Арбитражный суд Московского округа оставил в силе решение апелляции, которая отменила штраф Роскомнадзора в отношении РЖД после утечки базы сотрудников объемом более 17 млн записей.
Спор начался после публикации базы данных сотрудников РЖД в Telegram-каналах. После инцидента Роскомнадзор добился привлечения компании к ответственности по части 1 статьи 13.11 КоАП РФ за нарушение требований к обработке персональных данных.
Однако апелляция пришла к выводу, что сам факт утечки не доказывает вину оператора персональных данных. Суд указал, что инцидент стал результатом целенаправленной кибератаки, по факту которой было возбуждено уголовное дело.
Регулятор попытался оспорить этот подход в кассации, но Арбитражный суд Московского округа поддержал позицию апелляционной инстанции. Роскомнадзор не смог показать, какие именно меры защиты РЖД обязана была внедрить, но не внедрила.
Фактически суд подтвердил важный для бизнеса принцип: наличие утечки не означает автоматического признания компании виновной. Для привлечения к ответственности необходимо доказать конкретные нарушения требований по защите персональных данных.