операторам необходимо осознавать полную ответственность за все, что происходит с обрабатываемыми персональными данными, независимо от того, каких партнеров они привлекают. Согласно законодательству, с сентября 2025 года руководители государственных структур обязаны активно участвовать в обнаружении и нейтрализации кибератак. Дополнительно, с марта 2026 года будут введены обновленные и более строгие нормы Федеральной службы по техническому и экспортному контролю в отношении защиты информации в государственных органах, направленные на усиление надзора за обработкой персональных данных.

Разъяснение Верховного Cуда укрепляет правовую определённость в вопросах ответственности за утечки, стимулирует операторов к более серьёзному подходу к защите данных, ограничивает возможности перекладывания ответственности на подрядчиков и в целом повышает уровень защиты персональных данных граждан.