Утечка данных ≠ автоматическая вина компании? Девятый арбитражный апелляционный суд отменил штраф ОАО «РЖД» за утечку данных сотрудников. Роскомнадзор посчитал, что сам факт утечки означает нарушение требований по защите персональных данных и оштрафовал компанию на 150 тыс. рублей. Но апелляция заняла принципиально другую позицию. Суд указал: сам факт утечки ещё не означает автоматическую вину оператора данных. 🔗Административная ответственность возможна только в том случае, если доказано, что компания не приняла необходимые меры защиты. Раньше логика проверок часто выглядела проще: если данные утекли — значит, система была плохо защищена. В этом деле суд фактически показал, что важно доказывать не сам факт инцидента, а наличие вины компании. ➡️ Решение стало возможным потому, что РЖД смогли подтвердить: у компании действительно были внедрены и организационные, и технические меры защиты данных — не только формально, но и в реальности. Это позволило показать, что компания не бездействовала, а столкнулась с внешней кибератакой. Но все напрямую зависит от того, насколько заранее выстроена система защиты данных. 🌱Если компания может подтвердить, что: • внедрены технические и организационные меры защиты • работает система информационной безопасности • проводится анализ рисков • инциденты фиксируются и расследуются + если компания делает существенные инвестиции в информационную безопасность (например, расходы на уровне около 1% оборота компании), то это может быть рассмотрено как подтверждение того, что оператор принял все зависящие от него меры защиты. — и даже в случае кибератаки риски административной ответственности могут существенно снижаться. ⭕️Именно поэтому сегодня защита персональных данных — это элемент юридической защиты бизнеса в цифровой среде, где кибератаки становятся всё более частым явлением.