Суд снял с РЖД штраф за утечку: спросили не за факт, а за меры защиты

Кассация согласилась, что компания не отвечает за последствия кибератаки, если регулятор не показал, чего именно не хватало в защите.
10 июня 2026 года кассационная инстанция оставила в силе решение Девятого арбитражного апелляционного суда, отменившего штраф РЖД в 150 тыс. руб. по ст. 13.11 КоАП за утечку персональных данных сотрудников. Логика судов: утечка стала результатом внешней кибератаки, противостоять которой компания не могла, а Роскомнадзор не доказал, какие конкретно меры защиты у оператора отсутствовали. Роскомнадзор вправе обжаловать в Верховном суде. По информации secpost.ru, это маркерное дело: оценка сместилась с самого факта утечки на достаточность мер оператора.
Для владельца сайта вывод практический: одного «нас взломали» мало в обе стороны. Защищает не везение, а доказуемый набор мер — описанные процессы обработки, реестр операторов, согласия, документы по безопасности. Именно их наличие и проверяют в спорах. Что из этого реально есть на вашем ресурсе, видно при проверке на соответствие 152-ФЗ.
Материал носит информационный характер и не является юридической консультацией. Суммы и нормы приведены на дату публикации; законодательство меняется — сверяйтесь с действующей редакцией.