Верховный суд: Кто ответит за утечку персональных данных?

Верховный суд: Кто на самом деле отвечает за утечку персональных данных?

В феврале 2026 года Верховный Суд Российской Федерации вынес знаковое решение по делу № 5-АД25-119-К2, которое радикально меняет подход к распределению ответственности между заказчиками (операторами данных) и их ИТ-подрядчиками. Суд подтвердил: «безопасность на аутсорсе» не означает «перекладывание ответственности».

1. Суть прецедента: Минтруд против регулятора

Конфликт возник после крупной утечки данных сотрудников федерального ведомства. В открытый доступ попало более 1400 записей, содержащих ФИО, паспортные данные, реквизиты банковских карт и даже личные номера телефонов.

Ведомство пыталось оспорить назначенный штраф, утверждая, что уязвимость находилась в программном модуле, который обслуживала внешняя ИТ-компания по государственному контракту. Логика защиты была проста: «Мы заплатили профессионалам за защиту, они не справились — пусть они и платят».

2. Позиция Верховного Суда: Оператор отвечает за всё

ВС РФ отклонил доводы ведомства, сформулировав три фундаментальных правила для всех операторов данных в 2026 году:

Статус оператора первичнее договора

Юридический статус «Оператора персональных данных» возлагает на организацию первичную и неотчуждаемую обязанность по защите информации. Договор с подрядчиком регулирует только гражданско-правовые отношения между фирмами, но не освобождает от административной ответственности перед государством и гражданами.

Обязанность тотального контроля

Суд подчеркнул, что оператор обязан не просто «купить услугу», а постоянно контролировать действия подрядчика. Отсутствие в штате специалистов, способных проверить работу ИТ-компании, признано халатностью оператора.

Проактивность vs Реактивность

Особое внимание суд уделил тому факту, что ведомство узнало об утечке только после запроса Роскомнадзора. Это прямое доказательство отсутствия системы мониторинга инцидентов, за которую отвечает именно владелец данных.

3. Что это изменит для бизнеса в 2026 году?

Данное решение — это сигнал рынку о том, что эпоха «бумажной» безопасности закончилась. Теперь при проверках суды будут игнорировать пункты договоров о «полном перекладывании ответственности на исполнителя».

1. **Регрессный порядок:** Если ваша компания заплатила штраф за утечку по вине подрядчика, вы можете взыскать эти деньги с него в порядке регресса. Но сначала штраф заплатите именно вы, и ваша репутация пострадает первой.

2. **Усиление аудита:** С марта 2026 года вступают в силу новые требования ФСТЭК. Теперь операторы обязаны проводить независимый аудит безопасности своих подрядчиков не реже одного раза в полгода.

3. **Личная ответственность:** Помните, что руководители организаций теперь обязаны лично содействовать выявлению кибератак. Игнорирование этого требования может привести к уголовному делу по ст. 272 УК РФ.

4. Чек-лист: Как обезопасить компанию после решения ВС РФ?

- [ ] Проверьте реестр договоров с ИТ-подрядчиками: есть ли там четкие регламенты обмена данными?

- [ ] Внедрите систему DLP (Data Loss Prevention) и SIEM для обнаружения утечек в реальном времени.

- [ ] Получите подтверждение от подрядчиков о соответствии их инфраструктуры новым нормам 2026 года.

- [ ] Пропишите в контрактах огромные штрафы за нарушение ИБ-гигиены, чтобы иметь рычаг для регресса.

Мнение эксперта PravoDoc

«Верховный Суд подтвердил принцип: владелец данных несет риск за выбор контрагента. Вы не можете просто нанять фирму и забыть о безопасности. В 2026 году вы должны знать каждый узел, через который проходят данные ваших клиентов или сотрудников. Мы рекомендуем использовать наш [конструктор договоров с ИТ-подрядчиками](https://pravodoc.ru/templates/it-service), где уже учтены эти риски».

Заключение

Решение № 5-АД25-119-К2 закрывает лазейку, которой годами пользовались компании. Ответственность за данные теперь — это бремя, которое нельзя делегировать. Будьте бдительны и следите за обновлениями нашей базы знаний.