РЖД отбилась от штрафа за утечку 17 млн записей: апелляция указала на отсутствие вины оператора Девятый арбитражный апелляционный суд отменил штраф в 150 000 руб., назначенный ОАО «РЖД» по ч. 1 ст. 13.11 КоАП РФ за предполагаемую утечку персональных данных сотрудников. Суд пришел к выводу, что вина общества не доказана, а выводы административного органа были преждевременными. Фабула дела Роскомнадзор по ЦФО выявил в закрытом чате Telegram-канала публикации базы данных с персональными данными сотрудников РЖД (Ф.И.О., e-mail, должность и место работы) объемом более 17 млн строк. По итогам проверки Арбитражный суд г. Москвы 10.11.2025 привлёк РЖД к ответственности по ч. 1 ст. 13.11 КоАП РФ и назначил штраф 150 000 руб. РЖД обжаловало решение, указав на отсутствие доказательств своей вины и на признаки внешнего несанкционированного доступа. Апелляция отменила решение и отказала в привлечении к ответственности. Аргументация суда 1. Наличие уголовного дела о хакерской атаке Ключевым обстоятельством стало возбуждение уголовного дела по ч. 1 ст. 272.1 УК РФ (неправомерный доступ к компьютерной информации). Суд установил, что: «неустановленное лицо, обладая специальными познаниями в области компьютерной техники и программного обеспечения… осуществлен неправомерный доступ и копирование компьютерной информации, содержащей персональные данные сотрудников общества, хранящейся на сервере общества». При этом суд подчеркнул: «в условиях наличия в материалах дела доказательств о возбуждении уголовного дела… выводы административного органа о наличии единоличной вины ОАО „Российские железные дороги“… являются преждевременными». То есть сам факт появления базы в сети еще не доказывает нарушение оператором требований 152-ФЗ. 2. Отсутствие доказанной вины юридического лица Апелляция отдельно напомнила, что для привлечения к ответственности необходимо установить все элементы состава правонарушения, включая субъективную сторону: «Административное правонарушение признается совершенным только при наличии всех предусмотренных законом элементов состава правонарушения». «Лицо подлежит административной ответственности только за те административные правонарушения, в отношении которых установлена его вина». Более того, бремя доказывания лежит на административном органе: «обязанность доказывания обстоятельств, послуживших основанием для привлечения к административной ответственности, возлагается на административный орган». Суд прямо указал на отсутствие доказательств того, что компания не приняла необходимые меры по защите ПДн: «В деле отсутствуют относимые и допустимые доказательства несоблюдения ОАО „Российские железные дороги“ установленных Федеральным законом… № 152-ФЗ „О персональных данных“». Дополнительно апелляция отметила: «отсутствия достоверных доказательств виновности, противоправности действий со стороны общества либо его сотрудников, поскольку соответствующая вина не установлена, лица, причастные к нарушению… не установлены». Суд также принял во внимание общеизвестные обстоятельства: «с начала проведения специальной военной операции… значительно повысилось количество хакерских атак». Это усилило вывод о вероятности внешнего вмешательства, а не внутреннего нарушения режима обработки ПДн. Ключевые выводы для практики 📌 сам по себе факт появления базы персональных данных в сети не означает наличие вины оператора; 📌 бремя доказывания вины полностью лежит на контролирующем органе. Для операторов ПДн это важный ориентир: при инцидентах безопасности принципиально важно фиксировать факты внешнего несанкционированного доступа и обращаться в правоохранительные органы.