АРБИТРАЖНЫЙ СУД ИРКУТСКОЙ ОБЛАСТИ
ул. Седова, стр. 76, г. Иркутск, Иркутская область, 664025,
тел. (3952) 262-102; факс (3952) 262-001
https://irkutsk.arbitr.ru
Именем Российской Федерации

                                           Р Е Ш Е Н И Е
г. Иркутск                                                         Дело №А19-25808/2025
«12» мая 2026 года

Резолютивная часть решения объявлена в судебном заседании 08 мая 2026 года.

Решение в полном объеме изготовлено 12 мая 2026 года.

Арбитражный суд Иркутской области в составе судьи Куклиной Л.А., при ведении протокола судебного заседания помощником судьи Шипициной Е.А.,
рассмотрев в судебном заседании дело по заявлению Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области (ОГРН _______, ИНН ______, адрес: ___, Иркутская область, г. Иркутск, ул. Халтурина, д. _)
к Обществу с ограниченной ответственностью «Название» (ОГРН
______, ИНН ______, адрес: ____ г. Иркутск, ул.Партизанская, д. __)
о привлечении к административной ответственности по части 13 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, при участии в заседании представителей от заявителя: ФИО – представитель по доверенности, представлено удостоверение, диплом; ФИО – представитель по доверенности, представлено служебное удостоверение, диплом;
от ответчика: ФИО – представитель по доверенности, представлен паспорт, диплом;
                                               установил:
28.10.2025г. в Арбитражный суд Иркутской области из Кировского районного суда г.Иркутска по подсудности поступило дело по заявлению Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области (далее – Управление Роскомнадзора по Иркутской области) о привлечении к административной ответственности Общества с ограниченной ответственностью «Название» (далее – ответчик, ООО «Название») по части 13 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.
 В судебном заседании представители Управления Роскомнадзора по Иркутской области заявленные требования поддержали по основаниям, изложенным в заявлении и возражениях на отзыв.
 Представитель Общества в судебном заседании требования не признал по основаниям, изложенным в отзыве на заявление и дополнительных пояснениях.
 Дело рассмотрено в порядке главы 25 Арбитражного процессуального кодекса Российской Федерации.
 Судом установлены следующие обстоятельства дела.
 ООО «Название» зарегистрировано в качестве юридического лица за
основным государственным регистрационным номером _________.
 ООО «Название» осуществляет деятельность в области связи на базе
проводных технологий, имеет действующие лицензии «ЛО30-00114-77/00065825 от 24.05.2018г. на услуги связи по предоставлению каналов связи, №ЛО30-00114-77/00077707 от 25.06.2020г. на предоставление услуг связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации, №ЛО30/00114-77/00077706 от 25.06.2020г. на предоставление телематических услуг связи.
 Общество включено в реестр субъектов малого и среднего предпринимательства 10.08.2018г.
 ООО «Название» входит в группу компаний «Орион», используют единый товарный знак, единые информационные системы, а также сетевую и серверную инфраструктуру.
 В ходе судебного разбирательства представителем ООО «Название» заявлено ходатайство о назначении экспертизы для определения степени вины Общества.
 Представители административного органа возражали против удовлетворения ходатайства о назначении судебной экспертизы.
 Суд, рассмотрев ходатайство о проведении судебной экспертизы, отказал в его  удовлетворении.
 Определяя необходимость назначения той или иной экспертизы, суд исходит из предмета заявленных исковых требований и обстоятельств, подлежащих доказыванию в рамках этих требований. Судебная экспертиза назначается судом в случаях, когда вопросы права нельзя разрешить без оценки фактов, для установления которых требуются специальные познания. В настоящем случае сформулированные Обществом вопросы носят правовой характер, постановка которых перед экспертом является недопустимой. Определение степени вины Общества относится к компетенции суда.
 Суд, руководствуясь положениями статьи 82 АПК РФ, пришел к выводу об отсутствии необходимости проведения экспертного исследования по настоящему делу, при наличии возможности разрешения спора путем оценки представленных в дело доказательств.
 Управлением Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области (далее - Управление Роскомнадзора по Иркутской области) на основании п.7.1.3 Положения об Управлении Роскомнадзора, утвержденного приказом Руководителя Роскомнадзора РФ от 25.01.2016г. №15 (далее - Положение о территориальном органе), по результатам проведения административного расследования в отношении юридического лица - ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «Название» (далее - ООО «Название», Оператор), установлен факт неправомерного доступа к ИСПДн Оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных абонентов Оператора, а именно 36544 субъектов персональных данных, путем их размещения на сайте в сети Интернет по адресу: https://t.me/____/, с нарушением требований части 1 статьи 6, статьи 7 Федерального закона от 27.07.2006г. № 152- ФЗ «О персональных данных» (далее -Закон №152-ФЗ) и образует состав административного правонарушения по части 13 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.
 Управление Роскомнадзора по Иркутской области (далее - Управление) на основании пункта 7.1.4.1 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области, утвержденного приказом Роскомнадзора от 25.01.2016г. №15, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Иркутской области.
 В Управление 11.07.2025г. поступило письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор) от 10.07.2025г. №08-318178 (вх. от 11.07.2025 № 32399/38), содержащее информацию о признаках неправомерной или случайной передачи Обществом с ограниченной ответственностью «Название» (ИНН 2466247790; адрес местонахождения: Иркутская область, г. Иркутск, ул. Партизанская, д.84) (далее – Оператор) персональных данных, повлекшей нарушение прав субъектов персональных данных, в объеме: фамилия, имя, отчество, серия и номер паспорта, дата рождения, адрес, номер телефона.
 14.06.2025г. на основании п.1 ч.3.1 ст.21 Закона № 152-ФЗ в Роскомнадзор поступило уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных (далее - Уведомление об инциденте) от ООО «Название». Уведомление об инциденте сформировано Оператором на портале Роскомнадзора (направлено 13.06.2025г. в 07ч. 33 мин., присвоен номер 9614382, ключ 12202361)), из которого следует, что в результате DDOS-атаки неустановленных лиц на инфраструктуру Оператора, произошедшей 12.06.2025г. в 01:13, были нарушены права субъектов персональных данных, обрабатываемых Оператором. Характеристики персональных данных: фамилия, имя, отчество, серия/номер паспорта, дата рождения, адрес. Количество скомпрометированных строк - 25 065.
 14.06.2025г. согласно п.2 ч.3.1 ст. 21 Закона №152-ФЗ от Оператора в Роскомнадзор поступило Уведомление об инциденте (направлено 14.06.2025г. в 16ч. 35 мин., присвоен номер 9618022, ключ 15357912), содержащее результаты внутреннего расследования выявленного инцидента.
 Согласно представленной информации дата и время выявления инцидента: 12.06.2025г. 01:13 причиной, повлекшей нарушение прав субъектов персональных данных, является то, что в результате атаки злоумышленники получили доступ к сетевому оборудованию, физическим серверам и виртуальной инфраструктуре.
 Первоначальная точка проникновения и информация по используемым
тактикам/техникам атакующих на момент подачи Уведомления об инциденте от 14.06.2025г. неизвестны, происходит восстановление инфраструктуры, расследование инцидента продолжается. Сведения о лицах, действия которых стали причиной выявленного инцидента, не известны. Характеристики персональных данных: фамилия, имя, отчество, серия/номер паспорта, дата рождения, адрес.
 Количество скомпрометированных строк - 25 065.
 30.07.2025г. Оператором направлено в Роскомнадзор Уведомление об инциденте (сформировано на портале Роскомнадзора, направлено 30.07.2025г. в 15ч. 05 мин., присвоен номер 9804438, ключ 68689975), согласно которому ранее скомпрометированные данные были выложены в открытый доступ. Предполагаемый вред, нанесенный правам субъектов персональных данных: утечка персональных данных, неправомерное использование, незаконный доступ, распространение.
 Характеристики персональных данных: данные абонентов (фамилия, имя, отчество, номер телефона, данные документов, удостоверяющих личность). Количество скомпрометированных строк - 25065.
 01.08.2025г. Оператором направлено в Роскомнадзор Уведомление об инциденте (сформировано на портале Роскомнадзора, направлено 01.08.2025г. в 13 ч.19 мин., присвоен номер ___, ключ ___), согласно которому им был установлен факт того, что ранее скомпрометированные данные были выложены в открытый доступ, дату и время выявления в открытом доступе скомпрометированной информации Оператор указал 29.07.2025г. в 21.55. Характеристики персональных данных - данные абонентов (ФИО, номер телефона, данные документов, удостоверяющих личность) 25065 записи.
 В результате указанных действий база данных Оператора, содержащая
персональные данные, распространена неустановленными лицами 29.07.2025г. на сайте в сети Интернет по адресу: https://t.me/___/.
 Для выяснения всех обстоятельств административного правонарушения главным специалистом-экспертом отдела по защите прав субъектов персональных данных Управления вынесено определение от 28.07.2025г. № 10695-05/38 о возбуждении дела об административном правонарушении, предусмотренного ч.13 ст.13.11 КоАП РФ и проведении административного расследования.
 В рамках проведения административного расследования вынесены определения от 28.07.2025г. №10700-05/38 и от 15.08.2025г. № 11697-05/38 об истребовании следующих сведений, необходимых для вынесения всех обстоятельств административного правонарушения:
1) сведения о содержании баз данных, с использованием которых Оператором осуществляется обработка персональных данных (в том числе перечень персональных данных, количество субъектов персональных данных по каждой категории субъектов
персональных данных);
2) сведения об информационных системах персональных данных (далее - ИСПДн) Оператора (по каждой ИСПДн: категории персональных данных, количество субъектов персональных данных в отношении каждой категории субъектов персональных данных);
3) сведения о содержании базы данных (ее части) Оператора, содержащей обрабатываемые Оператором персональные данные и ставшей доступной неограниченному кругу лиц в результате неправомерного доступа и последующего распространения персональных данных, повлекшие нарушение прав субъектов персональных данных (в том числе перечень персональных данных, количество субъектов персональных данных по каждой категории субъектов персональных данных), сведения об актуальности указанной базы данных, о периоде, в течение которого собраны персональные данные;
4) сведения о результатах внутреннего расследования, проведенного Оператором, по факту выявленного неправомерного доступа и последующего распространения персональных данных, причинах, в результате которых произошел факт неправомерного доступа и последующего распространения персональных данных, а также информация о лицах, действия (бездействие) которых стали причиной неправомерного доступа и последующего распространения персональных данных;
5) выгрузка базы данных (ее части) Оператора, содержащей персональные данные и ставшей доступной неограниченному кругу лиц в результате неправомерного доступа и последующего распространения персональных данных, повлекшие нарушение прав субъектов персональных данных.
 Письмами ООО «Название» от 07.08.2025г. №ИСХ-ОТ790-2025-000071 и от 29.08.2025г. №ИСХ-ОТ790-2025-000075 на определения об истребовании сведений от 28.07.2025г. №10700-05/38 и от 15.08.2025г. №11697-05/38 представлена запрашиваемая информация.
 Письмом Оператора от 29.08.2025г. №ИСХ-ОТ790-2025-000075 представлена информация об использовании базы данных - сервис «Abonents», которая является частью Billing-системы, зарегистрированной в Реестре программ для ЭВМ 03.06.2021 за №2021618001. В указанной базе данных хранятся персональные данные: фамилия, имя, отчество абонента либо представителя контрагента, дата рождения, место рождения, данные документа, удостоверяющего личность, номер телефона, адрес электронной почты, адрес регистрации. В базе данных хранятся и обрабатываются персональные данные 36544 субъектов персональных данных.
 В скомпрометированной базе данных содержится 552 445 уникальных строк, из которых 36544 принадлежат физическим лицам и являются персональными данными абонентов ООО «Название».
 Оператором письмами от 07.08.2025г. № ИСХ-ОТ790-2025-000071 и от
29.08.2025г. №ИСХ-ОТ790-2025-000075 подтвержден факт неправомерного доступа к базе данных - сервису «Abonents», которая является частью Billing-системы, зарегистрированной в Реестре программ для ЭВМ 03.06.2021г. за №2021618001, в результате которого неограниченному кругу лиц стали доступны персональные данные 36544 субъектов персональных данных абонентов ООО «Название» без соответствующих правовых оснований.
 С учетом изложенного, в результате проведения административного расследования установлен факт неправомерного доступа к ИСПДн Оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных абонентов Оператора, а именно 36544 субъектов персональных данных, путем их размещения на сайте в сети Интернет по адресу: https://t.me/___/, с нарушением требований части 1 статьи 6, статьи 7 Закона № 152-ФЗ.
 Административный орган пришел к выводу о том, что ООО «Название»
допущено административное правонарушение, ответственность за которое установлена ч.13 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях.
 По факту выявленных нарушений Управлением Роскомнадзора в отношении ООО «Название» составлен протокол об административном правонарушении от 26.09.2025г. №АП-38/03/327.
 На основании статьи 23.1, статьи 25.11 Кодекса Российской Федерации об административных правонарушениях заявитель обратился в суд с заявлением о привлечении общества к административной ответственности за совершение правонарушения, предусмотренного частью 13 статьи 13.11 КоАП РФ.
 Выслушав представителей лиц, участвующих в деле, исследовав доказательства по делу, суд приходит к следующему выводу.
 В соответствии с частью 6 статьи 205 Арбитражного процессуального кодекса Российской Федерации при рассмотрении дела о привлечении к административной ответственности арбитражный суд в судебном заседании устанавливает, имелось ли событие административного правонарушения и имелся ли факт его совершения лицом, в отношении которого составлен протокол об административном правонарушении, имелись ли основания для составления протокола об административном правонарушении и полномочия административного органа, составившего протокол, предусмотрена ли законом административная ответственность за совершение данного правонарушения и имеются ли основания для привлечения к административной ответственности лица, в отношении которого составлен протокол, а также определяет меры административной ответственности.
 Частью 1 статьи 2.1 КоАП РФ установлено, что административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое названным Кодексом или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность.
 В соответствии с частью 1 статьи 1.6 КоАП РФ лицо, привлекаемое к административной ответственности, не может быть подвергнуто административному наказанию и мерам обеспечения производства по делу об административном правонарушении иначе как на основаниях и в порядке, установленных законом.
 В силу статьи 26.2 КоАП РФ доказательствами по делу об административном правонарушении являются любые фактические данные, на основании которых судья, орган, должностное лицо, в производстве которых находится дело, устанавливают наличие или отсутствие события административного правонарушения, виновность лица, привлекаемого к административной ответственности, а также иные обстоятельства, имеющие значение для правильного разрешения дела.
 Эти данные устанавливаются протоколом об административном правонарушении, иными протоколами, предусмотренными КоАП РФ, объяснениями лица, в отношении которого ведется производство по делу об административном правонарушении, показаниями потерпевшего, свидетелей, заключениями эксперта, иными документами, а также показаниями специальных технических средств, вещественными доказательствами.
 Управление Роскомнадзора по Иркутской области (далее - Управление) на основании пункта 7.1.4.1 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Иркутской области, утвержденного приказом Роскомнадзора от 25.01.2016г. №15, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Иркутской области.
 Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами регулируется Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее - Закон № 152-ФЗ, Закон о персональных данных).
 Согласно пунктам 1 - 3 статьи 3 Закона № 152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
 Положениями пункта 2 статьи 3 Закона № 152-ФЗ установлено, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
 Согласно пункта 3 статьи 3 Закона № 152-ФЗ обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
 Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона № 152-ФЗ. Согласно пункту 1 части 1 статьи 6 Закона №152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
 Предоставление персональных данных - это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
 Под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
 Согласно положениями статьи 7 Закона №152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
 В силу части 1 статьи 18.1 Закона №152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
 При этом согласно части 1 статьи 19 Закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
 Обеспечение безопасности персональных данных достигается, в частности определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (часть 2 статьи 19 Закона № 152-ФЗ).
 В силу положений постановления Правительства РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона «О персональных данных».
 Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия (п.6 постановления Правительства РФ от 01.11.2012г. № 1119).
 Федеральным законом от 30.11.2024г. №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» введена в действие часть 13 статьи 13.11 КоАП РФ, предусматривающая ответственность за Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.
 Непосредственным объектом вменяемого правонарушения является общественные отношения в сфере персональных данных.
 Объективная сторона правонарушения заключается в невыполнении оператором связи возложенных на него законодательством обязанностей, повлекших неправомерную передачу (предоставление, распространение, доступ), информации, включающей персональные данные 36544 субъектов персональных данных, путем их размещения на сайте в сети Интернет по адресу: https://t.me/___/.
 Субъектом данного административного правонарушения является юридическое лицо ООО «Название».
 Субъективная сторона данного правонарушения характеризуется тем, что у ООО «Название» имелась возможность для соблюдения правил и норм, за нарушение которых КоАП РФ или законами субъекта Российской Федерации предусмотрена административная ответственность, но данным лицом не были приняты все зависящие от него меры по соблюдению требований части 1 статьи 6, статьи 7 Закона № 152-ФЗ.
 Состав данного правонарушения является материальным, поскольку в результате действий (бездействия) предусматривает наступление вредных последствий - неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 10000 до 100000 субъектов персональных данных и (или) от 100000 до 1000000 идентификаторов.
 Правонарушение считается оконченным в момент неправомерной передачи (предоставления, распространения, доступа) информации.
 Как следует из материалов дела, в результате проведения административного расследования Управлением установлен факт неправомерного доступа к ИСПДн оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных абонентов оператора, а именно 36544 субъектов персональных данных, путем их размещения на сайте в сети Интернет по адресу: https://t.me/__/, в связи с чем, в действиях Общества содержится событие административного правонарушения, предусмотренного частью 13 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.
 Следует отметить, что по факту неправомерного доступа к компьютерной информации следственным отделом МИ МВД России «Красноярское» 30.09.2025г. возбуждено уголовное дело по части 1 ст. 272 УК РФ.
 19.12.2025г. ООО «Название» признан потерпевшим по данному делу (постановление о признании потерпевшим от 19.12.2025 г.).
 13.11.2025г. по инициативе следственного органа в отношении неустановленного лица возбуждено уголовное дело по признакам состава преступления, предусмотренного ч.1 ст. 273 УК РФ (постановление о ВУД в адрес ООО «Название» не направлялось, сведения получены из постановлении о соединении уголовных дел от 22.01.2026 г.).
 13.01.2026г. ООО «Название» исходя из фактических обстоятельств дела заявлено ходатайство о возбуждении уголовного дела по признакам состава преступления, предусмотренного ч.1 ст. 272.1 УК РФ.
 22.01.2026г. возбуждено уголовное дело по признакам состава преступления, предусмотренного ч.1 ст.272.1 УК РФ (Постановление о ВУД от 22.01.2026 г.).
 22.01.2026г. уголовные дела соединены в одно производство. Соединенное дело №12501040048126361, расследование ведется по совершенным преступлениям, предусмотренным: ч.1 ст. 272 УК РФ; ч.1 ст. 273 УК РФ; ч.1 ст.272.1 УК РФ. (Постановление о соединении уголовных дел от 22.01.2026г.)
 В соответствии с ранее принятыми процессуальными решениями (постановление о признании потерпевшим от 30.09.2025г.), а также ст.ст.42, 153 Уголовно-процессуального кодекса Российской Федерации ООО «Название» является потерпевшим по рассматриваемым обстоятельствам в рамках объединенного дела.
 По мнению Общества, выводы административного органа о наличии единоличной вины ООО «Название» нарушения законодательства Российской Федерации в области персональных данных, являются преждевременными.
 Общество, со ссылкой на наличие возбужденного уголовного дела (итоговый судебный акт - приговор, устанавливающий вину в рамках уголовного судопроизводства не принят), отсутствия достоверных доказательств виновности, противоправности действий со стороны общества либо его сотрудников, поскольку соответствующая вина не установлена, лица, причастные к нарушению охраняемых законом прав сотрудников Общества не установлены, полагает, что имеются основания для отказа в удовлетворении заявленных требований о привлечении Общества к административной ответственности.
 Суд находит данные доводы Общества необоснованными в силу следующего.
 Федеральным законом от 30.11.2024г. № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» Уголовный кодекс Российской Федерации дополнен статьей 272.1, предусматривающей уголовную ответственность за незаконное использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.
 Статья 272.1 УК РФ криминализирует незаконные действия с компьютерной информацией, содержащей персональные данные.
  Как следует из пояснительной записки к проекту Федерального закона от 30.11.2024г. № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» законопроект предусматривает уголовную ответственность для злоумышленников, которые незаконно собирают, хранят, используют и (или) передают компьютерную информацию, содержащую персональные данные, полученные путем неправомерного доступа к средствам хранения, обработки или передачи компьютерной информации или с использованием иных незаконных способов.
 Таким образом, для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), который содержит персональные данные, полученные незаконным путем. Это позволяет разграничивать новый состав УК РФ от правонарушений, ответственность за которые предусмотрена Кодексом Российской Федерации об административных правонарушениях в статье 13.11 «Нарушение законодательства РФ в области персональных данных», а также иных составов преступлений.
 Статья 272.1 УК РФ применяется только к данным, полученным незаконным путем: через неправомерный доступ к компьютерной системе (взлом, использование чужих учетных данных), путем вмешательства в функционирование систем хранения и обработки данных или другими незаконными способами, например, подкуп сотрудника с доступом к базе данных.
 Судом установлено, что ООО «Название» признано потерпевшим в рамках уголовного дела №12501040048126361, возбужденного в отношении неустановленных лиц, в действиях которых усматриваются признаки преступления, предусмотренного ч.1 ст. 272.1 УК РФ.
 Вопреки доводам Общества, датой и временем совершения правонарушения является дата первого зафиксированного факта неправомерной передачи персональных данных (дата выявления новости в сети Интернет), а именно - 29.07.2025 21:55.
 Обществом в адрес Управления представлен отчет ООО «Бизон» о расследовании инцидента в инфраструктуре ООО "Название» от 16.07.2025г., из которого следует, что самая ранняя активность злоумышленников на сервере (использовался для сканирования бумажных документов и имел сетевую связанность как с внешними сетями, так и с внутренней инфраструктурой) началась с использованием учетной записи drovennikov_a, принадлежащей сотруднику, уволенному еще в 2022 году.
  Пароль пользователя не менялся с момента создания учетной записи в 2019 году.
 Отчетом установлен самый ранний обнаруженный скомпрометированный сервер, который был скомпрометирован 30.05.2025г. с использованием учетной записи drovennikov_a, что отражено в таблице отчета.
 Таким образом, вопреки доводам Общества отчет не содержит информации о доступе злоумышленников к инфраструктуре ООО «Название» ранее 30.05.2025г. (до введения в действие ч. 13 ст. 13.11 КоАП РФ).
 Также согласно отчету, источником первого подключения являлся хост, на котором по состоянию на конец апреля 2025 г. было развернуто ПО, версия которого имеет критическую уязвимость, которая могла быть использована атакующими для первоначального проникновения. Следующие SSH-соединения производились с иного хоста, на котором имелось большое количество ПО с критическими уязвимостями.
 Любая из этих уязвимостей могла быть использована атакующими для проникновения в инфраструктуру и дальнейшего перемещения по ней. Установка gsocket в качестве системного сервиса подразумевала наличие у атакующих прав пользователя root. Такие права атакующие смогли получить по причине некорректной конфигурации системы безопасности в операционной системе: пользователь drovennikov_a входил в группу с названием fullsudo. Согласно описанию этой группы, все члены этой группы могли повышать свои привилегии без ввода пароля. Также в отчете указано, что пароль пользователя root может быть подобран по словарю либо простым перебором, а пароль некоторых учетных записей не изменялся с момента ее создания в 2019 году.
 Проанализировав содержание указанного отчета, суд приходит к выводу о том, что Общество крайне пренебрежительно относилось к требованиям информационной безопасности, своевременно не изменяло пароли учетных записей пользователей, не деактивировало учетные записи уволенных сотрудников, использовало программное обеспечение, имеющее критические уязвимости, а также использовало некорректную конфигурацию системы безопасности в операционной системе, чем создавало угрозу утечки персональных данных большого количества пользователей.
 Данные выводы подтверждаются также тем, что злоумышленники получили доступ к инфраструктуре Общества как минимум 30.05.2025г., а Общество обнаружило утечку только 12.06.2025г., когда было зафиксировано падение системы.
 В отчете также указано, что 11.06.2025г. в 8.45 атакующие удаленно скопировали файл базы данных, с этого момента домен Общества был полностью скопрометирован.
 Как видно из отчета, установленное злоумышленниками соединение было разорвано, а все файлы средств злоумышленников были удалены при помощи агента BI.ZONE EDR.
 Из общедоступных источников информации в сети Интернет судом установлено, что EDR-агент - это программный модуль (приложение), устанавливаемый на конечные точки (ноутбуки, серверы, рабочие станции) для непрерывного мониторинга активности, сбора телеметрии, выявления сложных угроз и реагирования на инциденты информационной безопасности. В отличие от антивируса, EDR-агент не просто блокирует файлы, а анализирует поведение процессов, сеть и реестр в реальном времени. Для обнаружения угроз использует поведенческий анализ для выявления аномалий и признаков компрометации, позволяет изолировать устройство от сети, остановить процесс или удалить вредоносный файл.
 При таких данных, суд полагает, что безопасность в операционной системе Общества не была надлежащим образом обеспечена, а доводы Общества относительно совершения правонарушения до 30.05.2025г. судом отклоняются, как противоречащие представленным доказательствам. При этом, отчет от 20.01.2026г., представленный Обществом, не опровергает выводы суда.
 Довод Общества о том, что на Управление Роскомнадзора возложена обязанность по блокировке контента группы ВоТеаm в сети Интернет, отклоняется судом как не имеющий правового значения, поскольку данные обстоятельства предметом спора не являются.
 Иные доводы Общества судом оценены и отклонены, как не опровергающие установленные по делу обстоятельства.
 Материалами дела об административном правонарушении подтверждается и в процессуальном порядке не опровергнуто нарушение Обществом вышеуказанных требований Закона о персональных данных.
 Доказательств невозможности соблюдения Обществом указанных требований в силу чрезвычайных событий и обстоятельств, которые оно не могло предвидеть и предотвратить при соблюдении той степени заботливости и осмотрительности, которая от него требовалась, в материалах дела не имеется, что свидетельствует о наличии вины Общества во вмененном ему правонарушении согласно части 2 статьи 2.1 КоАП РФ.
 Таким образом, Управлением представлены надлежащие, исчерпывающие и применительно к статье 68 АПК РФ допустимые доказательства, свидетельствующие о наличии в действиях Общества (как оператора) состава правонарушения, ответственность за которое предусмотрена частью 13 статьи 13.11 КоАП РФ.
 Приведенные Обществом ссылки на судебную практику судом отклоняются, поскольку обстоятельства дела по каждому спору устанавливаются судом самостоятельно, а судебные решения, приведенные Обществом, преюдициального или прецедентного значения для рассмотрения настоящего дела не имеют.  Судебная практика не является формой права и высказанная в ней позиция конкретного суда не является обязательной для применения при разрешении внешне тождественных дел.
 Протокол составлен должностным лицом административного органа в пределах предоставленных законом полномочий. Процессуальных нарушений при производстве по делу об административном правонарушении судом не установлено. Дело рассмотрено в пределах предусмотренного статьей 4.5 КоАП РФ срока давности привлечения к административной ответственности.
 Согласно статье 2.9 КоАП РФ при малозначительности совершенного административного правонарушения судья, орган, должностное лицо, уполномоченные решить дело об административном правонарушении, могут освободить лицо, совершившее административное правонарушение, от административной ответственности и ограничиться устным замечанием.
 В соответствии с пунктом 18 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 02.06.2004г. №10 «О некоторых вопросах, возникших в судебной практике при рассмотрении дел об административных правонарушениях» при квалификации правонарушения в качестве малозначительного судам необходимо исходить из оценки конкретных обстоятельств его совершения. Малозначительность правонарушения имеет место при отсутствии существенной угрозы охраняемым общественным отношениям.
 Квалификация правонарушения как малозначительного может иметь место только в исключительных случаях и производится с учетом положений пункта 18 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 02.06.2004г. № 10 «О некоторых вопросах, возникших в судебной практике при рассмотрении дел об административных правонарушениях» применительно к обстоятельствам конкретного совершенного лицом деяния (пункт 18.1).
  Учитывая положения статьи 2.9 КоАП РФ, пункта 18.1 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 02.06.2004г. №10 «О некоторых вопросах, возникших в судебной практике при рассмотрении дел об административных правонарушениях», принимая во внимание, что доказательств исключительности обстоятельств, повлекших правонарушение, не представлено, суд не усматривает оснований для применения положений статьи 2.9 КоАП РФ и освобождения общества от административной ответственности.
 Согласно статье 3.1 КоАП РФ административное наказание применяется в целях предупреждения совершения новых правонарушений, как самим правонарушителем, так и другими лицами.
 Конкретные обстоятельства, связанные с совершением административного правонарушения, подлежат оценке в соответствии с общими правилами назначения административного наказания, основанным на принципах справедливости, соразмерности и индивидуализации ответственности.
 Санкцией части 13 статьи 13.11 КоАП РФ предусмотрено административное наказание для юридических лиц в виде штрафа от пяти миллионов до десяти миллионов рублей.
 Согласно части 1 статьи 4.1.1 Кодекса Российской Федерации об административных правонарушениях за впервые совершенное административное правонарушение, выявленное в ходе осуществления государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи.
 Согласно части 2 статьи 3.4 Кодекса Российской Федерации об административных правонарушениях предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.
 С учетом взаимосвязанных положений части 2 статьи 3.4 и части 1 статьи 4.1.1 КоАП РФ возможность замены наказания в виде административного штрафа предупреждением допускается при наличии совокупности всех обстоятельств, указанных в части 2 статьи 3.4 КоАП РФ.
 Как установлено судом, ООО «Название» относится к субъектам малого и среднего предпринимательства, включенным в Единый реестр субъектов малого и среднего предпринимательства в качестве малого предприятия.
 В рассматриваемом случае причинение вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства не установлено. Сведений о наличии имущественного ущерба материалы дела не содержат, административный орган на них не ссылался. Доказательства обратного не представлены.
 При этом в части 2 статьи 4.1.1 КоАП РФ статья 13.11 Кодекса не поименована, то есть законом не исключается замена административного штрафа предупреждением и при совершении рассматриваемого правонарушения.
 Исходя из целей и задач административного производства, учитывая степень вины привлекаемого к ответственности, совершение правонарушения впервые (доказательства обратного суду не представлены), отсутствие сведений об отягчающих ответственность обстоятельствах, конституционный принцип соразмерности административного наказания, а также дифференциацию публично-правовой ответственности в зависимости от тяжести содеянного, размера и характера причиненного ущерба, суд полагает возможным применить положения части 1 статьи 4.1.1 КоАП РФ и назначить Обществу административное наказание за совершенное правонарушение в виде предупреждения.
 При этом, доводы Управления о том, что положения части 3 статьи 3.4 и статьи 4.1.1 КоАП РФ в данном случае не подлежат применению, поскольку правонарушение выявлено не в рамках осуществления государственного контроля (надзора), муниципального контроля, подлежат отклонению.
 По смыслу статьи 4.1 КоАП РФ процедура выявления факта совершения правонарушения или способ такого выявления не относятся к обстоятельствам, которые учитываются при назначении наказания. В целях применения вышеприведенных положений понятие «государственный контроль (надзор)» следует рассматривать в широком смысле, не ограничивая его только рамками действия Федерального закона от 31.07.2020г. №248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», иное означало бы нарушение 20 одного из основополагающих принципов равенства всех перед законом (статья 1.4 КоАП РФ).
 Иное толкование положений статьи 4.1.1 Кодекса приведет к тому, что
применение данной нормы будет поставлено в зависимость не от совокупности условий, установленных Кодексом, необходимых для ее применения, а от вида проводимой государственной (муниципальной) проверки и конкретного государственного (муниципального) органа, в чью компетенцию входит проведение таких контрольных (надзорных) мероприятий, что приведет к нарушению принципа равенства всех перед законом (статья 1.4 Кодекса).
 Учитывая изложенное, а также принимая во внимание, что применение к Обществу наказания в виде административного штрафа в данном случае не отвечает принципу соразмерности и справедливости административного наказания, такое наказание носит неоправданно карательный характер, повлечет чрезмерное ограничение прав Общества, суд приходит к выводу о возможности применения положений статьи 4.1.1 Кодекса и замене административного наказания в виде административного штрафа на предупреждение.
 Суд полагает, что назначение в данном случае административного наказания в виде предупреждения соответствует принципам законности, справедливости, неотвратимости и целесообразности юридической ответственности, а также характеру совершенного правонарушения и соразмерно его тяжести.
 Настоящее решение выполнено в форме электронного документа, подписанного усиленной квалифицированной электронной подписью судьи, в связи с чем, направляется лицам, участвующим в деле, посредством его размещения на официальном сайте суда в сети «Интернет» по адресу: https://kad.arbitr.ru.
 По ходатайству указанных лиц копии решения на бумажном носителе могут быть направлены им в пятидневный срок со дня поступления соответствующего ходатайства заказным письмом с уведомлением о вручении или вручены им под расписку.
 Руководствуясь статьями 167-170, 206 Арбитражного процессуального кодекса Российской Федерации, арбитражный суд
                                                      решил:
заявленное требование удовлетворить.
 Привлечь Общество с ограниченной ответственностью «Название» (ОГРН ___, ИНН __, адрес: __, Иркутская область, г. Иркутск, ул.__ Партизанская, д.__) к административной ответственности, предусмотренной частью 13 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить наказание в виде предупреждения.
 Решение может быть обжаловано в Четвертый арбитражный апелляционный суд в течение десяти дней со дня его принятия.

Судья                                Л.А. Куклина

Источник: https://kad.arbitr.ru/Document/Pdf/5ad2480b-6558-4e00-92cb-442df1718d84/0249bca7-c6c4-431b-b148-00ad695274d4/A19-25808-2025_20260512_Reshenija_i_postanovlenija.pdf?isAddStamp=True