Минтруд не смог оспорить штраф за утечку персональных данных. Ответственность за их сохранность несет оператор информационной системы (в этом случае — ведомство), даже если доступ к данным обеспечивал подрядчик, указал Верховный суд (дело № 5-АД25-119-К2).
Ведомство допустило утечку 1400 строк персональных данных своих сотрудников и их родственников, в числе сведений были Ф. И. О., даты и места рождения, паспортные данные и реквизиты банковских карт.
В суде истец пытался оспорить штраф, назначенный нижестоящими инстанциями. Он утверждал, что рабочая инфраструктура была частично зашифрована вредоносной программой, а атака могла исходить от зарубежных спецслужб. Министерство настаивало, что взлом произошел через организацию-подрядчика.
Но Верховный суд подтвердил, что именно ведомство выступает оператором персональных данных и несет полную ответственность за их защиту и контроль за подрядчиками. Судьи также отметили, что министерство не приняло необходимых мер для защиты инфраструктуры, а об утечке узнало только после запроса контролирующего органа.
С сентября 2025 года закон обязывает руководителей госорганов содействовать выявлению и ликвидации кибератак. А с марта вступят в силу новые требования ФСТЭК по защите информации в государственных органах и учреждениях. Они усилят контроль за обработкой персональных данных.
