Обзор судебной практики по нарушениям в сфере персональных данных. Кейсы за 2024–2026 годы
Роскомнадзор штрафует за выброшенные документы, неправильно оформленное согласие и ошибки сотрудников при работе с персданными. Но не каждое нарушение влечет наказание. В обзоре – 10 дел о привлечении к ответственности по статье 13.11 КоАП. Разобрались, когда штрафа не избежать, а когда есть шанс отстоять свою позицию.
За нарушение правил работы с персданными могут привлечь к административной ответственности. Ключевое значение имеют не только сам факт нарушения, но и наличие вины оператора, доказательства причинения вреда, соблюдение сроков давности, а также правильная квалификация деяния. Суды оценивают, принял ли оператор все зависящие от него меры для соблюдения закона, и учитывают контекст обработки данных. На основе анализа судебной практики показали, какие аргументы помогли компаниям и гражданам избежать штрафа, а какие, напротив, привели к привлечению к ответственности.
Правопреемник отвечает за нарушения правопредшественником правил хранения персданных
Региональный центр занятости выбросил на улицу 11 папок с документами, в которых были персональные данные. Учреждение привлекли к ответственности по части 6 статьи 13.11 КоАП. Центр не согласился и обратился в суд.
Позиция заявителя: учреждение документы не выбрасывало. Это сделал правопредшественник центра занятости. Оснований для привлечения к ответственности нет.
Аргументы госоргана: учреждение отвечает за действия правопредшественника, как за свои собственные.
Решения судов: центр занятости создан путем реорганизации в форме слияния и является полным правопреемником предыдущего учреждения. К новому учреждению перешла и обязанность по обеспечению сохранности архивов и персональных данных. При реорганизации в форме слияния ответственность за правонарушение, совершенное правопредшественником, несет вновь возникшее юридическое лицо. Выброшенные документы по срокам еще не подлежали уничтожению, а значит, должны были храниться надлежащим образом.
Ирина Кузнецова
юрист, эксперт по договорной работе
За нарушение правил работы с персданными могут привлечь к административной ответственности. Ключевое значение имеют не только сам факт нарушения, но и наличие вины оператора, доказательства причинения вреда, соблюдение сроков давности, а также правильная квалификация деяния. Суды оценивают, принял ли оператор все зависящие от него меры для соблюдения закона, и учитывают контекст обработки данных. На основе анализа судебной практики показали, какие аргументы помогли компаниям и гражданам избежать штрафа, а какие, напротив, привели к привлечению к ответственности.
Правопреемник отвечает за нарушения правопредшественником правил хранения персданных
Региональный центр занятости выбросил на улицу 11 папок с документами, в которых были персональные данные. Учреждение привлекли к ответственности по части 6 статьи 13.11 КоАП. Центр не согласился и обратился в суд.
Позиция заявителя: учреждение документы не выбрасывало. Это сделал правопредшественник центра занятости. Оснований для привлечения к ответственности нет.
Аргументы госоргана: учреждение отвечает за действия правопредшественника, как за свои собственные.
Решения судов: центр занятости создан путем реорганизации в форме слияния и является полным правопреемником предыдущего учреждения. К новому учреждению перешла и обязанность по обеспечению сохранности архивов и персональных данных. При реорганизации в форме слияния ответственность за правонарушение, совершенное правопредшественником, несет вновь возникшее юридическое лицо. Выброшенные документы по срокам еще не подлежали уничтожению, а значит, должны были храниться надлежащим образом.
Реквизиты: постановление Первого кассационного суда общей юрисдикции от 12.03.2025
по делу № 16-529/2025.
Совет
Учитывайте риски правопреемства при реорганизации
При реорганизации юридического лица в форме слияния правопреемник автоматически несет ответственность за нарушения, допущенные предшественником. Это правило действует независимо от того, знал ли правопреемник о нарушении до завершения реорганизации (ч. 7 ст. 2.10 КоАП). Поэтому перед реорганизацией проведите аудит документации, особенно с длительными сроками хранения, и устраните выявленные нарушения. В противном случае штраф получит уже реорганизованная компания.
Наличие ЛНА не спасет от ответственности при утечке персданных
На таможне обнаружили, что общество пыталось вывезти в Узбекистан оригиналы договоров о полной материальной ответственности с персональными данными девяти работников ФГБУ.
В ходе проверки Роскомнадзор установил, что данные документы учреждение выбросило. Учреждение посчитало, что оснований для административной ответственности нет.
Позиция заявителя: документы выбыли из-за неосторожности ведущего бухгалтера, которая по ошибке сдала оригиналы в макулатуру, что подтверждается материалами внутренней проверки и объяснительной работника. В учреждении действуют все необходимые локальные акты о порядке работы с персональными данными, назначены ответственные лица, а сотрудник прошел обучение и инструктаж. Ошибочные действия конкретного работника свидетельствуют о том, что учреждение приняло все зависящие от него меры для соблюдения требований законодательства. Состав правонарушения отсутствует.
Аргументы госоргана: персональные данные работников оказались за пределами организации и были доступны неограниченному кругу лиц. Учреждение, как оператор персональных данных, не обеспечило условия их хранения. Факт утечки доказывает, что внутренний контроль в учреждении не сработал.
Решения судов: суды двух инстанций поддержали Роскомнадзор. Наличие локальных актов и обучение сотрудников не освобождают юридическое лицо от ответственности, если реального контроля за соблюдением правил обработки персональных данных нет. Учреждение не доказало, что приняло все зависящие от него меры для предотвращения нарушения. Сам факт ошибочных действий работника не исключает вины юридического лица, поскольку именно учреждение несет ответственность за организацию работы с персональными данными и контроль за действиями сотрудников.
На таможне обнаружили, что общество пыталось вывезти в Узбекистан оригиналы договоров о полной материальной ответственности с персональными данными девяти работников ФГБУ.
В ходе проверки Роскомнадзор установил, что данные документы учреждение выбросило. Учреждение посчитало, что оснований для административной ответственности нет.
Позиция заявителя: документы выбыли из-за неосторожности ведущего бухгалтера, которая по ошибке сдала оригиналы в макулатуру, что подтверждается материалами внутренней проверки и объяснительной работника. В учреждении действуют все необходимые локальные акты о порядке работы с персональными данными, назначены ответственные лица, а сотрудник прошел обучение и инструктаж. Ошибочные действия конкретного работника свидетельствуют о том, что учреждение приняло все зависящие от него меры для соблюдения требований законодательства. Состав правонарушения отсутствует.
Аргументы госоргана: персональные данные работников оказались за пределами организации и были доступны неограниченному кругу лиц. Учреждение, как оператор персональных данных, не обеспечило условия их хранения. Факт утечки доказывает, что внутренний контроль в учреждении не сработал.
Решения судов: суды двух инстанций поддержали Роскомнадзор. Наличие локальных актов и обучение сотрудников не освобождают юридическое лицо от ответственности, если реального контроля за соблюдением правил обработки персональных данных нет. Учреждение не доказало, что приняло все зависящие от него меры для предотвращения нарушения. Сам факт ошибочных действий работника не исключает вины юридического лица, поскольку именно учреждение несет ответственность за организацию работы с персональными данными и контроль за действиями сотрудников.
Реквизиты: решение Ханты-Мансийского районного суда Ханты-Мансийского автономного округа – Югры от 13.11.2024 по делу № 12-661/2024.
Совет
Обеспечьте реальный контроль за утилизацией документов, а не только формальное утверждение инструкций
Суды оценивают не формальное соблюдение процедур, а их эффективность: приняла ли организация реальные меры, которые исключают случайный доступ к персональным данным. Для минимизации рисков внедрите механизмы проверки документов перед утилизацией, например двойной контроль или комиссионный отбор. Закрепите порядок утилизации в локальном акте и контролируйте его исполнение.
Срок давности по делам о нарушениях в области персданных – один год
В отношении физлица госорган составил протокол об административном правонарушении по части 5 статьи 13.11 КоАП. Мировой суд прекратил производство из-за отсутствия состава правонарушения. Госорган не согласился и обжаловал решение в вышестоящие инстанции.
Позиция госоргана: в действиях физлица есть состав административного правонарушения. Производство следует возобновить.
Решения судов: районный суд оставил без изменения постановление мирового судьи о прекращении дела за отсутствием состава правонарушения. Кассационный суд при рассмотрении жалобы госоргана также не нашел оснований для отмены судебных актов. Он указал, что на момент рассмотрения жалобы истек годичный срок давности привлечения к ответственности (ч. 1 ст. 4.5 КоАП), что является безусловным основанием, исключающим дальнейшее производство по делу. При этом кассация отметила, что не вправе ухудшить положение лица, в отношении которого дело прекратили (ст. 30.17 КоАП).
В отношении физлица госорган составил протокол об административном правонарушении по части 5 статьи 13.11 КоАП. Мировой суд прекратил производство из-за отсутствия состава правонарушения. Госорган не согласился и обжаловал решение в вышестоящие инстанции.
Позиция госоргана: в действиях физлица есть состав административного правонарушения. Производство следует возобновить.
Решения судов: районный суд оставил без изменения постановление мирового судьи о прекращении дела за отсутствием состава правонарушения. Кассационный суд при рассмотрении жалобы госоргана также не нашел оснований для отмены судебных актов. Он указал, что на момент рассмотрения жалобы истек годичный срок давности привлечения к ответственности (ч. 1 ст. 4.5 КоАП), что является безусловным основанием, исключающим дальнейшее производство по делу. При этом кассация отметила, что не вправе ухудшить положение лица, в отношении которого дело прекратили (ст. 30.17 КоАП).
Реквизиты: постановление Восьмого кассационного суда общей юрисдикции от 13.05.2025
по делу № 16-2072/2025.
Совет
Ссылайтесь на истечение срока давности, чтобы суд прекратил дело
Годичный срок давности привлечения к ответственности по статье 13.11 КоАП является пресекательным. Если он истек, суд обязан прекратить производство независимо от наличия состава правонарушения (п. 6 ч. 1 ст. 24.5 КоАП). Это надежный способ закрыть дело без оценки доказательств.
Оператор обязан сообщить в Роскомнадзор, если произошла утечка персданных
По вине Минтруда данные его работников и их родственников попали в сеть. Ведомству назначили штраф по части 1 статьи 13.11 КоАП. Оно обжаловало постановление.
Позиция заявителя: данные попали в сеть из-за действий злоумышленника, который взломал инфраструктуру подрядной организации, а не по вине самого министерства.
Аргументы госоргана: министерство не обеспечило соблюдение требований закона, не осуществляло должный внутренний контроль за безопасностью данных. Также оно не обнаружило утечку самостоятельно и не уведомило Роскомнадзор в установленный законом срок.
Решения судов: юрлицо обязано обеспечить безопасность персональных данных и принимать необходимые меры защиты, независимо от того, привлекает ли оно подрядчиков. Министерство не доказало, что приняло исчерпывающие меры для предотвращения утечки. Кроме того, министерство не уведомило Роскомнадзор об инциденте в установленные законом сроки, а отреагировало лишь на официальный запрос.
По вине Минтруда данные его работников и их родственников попали в сеть. Ведомству назначили штраф по части 1 статьи 13.11 КоАП. Оно обжаловало постановление.
Позиция заявителя: данные попали в сеть из-за действий злоумышленника, который взломал инфраструктуру подрядной организации, а не по вине самого министерства.
Аргументы госоргана: министерство не обеспечило соблюдение требований закона, не осуществляло должный внутренний контроль за безопасностью данных. Также оно не обнаружило утечку самостоятельно и не уведомило Роскомнадзор в установленный законом срок.
Решения судов: юрлицо обязано обеспечить безопасность персональных данных и принимать необходимые меры защиты, независимо от того, привлекает ли оно подрядчиков. Министерство не доказало, что приняло исчерпывающие меры для предотвращения утечки. Кроме того, министерство не уведомило Роскомнадзор об инциденте в установленные законом сроки, а отреагировало лишь на официальный запрос.
Реквизиты: постановление Верховного суда от 21.01.2026 № 5-АД25-119-К2.
Совет
Контролируйте действия подрядчиков, если привлекаете их для обработки персональных данных
Ответственность за утечку данных несет оператор, даже если доступ злоумышленники получили через инфраструктуру подрядчика. Сам по себе факт заключения договора с подрядчиком не освобождает от штрафа по части 1 статьи 13.11 КоАП. Чтобы избежать ответственности, доказывайте, что вы не только поручили обработку данных третьему лицу, но и контролировали его действия, а также приняли все необходимые меры для защиты данных.
Не все письма Роскомнадзора обязательны к исполнению
СНТ обратилось в суд с заявлением о признании незаконным письма Роскомнадзора, в котором он запросил либо уведомление об обработке персональных данных, либо информационное письмо с указанием законных оснований для обработки данных без уведомления. СНТ посчитало, что письмо возлагает на него незаконную обязанность.
Позиция заявителя: СНТ обрабатывает персональные данные без использования средств автоматизации. Операторы, которые обрабатывают данные без средств автоматизации, освобождены от обязанности уведомлять Роскомнадзор (п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Требование Роскомнадзора представить уведомление незаконно и нарушает права товарищества.
Аргументы госоргана: письмо носило информационный, а не предписывающий характер. Оно не обязывало товарищество подать уведомление, а разъясняло закон и запрашивало информацию в рамках полномочий Роскомнадзора.
Решения судов: суд первой инстанции отказал товариществу в признании письма Роскомнадзора незаконным, посчитав, что сбор персональных данных через сайт предполагает использование средств автоматизации, а значит, уведомление об обработке требуется.
Апелляционный суд отменил это решение и удовлетворил требования товарищества, указав, что обработка данных через сайт не всегда является автоматизированной, если она осуществляется вручную по каждому субъекту. Поскольку товарищество обрабатывает данные только членов СНТ, а не неопределенного круга лиц, оно вправе не уведомлять Роскомнадзор.
Кассационный суд отменил постановление апелляции и оставил в силе решение первой инстанции, указав, что апелляция не учла: письмо носило информационный характер, а не предписывающий, и Роскомнадзор вправе запрашивать информацию в рамках своих полномочий (ст. 23 Закона о персональных данных). Фактически апелляционный суд лишил управление права запрашивать необходимые ...
СНТ обратилось в суд с заявлением о признании незаконным письма Роскомнадзора, в котором он запросил либо уведомление об обработке персональных данных, либо информационное письмо с указанием законных оснований для обработки данных без уведомления. СНТ посчитало, что письмо возлагает на него незаконную обязанность.
Позиция заявителя: СНТ обрабатывает персональные данные без использования средств автоматизации. Операторы, которые обрабатывают данные без средств автоматизации, освобождены от обязанности уведомлять Роскомнадзор (п. 8 ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Требование Роскомнадзора представить уведомление незаконно и нарушает права товарищества.
Аргументы госоргана: письмо носило информационный, а не предписывающий характер. Оно не обязывало товарищество подать уведомление, а разъясняло закон и запрашивало информацию в рамках полномочий Роскомнадзора.
Решения судов: суд первой инстанции отказал товариществу в признании письма Роскомнадзора незаконным, посчитав, что сбор персональных данных через сайт предполагает использование средств автоматизации, а значит, уведомление об обработке требуется.
Апелляционный суд отменил это решение и удовлетворил требования товарищества, указав, что обработка данных через сайт не всегда является автоматизированной, если она осуществляется вручную по каждому субъекту. Поскольку товарищество обрабатывает данные только членов СНТ, а не неопределенного круга лиц, оно вправе не уведомлять Роскомнадзор.
Кассационный суд отменил постановление апелляции и оставил в силе решение первой инстанции, указав, что апелляция не учла: письмо носило информационный характер, а не предписывающий, и Роскомнадзор вправе запрашивать информацию в рамках своих полномочий (ст. 23 Закона о персональных данных). Фактически апелляционный суд лишил управление права запрашивать необходимые ...
Информационный источник публикации Актион МЦФЭР
Источник изображения Freepik
