АРБИТРАЖНЫЙ СУД ГОРОДА МОСКВЫ
115225, г.Москва, ул. Большая Тульская, д. 17
http://www.msk.arbitr.ru

Р Е Ш Е Н И Е
Именем Российской Федерации

г. Москва
24 марта 2026 года                              Дело № А40-348965/25-92-2974

Резолютивная часть решения объявлена 04 февраля 2026 года
Полный текст решения изготовлен 24 марта 2026 года

Арбитражный суд г. Москвы в составе судьи Уточкина И.Н.,
при ведении протокола секретарем судебного секретарем Туровской В.Д.
рассмотрев в открытом судебном заседании дело по заявлению Управления Роскомнадзора по ЦФО (117997, г.Москва, ш. Старокаширское, д.2, к.10, ГСП-7) к Обществу с ограниченной ответственностью «Наименование» (121205, г.Москва, вн.тер.г. Муниципальный Округ Можайский, тер Инновационного Центра Сколково, ул Нобеля, д.7, этаж/помещ. 4/V, ком./раб.место 16/4, ОГРН: __, Дата присвоения ОГРН: 09.09.2014, ИНН: 7733894200)
о привлечении к административной ответственности по ч.1 ст.13.11 КоАП РФ на основании протокола от 07.11.2025 №АП-77/09/1527 
при участии: согласно протоколу с\з;
                                          УСТАНОВИЛ:
 Управления Роскомнадзора по ЦФО (далее – заявитель, Управление) обратилось в Арбитражный суд г.Москвы с заявлением о привлечении к административной ответственности Общества с ограниченной ответственностью «Наименование» по ч.1 ст.13.11 КоАП РФ (протокол об административном правонарушении от 07.11.2025 №АП-77/09/1527).
  Заявитель настаивал на удовлетворении заявленных требований.
  Ответчик возражал против удовлетворения заявленных требований.
 Спор разрешается с учетом отсутствия возражений участвующих в деле лиц против завершения предварительного судебного заседания и открытия судебного заседания в суде первой инстанции и разбирательства дела по существу 04 февраля 2026 года, по материалам дела на основании ст.ст. 123, 124, 137, 156 АПК РФ, п.24 Постановления Пленума Верховного Суда РФ от 04.06.2024 N12 "О подготовке дела к судебному разбирательству в арбитражном суде".
 Исследовав материалы дела, суд считает, что требование заявителя подлежит удовлетворению по следующим основаниям.
 В соответствии с ч.6 ст.205 АПК РФ при рассмотрении дела о привлечении к административной ответственности арбитражный суд в судебном заседании устанавливает, имелось ли событие административного правонарушения и имелся ли факт его совершения лицом, в отношении которого составлен протокол об административном правонарушении, имелись ли основания для составления протокола об административном правонарушении и полномочия административного органа, составившего протокол, предусмотрена ли законом административная ответственность за совершение данного правонарушения и имеются ли основания для привлечения к административной ответственности лица, в отношении которого составлен протокол, а также определяет меры административной ответственности.
 Как установлено судом, Управление Роскомнадзора по Центральному федеральному округ (далее - Управление) на основании пункта 3 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу, утвержденного приказом Роскомнадзора от 30.05.2025 № 126, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории г.Москвы и Московской области, Владимирской, Ивановской, Калужской, Костромской, Орловской, Смоленской, Тульской областей.
 В Управление поступило письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) от 29.07.2025 №08-356778 (вх. от 30.07.2025 № 387584/77), содержащее информацию о признаках неправомерной или случайной передачи ООО «Наименование» (далее - Оператор) персональных данных, повлекшей нарушение прав субъектов персональных данных, находящихся в базе персональных данных информационной системы Оператора.
 В соответствии с пунктом 1 статьи 3 Федерального закона от 27.07.2006 №152- ФЗ «О персональных данных» (далее - Закон № 152-ФЗ) под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
 Положениями пункта 2 статьи 3 Закона №152-ФЗ установлено, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
 Согласно пункту 3 статьи 3 Закона № 152-ФЗ обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
 Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона №152-ФЗ. Обработка персональных данных на основании пункта 1 допускается с согласия субъекта персональных данных, а также при наличии иных оснований, установленных пунктами 2-11 части 1 статьи 6 Закона № 152-ФЗ.
 Кроме того, согласно положениям статьи 7 Закона № 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
 В Роскомнадзор согласно пункту 1 части 3.1 статьи 21 Закона №152-ФЗ поступило уведомление Оператора о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - Уведомление) от ООО «Наименование». Уведомление сформировано Оператором на портале Роскомнадзора (направлено 17.07.2025 в 18 ч. 47 мин., присвоен номер 9773486, ключ 14314013), из которого следует, что неустановленные лица получили несанкционированный доступ к сетевой папке с копиями анкет кандидатов на вакансии Оператора и работников Оператора, содержащих персональные данные в объеме: должность, фамилия, имя, отчество, номер телефона, электронная почта, паспортные данные, СНИЛС, адрес прописки.
 В результате указанных действий база данных, содержащая персональные данные около 2 ООО указанных лиц, была размещена в неограниченном доступе в сети Интернет на интернет-странице https://t.me/BO_Team_U А/568.
Согласно представленной Оператором информации датой выявления инцидента является 16.07.2025.
 Согласно пункту 2 части 3.1 статьи 21 Закона №152-ФЗ 18.07.2025 поступило Уведомление об инциденте, содержащее результаты внутреннего расследования выявленного инцидента (сформировано на портале Роскомнадзора, направлено 19.07.2025 в 17 ч. 58 мин., присвоен номер 97777220, ключ 12696785), согласно которому факт неправомерной передачи персональных данных, обрабатываемых Оператором, произошел в результате кибератаки 09.07.2025 на информационную инфраструктуру Оператора.
 Оператором по результатам внутреннего расследования выявленного инцидента подтвержден факт неправомерного доступа к информации о субъектах персональных данных, содержащейся в информационной системе Оператора.
 Для выяснения всех обстоятельств административного правонарушения начальником отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления О.В. Мутовкиной вынесено определение от 10.09.2025 №ОАР-77/09/84826 о возбуждении дела об административном правонарушении, предусмотренное частью 12 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях (далее - КоАП РФ) и проведении административного расследования.
 В рамках проведения административного расследования вынесено определение от 12.09.2025 №ОИС-77/86090 об истребовании следующих сведений, необходимых для вынесения всех обстоятельств административного правонарушения:
1) сведения о содержании баз данных, с использованием которых Оператором осуществляется обработка персональных данных (в том числе перечень персональных данных, количество субъектов персональных данных по каждой категории субъектов персональных данных);
2) сведения об информационных системах персональных данных (далее - ИСПДн) Оператора (указать по каждой ИСПДн: категории персональных данных, количество субъектов персональных данных в отношении каждой категории субъектов персональных данных);
3) сведения о содержании базы данных (ее части) Оператора, содержащей обрабатываемые Оператором персональные данные и ставшей доступной неограниченному кругу лиц в результате неправомерного доступа и последующего распространения персональных данных, повлекшие нарушение прав субъектов персональных данных (в том числе перечень персональных данных, количество субъектов персональных данных по каждой категории субъектов персональных данных), сведения об актуальности указанной базы данных, о периоде, в течение которого собраны персональные данные;
4) сведения о результатах внутреннего расследования, проведенного Оператором, по факту выявленного неправомерного доступа и последующего распространения персональных данных, о причинах, в результате которых произошел факт неправомерного доступа и последующего распространения персональных данных, а также информация о лицах, действия (бездействие) которых стали причиной неправомерного доступа и последующего распространения персональных данных.
 Письмом ООО «Наименование» от 02.10.2025 №70-25-М/ГИ на определение об истребовании сведений от 12.09.2025 № ОИС-77/86090 предоставлена запрашиваемая информация.
 Так, оператором сообщается, что обработка персональных данных осуществляется с использованием информационных систем «1С:Бух», «1С:ЗУП» в объеме: фамилия, имя, отчество; пол; число, месяц, год рождения, место рождения, сведения о гражданстве, паспортные данные, адрес регистрации и фактического места жительства, сведения об образовании, сведения о трудовой деятельности, профессия, семейное положение, номер телефона, адрес электронной почты, сведения о воинском учете, ИНН, СНИЛС, сведения о доходах. Количество субъектов персональных данных: сотрудники Оператора - 61 человек, бывшие сотрудники - 113 человек.
  Для выяснения дополнительных обстоятельств административного правонарушения начальником отдела контроля и надзора за соблюдением законодательства в сфере персональных данных Управления ФИО 08.10.2025 проведен осмотр принадлежащих юридическому лицу помещений, территорий и находящихся там вещей и документов.
 Осмотром установлено, что в информационной системе ООО «Наименование» «1С:ЗУП» имеется информация, содержащая персональные данные 21 субъекта персональных данных, чьи анкеты распространены в сети «Интернет».
 С учетом изложенного, в результате проведения административного расследования Управлением установлен факт неправомерного доступа к ИСПДн Оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных действующих сотрудников, уволенных сотрудников Оператора, а именно 21 субъекта персональных данных, путем их размещения на сайте в сети Интернет по адресу: https://t.me/BO_Team_UA/568, с нарушением требований части 1 статьи 6, статьи 7 Закона № 152-ФЗ.
 Ввиду отсутствия в скомпрометированной базе данных персональных данных менее 1 000 субъектов персональных данных и (или) 10 000 идентификаторов, указанные действия (бездействия) образуют состав административного
правонарушения по части 1 статьи 13.11 КоАП РФ, предусматривающий
ответственность за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 статьи 13.11 КоАП РФ и статьей 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния.
 Действия Оператора в указанном случае не содержат в себе признаков уголовно наказуемого деяния.
 Таким образом, Оператором допущено административное правонарушение, ответственность за которое установлена частью 1 статьи 13.11 КоАП РФ.
 Датой и временем совершения правонарушения является дата первого
зафиксированного факта неправомерной передачи персональных данных (дата выявления новости в телеграмм-канале), а именно -14.07.2025 в 13:28.
 Датой выявления правонарушения является дата завершения административного расследования - 07.11.2025.
 Местом совершения данного правонарушения является местонахождение ООО «Наименование».
 Таким образом, нарушения процедуры привлечения общества к административной ответственности, которые могут являться основанием для отмены оспариваемого постановления согласно п. 10 Постановления Пленума Высшего  Арбитражного Суда РФ от 02.06.2004 N 10 судом не установлено.
 В соответствии со ст.21 Кодекса Российской Федерации об административных правонарушениях юридическое лицо признается виновным в совершении административного правонарушения, если у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.
 Таким образом, в действиях Общества содержится состав правонарушения, предусмотренного частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.
 Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами регулируется Федеральным законом от 27.07.2006 N152-ФЗ "О персональных данных" (деле - Закон о персональных данных).
 Положениями ч.1 ст.13.11 КоАП РФ предусмотрен состав административного правонарушения за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния.
 Перечень случаев, при которых допускается обработка персональных данных, определен ч. 1 ст. 6 Федерального закона "О персональных данных".
 Субъективная сторона правонарушения в деянии, в силу ст.2.1 КоАП РФ устанавливается лишь выявлением наличия у него возможности для соблюдения правил и норм, за нарушение которых предусмотрена административная ответственность, и непринятием всех зависящих от него мер по их соблюдению.
 На дату изготовления судебного решения поданному делу срок привлечения к административной ответственности, установленный ч. 1 ст.4.5 Кодекса Российской Федерации об административных правонарушениях, не истек.
 Поскольку факт совершения обществом правонарушения, ответственность за которое установлена частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, подтверждается материалами дела, процедура привлечения не нарушена, срок давности привлечения к административной ответственности не истек, требование Управления о привлечении к административной ответственности за совершение административного правонарушения, предусмотренного частью 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях подлежит удовлетворению.
 При назначении административного наказания юридическому лицу учитываются характер совершенного им административного правонарушения, имущественное и финансовое положение юридического лица, обстоятельства, смягчающие административную ответственность, и обстоятельства, отягчающие административную ответственность.
 Суд учитывает, что заявитель не сослался на наличие отягчающих обстоятельств при совершении ответчиком указанного административного правонарушения.
 Доказательств привлечения Общества за указанное нарушении ранее в материалы дела не представлены.
 Исходя из конкретных обстоятельств дела и учитывая характер общественных отношений, на которые посягает нарушитель, суд не усматривает оснований для освобождения общества от административной ответственности ввиду малозначительности административного правонарушения.

  В соответствии со ст.2.9 КоАП РФ при малозначительности совершенного административного правонарушения судья, орган, должностное лицо, уполномоченные решить дело об административном правонарушении, могут освободить лицо, совершившее административное правонарушение, от административной ответственности и ограничиться устным замечанием.
 В соответствии с ч.1 ст.3.1 КоАП РФ административное наказание является установленной государством мерой ответственности за совершение административного правонарушения и применяется в целях предупреждения совершения новых правонарушений, как самим правонарушителем, так и другими лицами.
 В соответствии с п. 18 Постановления Пленума Высшего Арбитражного суда Российской Федерации от 02.06.2004г. №10 «О некоторых вопросах, возникших в судебной практике при рассмотрении дел об административных правонарушениях» при квалификации правонарушения в качестве малозначительного необходимо исходить из оценки конкретных обстоятельств его совершения. Малозначительность правонарушения имеет место при отсутствии существенной угрозы охраняемым общественным отношениям. В соответствии с п.18.1 данного Постановления квалификация правонарушения как малозначительного может иметь место только в исключительных случаях и производится с учетом положений пункта 18 настоящего Постановления применительно к обстоятельствам конкретного совершенного лицом деяния.
 В соответствии с п.21 Постановления Пленума Верховного суда Российской Федерации от 24.03.2005 №5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях» малозначительным административным правонарушением является действие или бездействие, хотя формально и содержащее признаки состава административного правонарушения, но с учетом характера совершенного правонарушения и роли правонарушителя, размера вреда и тяжести наступивших последствий не представляющее существенного нарушения охраняемых общественных правоотношений.
 Суд отмечает, что состав вменяемого заявителю правонарушения является формальным, таким образом, для привлечения Общества к административной ответственности достаточно факта совершения данного деяния, независимо от возникновения или не возникновения общественно опасных последствий.
 Наступление общественно опасных последствий при совершении правонарушений с формальным составом не доказывается, возникновение этих последствий презюмируется самим фактом совершения действий или бездействия ответчика и образует объективную сторону состава правонарушения независимо от его последствий. При этом охраняемым объектом является социально значимая сфера общественных правоотношений, а именно, права и законные интересы потребителей.
 Существенная угроза охраняемым общественным отношениям заключается не в наступлении каких-либо материальных последствий правонарушения, а в пренебрежительном отношении ответчика к исполнению своих обязанностей, отсутствии должного контроля со стороны ответственных лиц.
 Отсутствие материальных вредных последствий не свидетельствует о
малозначительности правонарушения, совершенного ответчиком. Следовательно, административное правонарушение, совершенное заявителем, не является малозначительным.
 Вместе с тем, при назначении административного наказания арбитражный суд руководствуется следующим.
 В силу п.1 ст.4.1 Кодекса Российской Федерации об административных правонарушениях административное наказание за совершение административного правонарушения назначается в пределах, установленных законом, предусматривающим ответственность за данное правонарушение, в соответствии с настоящим Кодексом.
 При назначении административного наказания юридическому лицу учитываются характер совершенного им административного правонарушения, имущественное и финансовое положение юридического лица, обстоятельства, смягчающие административную ответственность, и обстоятельства, отягчающие административную ответственность (ч.3 ст.4.1 КоАП РФ).
 В соответствии с ч.ч. 1, 2 ст.3.2 Кодекса Российской Федерации об административных правонарушениях за совершение административных
правонарушений в отношении юридического лица могут применяться
административные наказания, перечисленные в п.п.1 - 4, 9 ч.1 указанной статьи, в том числе предупреждение и административный штраф.
 Предупреждение - это мера административного наказания, выраженная в официальном порицании юридического лица, которое выносится в письменной форме (ст.3.4 КоАП РФ).
 Согласно п.16 постановления Пленума Высшего Арбитражного Суда Российской Федерации N 2 от 27.01.2003, по результатам рассмотрения заявления об оспаривании решения административного органа о привлечении к административной ответственности суд при наличии соответствующих оснований вправе принять решение об изменении оспариваемого решения административного органа.
 Исходя из правовой позиции Конституционного Суда Российской Федерации, изложенной в определениях от 09.04.2003г. № 116-О и от 05.11.2003г. № 349-О, установленная законодателем в Кодексе Российской Федерации об административных правонарушениях административная ответственность не препятствует судам арбитражным судам избирать в отношении правонарушителя меру наказания с учетом характера правонарушения, размера причиненного вреда, степени вины и других смягчающих или отягчающих обстоятельств.
 Суд исходит из того, что заявителем в материалы дела не представлено доказательств умышленного совершения данного административного правонарушения, большая часть выявленных нарушений устранены ответчиком, кроме того, в протоколе по делу об административном правонарушении отсутствуют сведения о неоднократности совершения правонарушения, иных отягчающих обстоятельств.
 Учитывая изложенное, суд считает возможным назначить наказание в виде предупреждения.
 В соответствии с ч.2 ст.204 АПК РФ заявление о привлечении к административной ответственности государственной пошлиной не облагается.
 Руководствуясь ст.ст. 1.1, 1.5, 1.6, 2.1, 4.1, 4.5, 13.11 (1), 23.1, 24.1, 26.1, 26.2,29.6, 29.7 КоАП РФ, ст.ст. 64, 65, 71, 75, 156, 167-170, 176, 205, 206 АПК РФ, суд
                                             Р Е Ш И Л :
 Привлечь Общество с ограниченной ответственностью «Наименование» к административной ответственности по ч.1 ст.13.11 КоАП РФ на основании протокола об административном правонарушении от 07.11.2025 №АП-77/09/1527 в виде предупреждения.
 Решение может быть обжаловано в 10-дневный срок со дня его принятия в Девятый арбитражный апелляционный суд.

                                     Судья                                Уточкин И.Н.

Источник: https://kad.arbitr.ru/Document/Pdf/3b3e9642-85b8-417e-808c-77b1e9e83f39/01545a56-c17d-4918-80d9-2cdb98d46057/A40-348965-2025_20260324_Reshenija_i_postanovlenija.pdf?isAddStamp=True