Утечка данных через подрядчика не снимает ответственность с оператора, говорится в постановлении Верховного Суда России от 21 января 2026 г. № 5-АД25-119-К2.
Минтруд не смог оспорить штраф за утечку персональных данных. Ответственность за их сохранность несёт оператор информационной системы (в этом случае — ведомство), даже если доступ к данным обеспечивал подрядчик.
Ведомство допустило утечку 1400 строк персональных данных своих сотрудников и их родственников, в числе сведений были Ф. И. О., даты и места рождения, паспортные данные и реквизиты банковских карт.
В суде истец пытался оспорить штраф, назначенный нижестоящими инстанциями. Он утверждал, что рабочая инфраструктура была частично зашифрована вредоносной программой, а атака могла исходить от зарубежных спецслужб. Министерство настаивало, что взлом произошёл через организацию-подрядчика.
Но Верховный суд подтвердил, что именно ведомство выступает оператором персональных данных и несёт полную ответственность за их защиту и контроль за подрядчиками. Судьи также отметили, что министерство не приняло необходимых мер для защиты инфраструктуры, а об утечке узнало только после запроса контролирующего органа
Источник: pravo.ru
Продолжение следует…
