Обзор Постановления Верховного Суда РФ от 21.01.2026 № 5-АД25-119-К2: ключевые аспекты защиты персональных данных

21 февраля 2026

О чем эта статья?

Верховный Суд Российской Федерации подробно разъяснил, какие меры обязан предпринять оператор персональных данных для обеспечения защиты персональных данных от незаконной утечки и соблюдения требований законодательства о персональных данных.

1. Описание ситуации
2. Суть решения Верховного суда
3. Обоснование позиции Верховного суда
4. Практические рекомендации

Описание ситуации:
Государственный орган, выступающий в роли оператора персональных данных, допустил утечку персональных данных работников. В результате конфиденциальные персональные данные были незаконно опубликованы на нескольких интернет-ресурсах, что представляет собой грубое нарушение требований по защите персональных данных.

Решение Верховного Суда РФ:
Суд поддержал решения нижестоящих инстанций и отказал в удовлетворении жалобы представителя государственного органа, признав его виновным в нарушении законодательства Российской Федерации в области обработки и защиты персональных данных (ч. 1 ст. 13.11 КоАП РФ).

Обоснование позиции Верховного Суда РФ:

1. Государственный орган не подтвердил реализацию всех необходимых мер по обеспечению безопасности персональных данных при их обработке. Суд напомнил, что оператор персональных данных обязан:

проводить внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства о защите персональных данных, политике оператора и локальным актам;
осуществлять контроль за соблюдением работниками требований законодательства о персональных данных, включая правила защиты персональных данных;
оценивать эффективность мер по защите персональных данных и уровень защищённости информационных систем персональных данных.
Отсутствие документальных подтверждений свидетельствовало об отсутствии системной работы по защите персональных данных.

2. Оператор персональных данных не уведомил уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) о факте утечки персональных данных в установленные законом сроки, подтвердив инцидент лишь после официального запроса регулятора.

3. Ответственность за нарушение законодательства о персональных данных, включая требования к защите персональных данных, несёт непосредственно оператор персональных данных. Довод о вине подрядной организации был отклонён: оператор обязан контролировать всех привлечённых лиц и обеспечивать безопасность персональных данных на всех этапах обработки.

Суд отклонил как несостоятельный довод государственного органа о том, что утечка персональных данных произошла через доступ злоумышленника к инфраструктуре подрядной организации, которая не смогла обеспечить защиту этих данных.

Рассмотрим данный аспект подробнее – почему суд не принял во внимание, что обработку персональных данных осуществляло третье лицо?

Все просто: действующее законодательство прямо говорит о том, что если обработку персональных данных осуществляет третье лицо (подрядчик, сервис‑провайдер и т. д.), то ответственность перед гражданами за действия такого третьего лица несет именно оператор персональных данных - то есть работодатель или организация, инициировавшая обработку (часть 5 ст. 6 ФЗ от 27.07.2006 № 152 «О персональных данных»).

Это означает, что оператор персональных данных не может переложить вину на подрядчика или провайдера.

Кроме того, при выборе подрядчика или провайдера оператор персональных данных должен:

тщательно проверять меры защиты персональных данных исполнителем,
фиксировать в договоре требования к защите обрабатываемых персональных данных, а также требование об уведомлении персональных данных в случае установления факта неправомерной или случайной утечки персональных данных,
требовать от подрядчика или провайдера соблюдения режима секретности (конфиденциальности) персональных данных и запрета на передачу персональных данных другим лицам без согласия оператора (абз. 4 части 1 ст. 88 Трудового кодекса РФ).

Верховный Суд РФ отметил, что у государственного органа была возможность предпринять все вышеперечисленные меры, однако этого не было сделано.

Рекомендации работодателям для минимизации рисков в области персональных данных:

Проведите аудит внутренней политики в области обработки и защиты персональных данных: актуализируйте правила доступа, хранения и уничтожения персональных данных.
Назначьте должностное лицо, ответственное за организацию защиты персональных данных и координацию мероприятий по обеспечению безопасности персональных данных.
Ограничьте доступ к персональным данным исключительно тем сотрудникам, чьи трудовые функции требуют работы с такими данными.
Регулярно (не реже 1 раза в 3 года) проводите внутренний контроль соблюдения требований законодательства о персональных данных и внутренних регламентов по защите персональных данных с обязательным документальным оформлением.
До ввода в эксплуатацию информационной системы персональных данных проводите оценку эффективности мер по защите персональных данных; фиксируйте результаты в отчётах.

ВЫВОДЫ

Своевременная организация комплексной защиты персональных данных, строгое соблюдение требований ФЗ-152 «О персональных данных» и оперативное взаимодействие с Роскомнадзором при инцидентах позволят операторам персональных данных избежать административной ответственности и сохранить доверие субъектов персональных данных.

ВАЖНО!

Провести аудит по системе защиты персональных данных в своей организации и оформить все необходимые документы, подтверждающие выполнение требований законодательства. Только документальные доказательства могут подтвердить, что организация добросовестно выполняет все установленные требования! При этом важно, что проведение такого аудита является обязанностью организации по ст. 18.1. Федерального закона №152.

Как заказать аудит по персональным данным?