АРБИТРАЖНЫЙ СУД
КЕМЕРОВСКОЙ ОБЛАСТИ
                                                                        Дело №А27-23786/2025

Р Е Ш Е Н И Е
именем Российской Федерации

28 апреля 2026 года                                                         г. Кемерово

Резолютивная часть решения объявлена 14 апреля 2026 года
Решение в полном объеме изготовлено 28 апреля 2026 года

Арбитражный суд Кемеровской области в составе судьи Аникиной К.Е.,
при ведении протокола судебного заседания секретарем Лебеденко В.П., рассмотрев в открытом судебном заседании с участием представителей: от заявителя – ФИО (доверенность от 04.02.2026, диплом, служебное удостоверение), от ООО «Название» - ФИО (он-лайн, доверенность от 11.11.2025 года, диплом, паспорт)

дело по заявлению Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кемеровской области Кузбассу (ОГРН __, ИНН ____), город Кемерово к обществу с ограниченной ответственностью «Название» (ОГРН ____, ИНН _____), Кемеровская область – Кузбасс, город Новокузнецк о привлечении к административной ответственности по части 12 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях,
                                           у с т а н о в и л:
 21.10.2025 в Арбитражный суд Кемеровской области из Заводского районного суда г.Кемерово по подсудности поступило дело по заявлению Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кемеровской области-Кузбассу о привлечении к административной ответственности по части 12 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях общества с ограниченной ответственностью «Название».
 В судебном заседании представителем ООО «Название» заявлено ходатайство о назначении экспертизы для определения степени вины общества.
 Представитель административного органа возражал против удовлетворения ходатайства о назначении судебной экспертизы.
 Суд, рассмотрев ходатайство о проведении судебной экспертизы, отказывает в его удовлетворении.
 Определяя необходимость назначения той или иной экспертизы, суд исходит из предмета заявленных исковых требований и обстоятельств, подлежащих доказыванию в рамках этих требований. Судебная экспертиза назначается судом в случаях, когда вопросы права нельзя разрешить без оценки фактов, для установления которых требуются специальные познания. В настоящем случае сформулированные Обществом вопросы носят правовой характер, постановка которых перед экспертом является недопустимой. Определение степени вины Общества относится к компетенции суда.
 Суд, руководствуясь положениями статьи 82 АПК РФ, приходит к выводу об отсутствии необходимости проведения экспертного исследования по настоящему делу, при наличии возможности разрешения спора путем оценки представленных в дело доказательств.
 Представителем ООО «Название» также заявлено ходатайство о вызове
специалистов, мотивированное тем, что в ходе судебных заседаний неоднократно возникали вопросы, которые требуют специальных познаний в сфере информационных технологий и защиты информации.
 Представитель Управления возражал против заявленного ходатайства о вызове специалистов, вопросы, сформулированные обществом для экспертов и специалистов, имеют отношение к рассмотрению уголовного дела по ст. 272.1 УК РФ.
В соответствии с частью 1 статьи 55.1 АПК РФ специалистом в арбитражном суде является лицо, обладающее необходимыми знаниями по соответствующей специальности, осуществляющее консультации по касающимся рассматриваемого дела вопросам.
 Частью 1 статьи 87.1 АПК РФ предусмотрено, что в целях получения разъяснений, консультаций и выяснения профессионального мнения лиц, обладающих теоретическими и практическими познаниями по существу разрешаемого арбитражным судом спора, арбитражный суд может привлекать специалиста.
 По смыслу части 1 статьи 87.1 АПК РФ удовлетворение ходатайства о
получении консультации специалистов представляет собой право, а не обязанность суда.
 Пленум Высшего Арбитражного Суда Российской Федерации в пункте 3
постановления от 08.10.2012 N 59 разъяснил, что согласно положениям части 2 статьи 55.1, части 1 статьи 87.1 Арбитражного процессуального кодекса Российской Федерации, специалист может быть привлечен в процесс только по инициативе арбитражного суда. При этом арбитражный суд может учитывать мнение лиц, участвующих в деле.
 Согласно статье 71 АПК РФ вопрос достаточности и взаимной связи доказательств в их совокупности также разрешается судом, рассматривающим спор.
 Таким образом, по смыслу указанных положений, привлечение специалиста является правом, а не обязанностью суда. Необходимость его участия в деле оценивается судом в каждом конкретном случае с учетом фактических обстоятельств дела и представленных доказательств.
 В ходе рассмотрения настоящего дела суд такой необходимости не усматривает, в связи с чем отказывает в удовлетворении ходатайства о привлечении в процесс специалистов.
 Кроме того, заявление Обществом указанных ходатайств спустя почти пять месяцев после предъявления к нему требований, суд расценивает как попытку затянуть рассмотрение дела и избежать ответственности в связи с истечением сроков давности привлечения к административной ответственности, тогда как лица, участвующие в деле, должны пользоваться принадлежащими им процессуальными правами добросовестно и не допускать злоупотребления ими (часть 2 статьи 41 АПК РФ).
 В судебном заседании представитель Управления требования поддержал, просил привлечь Общество к административной ответственности по части 12 статьи 13.11 КоАП РФ с назначением наказания в виде штрафа.
 Представитель ООО «Название» полагал, что отсутствуют основания для привлечения Общества к административной ответственности за совершение административного правонарушения, предусмотренного ч.12 ст.13.11 КоАП РФ. По мнению общества, производство по делу следует прекратить в связи с отсутствием состава административного правонарушения. Подробно доводы изложены в отзыве на заявление.
 Заслушав пояснения сторон, исследовав материалы дела, оценив представленные доказательства, суд установил следующее.
 В Управление Роскомнадзора по Кемеровской области-Кузбассу 12.06.2025 от ООО «Название» (оператор) поступило уведомление о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных. Уведомление об инциденте сформировано оператором на портале Роскомнадзора (направлено 12.06.2025 в 19 час. 41 мин., присвоен номер 9613859, ключ 13994995), из которого следует, что в результате DDOS-атаки неустановленных лиц на инфраструктуру оператора, произошедшей 12.06.2025 в 01:13, нарушены права субъектов персональных данных, обрабатываемых оператором. Неустановленными лицами получен доступ к таким персональным данным абонентов как фамилия, имя,отчество, серия и номер паспорта, дата рождения, адрес. Количество скомпрометированных строк - 4226.
 Также от оператора в Управление поступило уведомление об инциденте, содержащее результаты внутреннего расследования инцидента. Уведомление об инциденте сформировано оператором на портале Роскомнадзора (направлено 14.06.2025 в 16 час. 45 мин., присвоен номер 9618040, ключ 15309439), из которого следует, что в результате атаки злоумышленники получили доступ к сетевому оборудованию, физическим серверам и виртуальной инфраструктуре. Первоначальная точка проникновения и информация по используемым тактикам/техникам атакующих на момент подачи уведомления об инциденте от 14.06.2025 неизвестны. Количество скомпрометированных строк - 4226.
 В Управление 11.07.2025 поступило письмо Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10.07.2025 №08-318179 (вх. от 11.07.2025 №24310/42), содержащее информацию о признаках неправомерной или случайной передачи ООО «Название» персональных данных в объеме: должность, фамилия, имя, отчество, серия и номер паспорта, дата рождения, адрес, номер телефона, адрес электронной почты.
 Кроме того, от оператора 30.07.2025 в Управление поступило уведомление об инциденте. Уведомление об инциденте сформировано оператором на портале Роскомнадзора (направлено 30.07.2025 в 15 час. 42 мин., присвоен номер 9804677, ключ 12323854), согласно которому оператором 29.07.2025 в 21:55 был установлен факт того, что ранее скомпрометированные данные были выгружены в открытом доступе. Характеристики персональных данных - данные абонентов (фамилия, имя, отчество, номер телефона, данные документов, удостоверяющих личность), 4226 записей.
 01.08.2025 от оператора в Управление поступило уведомление об инциденте, содержащее результаты внутреннего расследования инцидента. Уведомление об инциденте сформировано оператором на портале Роскомнадзора (направлено 01.08.2025 в 14 час. 32 мин., присвоен номер 9810889, ключ 61661890), из которого следует, что 29.07.2025 в 21:55 в Телеграмм-канале ВО_Теаm был выложен файл в формате csv с названием abonent_info_last (1). Во вложенном файле содержались следующие данные: идентификационный номер абонента, присвоенный в системе биллинга; идентификационный номер сотрудника ГК Орион, внесшего данные контрагента в биллинговую систему; фамилия, имя, отчество абонента; комментарий, оставленный сотрудником ГК Орион в результате общения с абонентом;
идентификационный номер записи из таблицы адресов подключения;
идентификационный номер записи паспортных данных абонента; текстовое представление адреса; текстовое представление паспортных данных; текстовое представление номера (-ов) телефона абонента; электронная почта абонента; логин абонента для входа в личный кабинет (в настоящее время поле не используется в разработке); пароль от личного кабинета (в настоящее время поле не используется в разработке); день рождения абонента; логин абонента, используемый для входа в личный кабинет; пароль, используемый абонентом для входа в личный кабинет; комментарий, оставленный сотрудников ГК Орион в результате общения с абонентом; текстовое представление адреса; ip абонента.
 Характеристики персональных данных - данные абонентов (фамилия, имя, отчество, номер телефона, данные документов, удостоверяющих личность), 4226 записей. Сведения о лицах, действия которых стали причиной инцидента: проукраинская хакерская группировка BO_Team_UA. Местонахождение группировки не установлено.
 Таким образом, оператором по результатам внутреннего расследования выявленного инцидента подтвержден факт неправомерного доступа к информации о 4226 субъектах персональных данных, содержащейся в информационной системе оператора.
 28.07.2025 года Управлением в отношении ООО «Название» было возбуждено дело об административном правонарушении и проведении
административного расследования № 10657-05/42.
 В связи с тем, что возникла необходимость в истребовании информации у ООО «Название», Управлением Роскомнадзора вынесены определения об истребовании сведений, необходимых для разрешения дела (от 28.07.2025 № 10667-05/42 и от 25.08.2025), а именно:
сведения о наименовании баз данных, в которых оператором осуществляется обработка персональных данных; сведения о содержании баз данных, в которых оператором осуществляется обработка персональных данных (указать, какой перечень персональных данных в них обрабатывается, указать количество субъектов персональных данных (по каждой категории субъектов персональных данных), которое содержится в базе данных); сведения об информационных системах персональных данных (далее - ИСПДн) оператора (указать, какие ИСПДн используются оператором); сведения по каждой ИСПДн с отражением информации о категориях персональных данных, которые в них обрабатываются, и о количестве субъектов персональных данных (указать информацию в отношении каждой категории субъектов персональных данных, которые содержатся в ИСПДн); сведения о содержании базы данных (ее части) оператора, в которой им обрабатываются персональные данные и ставшей доступной неограниченному кругу лиц в результате неправомерного доступа и последующего распространения персональных данных (указать перечень персональных данных, указать количество субъектов персональных данных по каждой категории); выгрузка сведений из ИСПДн оператора, которые оказались в распоряжении лиц, осуществивших DDOS-атаку на инфраструктуру оператора и осуществивших последующее распространение персональных данных; представить сведения о результатах внутреннего расследования, проведенного оператором, по факту выявленного неправомерного доступа и последующего распространения персональных данных, причинах, в результате которых произошел факт неправомерного доступа и последующего распространения персональных данных (указать предполагаемые причины, вследствие которых стал возможен инцидент; указать вследствие каких действий (бездействий) оператора стал возможен инцидент).
 В Управление от ООО «Название» поступили ответы, которые содержали информацию о наименовании базы данных, в которой оператор обрабатывал персональные данные, о хранящихся в ней персональных данных 4527 субъектов персональных данных. В скомпрометированной базе данных содержится 4225 уникальных строк абонентов ООО «Название».
 В результате проведения административного расследования Управлением установлен факт неправомерного доступа к ИСПДн оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных абонентов оператора, а именно 4225 субъектов персональных данных путем их размещения в Телеграмм-канале в сети Интернет с нарушением требований части 1 статьи 6, статьи 7 Закона № 152-ФЗ.
 Административный орган пришел к выводу о том, что ООО «Название»
допущено административное правонарушение, ответственность за которое установлена ч. 12 ст. 13.11 КоАП РФ.
 По факту выявленных нарушений Управлением Роскомнадзора в отношении ООО «Название» составлен протокол об административном правонарушении от 08.10.2025 № АП-42/4/619.
 На основании статьи 23.1, статьи 25.11 КоАП РФ заявитель обратился в суд с заявлением о привлечении общества к административной ответственности за совершение правонарушения, предусмотренного частью 12 статьи 13.11 КоАП РФ.
 В соответствии с частью 6 статьи 205 АПК РФ при рассмотрении дела о
привлечении к административной ответственности арбитражный суд в судебном заседании устанавливает, имелось ли событие административного правонарушения и имелся ли факт его совершения лицом, в отношении которого составлен протокол об административном правонарушении, имелись ли основания для составления протокола об административном правонарушении и полномочия административного органа, составившего протокол, предусмотрена ли законом административная ответственность за совершение данного правонарушения и имеются ли основания для привлечения к административной ответственности лица, в отношении которого составлен протокол, а также определяет меры административной ответственности.
 Частью 1 статьи 2.1 КоАП РФ установлено, что административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое названным Кодексом или законами субъектов Российской Федерации об административных правонарушениях установлена административная ответственность.
 В соответствии с частью 1 статьи 1.6 КоАП РФ лицо, привлекаемое к
административной ответственности, не может быть подвергнуто административному наказанию и мерам обеспечения производства по делу об административном правонарушении иначе как на основаниях и в порядке, установленных законом.
 В силу статьи 26.2 КоАП РФ доказательствами по делу об административном правонарушении являются любые фактические данные, на основании которых судья, орган, должностное лицо, в производстве которых находится дело, устанавливают наличие или отсутствие события административного правонарушения, виновность лица, привлекаемого к административной ответственности, а также  иные обстоятельства, имеющие значение для правильного разрешения дела.
 Эти данные устанавливаются протоколом об административном правонарушении, иными протоколами, предусмотренными КоАП РФ, объяснениями лица, в отношении которого ведется производство по делу об административном правонарушении, показаниями потерпевшего, свидетелей, заключениями эксперта, иными документами, а также показаниями специальных технических средств, вещественными доказательствами.
 Управление Роскомнадзора по Кемеровской области-Кузбассу на основании пункта 7 Положения об Управлении Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Кемеровской области Кузбассу, утвержденного приказом Роскомнадзора от 09.07.2020 № 90, осуществляет функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных на территории Кемеровской области - Кузбассу (подведомственной территории).
 Отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, иными муниципальными органами, юридическими лицами и физическими лицами регулируется Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ, Закон о персональных данных).
 Согласно пунктам 1 - 3 статьи 3 Закона N152-ФЗ персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
 Положениями пункта 2 статьи 3 Закона N 152-ФЗ установлено, что оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или)
осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
 Согласно пункта 3 статьи 3 Закона N 152-ФЗ обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
 Случаи, при которых допускается обработка персональных данных субъекта, закреплены статьей 6 Закона N 152-ФЗ. Согласно пункту 1 части 1 статьи 6 Закона N152-ФЗ обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
 Предоставление персональных данных - это действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
 Под распространением персональных данных понимаются действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
 Согласно положениями статьи 7 Закона N 152-ФЗ операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
 В силу части 1 статьи 18.1 Закона N 152-ФЗ оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом.
 При этом согласно части 1 статьи 19 Закона N 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а
также от иных неправомерных действий в отношении персональных данных.
 Обеспечение безопасности персональных данных достигается, в частности определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных (часть 2 статьи 19 Закона N 152-ФЗ).
 В силу положений постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с частью 5 статьи 19 Федерального закона "О персональных данных".
 Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия (п.6 постановления Правительства РФ от 01.11.2012 N 1119).
 Федеральным законом от 30.11.2024 N 420-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" введена в действие часть 12 статьи 13.11 КоАП РФ, предусматривающая ответственность за действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 1000 до 10000 субъектов персональных данных и (или) от 10000 до 100000 идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.
 Объектом правонарушения являются общественные отношения в сфере защиты персональных данных.
 Субъектом правонарушения выступают в том числе операторы персональных данных.
 С субъективной стороны правонарушение может быть совершено как
умышленно, так и по неосторожности.
 Объективную сторону состава правонарушения, предусмотренного указанной выше нормой, образуют действия (бездействие), повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 1000 до 10000 субъектов персональных данных и (или) от 10000 до 100000 идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния.
 Вопреки доводам представителей Управления и Общества, состав данного правонарушения является материальным, поскольку в результате действий (бездействия) предусматривает наступление вредных последствий - неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 1000 до 10000 субъектов персональных данных и (или) от 10000 до 100000 идентификаторов.
 Правонарушение считается оконченным в момент неправомерной передачи (предоставления, распространения, доступа) информации.
 Как видно из материалов дела, в результате проведения административного расследования Управлением установлен факт неправомерного доступа к ИСПДн оператора, повлекшего за собой распространение неограниченному кругу лиц персональных данных абонентов оператора, а именно 4225 субъектов персональных данных, путем их размещения в телеграм-канале в сети Интернет, в связи с чем в действиях общества содержится событие административного правонарушения, предусмотренного частью 12 статьи 13.11 КоАП РФ.
 Общество указывает, что наличие признаков уголовно-наказуемого деяния (в данном случае возбуждено уголовное дело №12501040048126361) является отдельным основанием для прекращения дела об административном правонарушении в связи с отсутствием состава административного правонарушения по ч.12 ст. 13.11 КоАП РФ (п.2 ч.1 ст. 24.5 КоАП РФ).
 Между тем, данные доводы Общества основаны на неверном толковании норм права.
 Федеральным законом от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» Уголовный кодекс Российской Федерации дополнен статьей 272.1, предусматривающей уголовную ответственность за незаконное использование и (или) передачу, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.
 Статья 272.1 УК РФ криминализирует незаконные действия с компьютерной информацией, содержащей персональные данные.
 Как следует из пояснительной записки к проекту Федерального закона от 30.11.2024 N 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» законопроект предусматривает уголовную ответственность для злоумышленников, которые незаконно собирают, хранят, используют и (или) передают компьютерную информацию, содержащую персональные данные, полученные путем неправомерного доступа к средствам хранения, обработки или передачи компьютерной информации или с использованием иных незаконных способов.
 Таким образом, для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), который содержит персональные данные, полученные незаконным путем. Это позволяет разграничивать новый состав УК РФ от правонарушений, ответственность за которые предусмотрена Кодексом Российской Федерации об административных правонарушениях в статье 13.11 «Нарушение законодательства РФ в области персональных данных», а также иных составов преступлений.
 Статья 272.1 УК РФ применяется только к данным, полученным незаконным путём: через неправомерный доступ к компьютерной системе (взлом, использование чужих учётных данных), путём вмешательства в функционирование систем хранения и обработки данных или другими незаконными способами, например, подкуп сотрудника с доступом к базе данных.
 Судом установлено, что ООО «Название» признано потерпевшим в рамках уголовного дела №12501040048126361, возбужденного в отношении неустановленных лиц, в действиях которых усматриваются признаки преступления, предусмотренного ч.1 ст.272.1 УК РФ. В действиях ООО «Название» не содержатся признаки уголовно наказуемого деяния, в связи с чем правонарушение Управлением квалифицировано верно.
 Вопреки доводам Общества, датой и временем совершения правонарушения является дата первого зафиксированного факта неправомерной передачи персональных данных (дата выявления новости в телеграмм-канале), а именно - 29.07.2025 21:55.
 Обществом в адрес Управления представлен отчет ООО «БИЗон» о расследовании инцидента в инфраструктуре ООО «Орион Телеком» от 16.07.2025 (т.1 л.д.159-250), из которого следует, что самая ранняя активность злоумышленников на сервере (использовался для сканирования бумажных документов и имел сетевую связанность как с внешними сетями, так и с внутренней инфраструктурой) началась с использованием учетной записи drovennikov_a, принадлежащей сотруднику, уволенному еще в 2022 году. Пароль пользователя не менялся с момента создания учетной записи в 2019 году.
 Отчетом установлен самый ранний обнаруженный скомпрометированный сервер, который был скомпрометирован 30.05.2025 с использованием учетной записи drovennikov_a, что отражено в таблице отчета (т.1 л.д.166).
 Таким образом, вопреки доводам Общества отчет не содержит информации о доступе злоумышленников к инфраструктуре ООО «Орион Телеком» ранее 30.05.2025 (до введения в действие ч.12 ст.13.11 КоАП РФ).
 Также согласно отчету, источником первого подключения являлся хост, на котором по состоянию на конец апреля 2025 г. было развернуто ПО, версия которого имеет критическую уязвимость, которая могла быть использована атакующими для первоначального проникновения. Следующие SSH-соединения производились с иного хоста, на котором имелось большое количество ПО с критическими уязвимостями.
 Любая из этих уязвимостей могла быть использована атакующими для проникновения в инфраструктуру и дальнейшего перемещения по ней. Установка gsocket в качестве системного сервиса подразумевала наличие у атакующих прав пользователя root. Такие права атакующие смогли получить по причине некорректной конфигурации системы безопасности в операционной системе: пользователь drovennikov_a входил в группу с названием fullsudo. Согласно описанию этой группы, все члены этой группы могли повышать свои привилегии без ввода пароля. Также в отчете указано, что пароль пользователя root может быть подобран по словарю либо простым перебором, а пароль некоторых учетных записей не изменялся с момента ее создания в 2019 году.
 Проанализировав содержание указанного отчета, суд приходит к выводу о том, что общество крайне пренебрежительно относилось к требованиям информационной безопасности, своевременно не изменяло пароли учетных записей пользователей, не деактивировало учетные записи уволенных сотрудников, использовало программное обеспечение, имеющее критические уязвимости, а также использовало некорректную конфигурацию системы безопасности в операционной системе, чем создавало угрозу утечки персональных данных большого количества пользователей.
 Данные выводы подтверждаются также тем, что злоумышленники получили доступ к инфраструктуре Общества как минимум 30.05.2025, а Общество обнаружило утечку только 12.06.2025, когда было зафиксировано падение системы.
 В отчете также указано, что 11.06.2025 в 8.45 атакующие удаленно скопировали файл базы данных, с этого момента домен Общества был полностью скопрометирован.
 Как видно из отчета, установленное злоумышленниками соединение было разорвано, а все файлы средств злоумышленников были удалены при помощи агента BI.ZONE EDR.
 Из общедоступных источников информации в сети Интернет судом установлено, что EDR-агент - это программный модуль (приложение), устанавливаемый на конечные точки (ноутбуки, серверы, рабочие станции) для непрерывного мониторинга активности, сбора телеметрии, выявления сложных угроз и реагирования на инциденты информационной безопасности. В отличие от антивируса, EDR-агент не просто блокирует файлы, а анализирует поведение процессов, сеть и реестр в реальном времени. Для обнаружения угроз использует поведенческий анализ для выявления аномалий и признаков компрометации, позволяет изолировать устройство от сети, остановить процесс или удалить вредоносный файл.
 При таких данных суд полагает, что безопасность в операционной системе Общества не была надлежащим образом обеспечена, а доводы Общества относительно совершения правонарушения до 30.05.2025 судом отклоняются, как противоречащие представленным доказательствам. При этом отчет от 20.01.2026, представленный Обществом, не опровергает выводы суда.
 Указом Президента РФ от 01.05.2022 N 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» на юридических лиц, являющихся субъектами критической информационной инфраструктуры Российской Федерации возложены полномочия по обеспечению информационной безопасности органа (организации), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты (подпункт «а» пункта 1 Указа).
 Суд отклоняет довод ООО «Название» о том, что Приказ ФСТЭК России от 11.02.2013 N17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее - Приказ № 17) допускает утечку данных в информационных системах 3 класса защищенности.
 Согласно пункту 3 Приказа № 17 настоящие Требования являются обязательными при обработке информации в государственных информационных системах, функционирующих на территории Российской Федерации, а также в муниципальных информационных системах, если иное не установлено законодательством Российской Федерации о местном самоуправлении.
 В силу пункта 4 Приказа № 17 настоящие Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной информационной системы (далее - заказчики) и операторов государственных информационных систем (далее - операторы).
 Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее - уполномоченное лицо), обеспечивает защиту информации в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации. В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями.
  Согласно пункту 6 Приказа № 17 по решению обладателя информации (заказчика) или оператора настоящие Требования могут применяться для защиты информации, содержащейся в негосударственных информационных системах.
 Таким образом, нормы Приказа № 17 обязательны для государственных
информационных систем.
 Косвенно они распространяются на коммерческие организации, являющиеся исполнителем (подрядчиком) в рамках государственного или муниципального контракта.
 В иных случаях проведение классификации информационных систем персональных данных не установлено ни Законом о персональных данных, ни Требованиями, утвержденными постановлением Правительства РФ от 01.11.2012 №1119.
 Общество, ссылаясь на законодательство о критической инфраструктуре, указывает, что все операторы связи, в том числе ООО «Название», отнесены к 3 категории, для которой допускается утечка информации, что не является нарушением законодательства.
 Отклоняя данный довод, суд исходит из того, что ни в одном из приведенных обществом нормативных правовых актов, а также в иных нормативных правовых актах Российской Федерации не содержится допущение утечки информации, содержащей персональные данные третьих лиц для какой-либо из категорий объектов критической информационной инфраструктуры Российской Федерации. Отнесение общества к какой-либо категории критической информационной инфраструктуры Российской Федерации не дает ему право нарушать права субъектов персональных данных.
 Допущенные обществом нарушения возникли после вступления в законную силу части 12 статьи 13.11 КоАП, что следует из уведомлений ООО «Название», информация из которых подтвердилась в ходе мониторинга сети «Интернет» посредством размещения и выявления Роскомнадзором 29.07.2025 скомпрометированной базы данных, содержащей персональные данные, обрабатываемые ООО «Название», а также установлена в ходе административного расследования Управления.
 Бездействие ООО «Название» по непринятию всех зависящих от него мер по соблюдению требований Закона о персональных данных повлекли неправомерную передачу персональных данных в сети «Интернет» свыше 1000 субъектов персональных данных.
 Довод общества о том, что на Управление Роскомнадзора возложена обязанность по блокировке контента группы ВоТеаm в мессенджере Telegram, отклоняется судом как не имеющий правового значения, поскольку данные обстоятельства предметом спора не являются.
 Иные доводы Общества судом оценены и отклонены, как не опровергающие установленные по делу обстоятельства.
 Материалами дела об административном правонарушении подтверждается и в процессуальном порядке не опровергнуто нарушение обществом вышеуказанных требований Закона о персональных данных.
Доказательств невозможности соблюдения обществом указанных требований в силу чрезвычайных событий и обстоятельств, которые оно не могло предвидеть и предотвратить при соблюдении той степени заботливости и осмотрительности, которая от него требовалась, в материалах дела не имеется, что свидетельствует о наличии вины Общества во вмененном ему правонарушении согласно части 2 статьи 2.1 КоАП РФ.
 Таким образом, Управлением представлены надлежащие, исчерпывающие и применительно к статье 68 АПК РФ допустимые доказательства, свидетельствующие о наличии в действиях общества (как оператора) состава правонарушения, ответственность за которое предусмотрена частью 12 статьи 13.11 КоАП РФ.
 Приведенные Обществом ссылки на судебную практику судом отклоняются, поскольку обстоятельства дела по каждому спору устанавливаются судом самостоятельно, а судебные решения, приведенные Обществом, преюдициального или прецедентного значения для рассмотрения настоящего дела не имеют. Судебная практика не является формой права и высказанная в ней позиция конкретного суда не является обязательной для применения при разрешении внешне тождественных дел.
 Протокол составлен должностным лицом административного органа в пределах предоставленных законом полномочий. Процессуальных нарушений при производстве по делу об административном правонарушении судом не установлено. Дело рассмотрено в пределах предусмотренного статьей 4.5 КоАП РФ срока давности привлечения к административной ответственности.
  Согласно статье 2.9 КоАП РФ при малозначительности совершенного административного правонарушения судья, орган, должностное лицо, уполномоченные решить дело об административном правонарушении, могут освободить лицо, совершившее административное правонарушение, от административной ответственности и ограничиться устным замечанием.
 В соответствии с пунктом 18 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 02.06.2004 N 10 "О некоторых вопросах, возникших в судебной практике при рассмотрении дел об административных правонарушениях" при квалификации правонарушения в качестве малозначительного судам необходимо исходить из оценки конкретных обстоятельств его совершения. Малозначительность правонарушения имеет место при отсутствии существенной угрозы охраняемым общественным отношениям.
  Квалификация правонарушения как малозначительного может иметь место только в исключительных случаях и производится с учетом положений пункта 18 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 02.06.2004 N10 "О некоторых вопросах, возникших в судебной практике при рассмотрении дел об административных правонарушениях" применительно к обстоятельствам конкретного совершенного лицом деяния (пункт 18.1).
 Учитывая положения статьи 2.9 КоАП РФ, пункта 18.1 постановления Пленума Высшего Арбитражного Суда Российской Федерации от 02.06.2004 N10 "О некоторых вопросах, возникших в судебной практике при рассмотрении дел об административных правонарушениях", принимая во внимание, что доказательств исключительности обстоятельств, повлекших правонарушение, не представлено, суд не усматривает оснований для применения положений статьи 2.9 КоАП РФ и освобождения общества от административной ответственности.
 Согласно статье 3.1 КоАП РФ административное наказание применяется в целях предупреждения совершения новых правонарушений, как самим правонарушителем, так и другими лицами.
 Конкретные обстоятельства, связанные с совершением административного правонарушения, подлежат оценке в соответствии с общими правилами назначения административного наказания, основанным на принципах справедливости, соразмерности и индивидуализации ответственности.
 Санкцией части 12 статьи 13.11 КоАП РФ предусмотрено административное наказание для юридических лиц в виде штрафа от трех миллионов до пяти миллионов рублей.
 Согласно части 1 статьи 4.1.1 КоАП РФ за впервые совершенное административное правонарушение, выявленное в ходе осуществления
государственного контроля (надзора), муниципального контроля, в случаях, если назначение административного наказания в виде предупреждения не предусмотрено соответствующей статьей раздела II настоящего Кодекса или закона субъекта Российской Федерации об административных правонарушениях, административное наказание в виде административного штрафа подлежит замене на предупреждение при наличии обстоятельств, предусмотренных частью 2 статьи 3.4 настоящего Кодекса, за исключением случаев, предусмотренных частью 2 настоящей статьи.
 Согласно части 2 статьи 3.4 КоАП РФ предупреждение устанавливается за впервые совершенные административные правонарушения при отсутствии причинения вреда или возникновения угрозы причинения вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства, угрозы чрезвычайных ситуаций природного и техногенного характера, а также при отсутствии имущественного ущерба.
 С учетом взаимосвязанных положений части 2 статьи 3.4 и части 1 статьи 4.1.1 КоАП РФ возможность замены наказания в виде административного штрафа предупреждением допускается при наличии совокупности всех обстоятельств, указанных в части 2 статьи 3.4 КоАП РФ.
 Как установлено судом, ООО «Название» относится к субъектам малого и среднего предпринимательства, включенным в Единый реестр субъектов малого и среднего предпринимательства в качестве малого предприятия.
 В рассматриваемом случае причинение вреда жизни и здоровью людей, объектам животного и растительного мира, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, безопасности государства не установлено. Сведений о наличии имущественного ущерба материалы дела не содержат, административный орган на них не ссылался.
  Доказательства обратного не представлены.
 При этом в части 2 статьи 4.1.1 КоАП РФ статья 13.11 Кодекса не поименована, то есть законом не исключается замена административного штрафа предупреждением и при совершении рассматриваемого правонарушения.
  Исходя из целей и задач административного производства, учитывая степень вины привлекаемого к ответственности, совершение правонарушения впервые (доказательства обратного суду не представлены), отсутствие сведений об отягчающих ответственность обстоятельствах, конституционный принцип соразмерности административного наказания, а также дифференциацию публично-правовой ответственности в зависимости от тяжести содеянного, размера и характера причиненного ущерба, суд полагает возможным применить положения части 1 статьи 4.1.1 КоАП РФ и назначить обществу административное наказание за совершенное правонарушение в виде предупреждения.
 При этом доводы Управления о том, что положения части 3 статьи 3.4 и статьи 4.1.1 КоАП РФ в данном случае не подлежат применению, поскольку правонарушение выявлено не в рамках осуществления государственного контроля (надзора), муниципального контроля, подлежат отклонению.
 По смыслу статьи 4.1 КоАП РФ процедура выявления факта совершения правонарушения или способ такого выявления не относятся к обстоятельствам, которые учитываются при назначении наказания. В целях применения вышеприведенных положений понятие "государственный контроль (надзор)" следует рассматривать в широком смысле, не ограничивая его только рамками действия Федерального закона от 31.07.2020 N 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации", иное означало бы нарушение одного из основополагающих принципов равенства всех перед законом (статья 1.4 КоАП РФ).
  Иное толкование положений статьи 4.1.1 Кодекса приведет к тому, что применение данной нормы будет поставлено в зависимость не от совокупности условий, установленных Кодексом, необходимых для ее применения, а от вида проводимой государственной (муниципальной) проверки и конкретного государственного (муниципального) органа, в чью компетенцию входит проведение таких контрольных (надзорных) мероприятий, что приведет к нарушению принципа равенства всех перед законом (статья 1.4 Кодекса).
 Учитывая изложенное, а также принимая во внимание, что применение к обществу наказания в виде административного штрафа в данном случае не отвечает принципу соразмерности и справедливости административного наказания, такое наказание носит неоправданно карательный характер, повлечет чрезмерное ограничение прав Общества, суд приходит к выводу о возможности применения положений статьи 4.1.1 Кодекса и замене административного наказания в виде административного штрафа на предупреждение.
 Суд полагает, что назначение в данном случае административного наказания в виде предупреждения соответствует принципам законности, справедливости, неотвратимости и целесообразности юридической ответственности, а также характеру совершенного правонарушения и соразмерно его тяжести.
  Руководствуясь статьями 167-170, 180, 181, 205, 206 Арбитражного процессуального кодекса Российской Федерации, суд
                                             р е ш и л:
заявленное требование удовлетворить.
 Привлечь общество с ограниченной ответственностью «Название» (ОГРН        , ИНН ___) к административной ответственности за совершение правонарушения, предусмотренного частью 12 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях, и назначить наказание в виде предупреждения.
 Возвратить с депозитного счета Арбитражного суда Кемеровской области обществу с ограниченной ответственностью «Название» (ОГРН ____, ИНН ____) денежные средства в размере 10 000 рублей, зачисленных на депозитный счет Арбитражного суда Кемеровской области согласно платежному поручению N462 от 30.03.2026.
 Решение, не вступившее в законную силу, может быть обжаловано в Седьмой арбитражный апелляционный суд в течение десяти дней со дня его принятия.
 Решение, вступившее в законную силу, может быть обжаловано в Арбитражный суд Западно-Сибирского округа в срок, не превышающий двух месяцев со дня его вступления в законную силу, при условии, если оно было предметом рассмотрения арбитражного суда апелляционной инстанции или суд апелляционной инстанции отказал в восстановлении пропущенного срока подачи апелляционной жалобы.
 Апелляционная и кассационная жалобы подаются через Арбитражный суд Кемеровской области.

                            Судья                          Аникина К.Е.

Источник: https://kad.arbitr.ru/Document/Pdf/7a98532a-ddab-4041-b2bd-4242f79243ab/f462f3b8-e2a8-49a2-bc68-8a8925b33dff/A27-23786-2025_20260428_Reshenija_i_postanovlenija.pdf?isAddStamp=True