ДЕВЯТЫЙ АРБИТРАЖНЫЙ АПЕЛЛЯЦИОННЫЙ СУД
127994, Москва, ГСП-4, проезд Соломенной cторожки, дом 12
адрес электронной почты: 9aas.info@arbitr.ru
адрес веб.сайта: http://www.9aas.arbitr.ru

  П О С Т А Н О В Л Е Н И Е
№ 09АП-62551/2025

город Москва

16.02.2026                                                         дело № А40-263206/25

 резолютивная часть постановления оглашена 27.01.2026
постановление изготовлено в полном объеме 16.02.2026

Девятый арбитражный апелляционный суд в составе:
председательствующий судья Маркова Т.Т., судьи Сумина О.С., Савельева М.С.,
при ведении протокола секретарем судебного заседания Аверьяновой К.К.,
рассмотрев в открытом судебном заседании апелляционную жалобу
ОАО «Российские железные дороги»
на решение Арбитражного суда г. Москвы от 10.11.2025
по делу № А40-263206/25,
по заявлению Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу к ОАО «Российские железные дороги» о привлечении к административной ответственности;
при участии:
от заявителя – Калаков С.В. по доверенности от 122.01.2026, ФИО2 по
доверенности от 12.01.2026;
от заинтересованного лица – ФИО1 по доверенности от 30.06.2025, ФИО по доверенности от 04.08.2025;

                                                установил:

решением Арбитражного суда г.Москвы от 10.11.2025 ОАО «Российские железные дороги» привлечено к административной ответственности, предусмотренной ч.1 ст.13.11 Кодекса Российской Федерации об административных правонарушениях в виде штрафа в размере 150.000 руб.
 Общество не согласилось с выводами суда, обратилось с апелляционной жалобой, просит решение суда отменить, по мотивам, изложенным в жалобе.
 Представители общества и административного органа в судебном заседании поддержали свои доводы и возражения.
 Дело рассмотрено судом апелляционной инстанции в порядке, предусмотренном ст.ст.266, 268 Арбитражного процессуального кодекса Российской Федерации.
 Частью 1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях установлена административная ответственность за нарушение законодательства Российской Федерации в области персональных данных, в частности, при обработке персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработке, несовместимой с целями сбора персональных данных, за исключением случаев, предусмотренных ч.2 данной статьи и ст.17.13 названного Кодекса, если эти действия не содержат уголовно наказуемого деяния.
 Отношения, связанные с обработкой персональных данных, регулируются Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
 Согласно п.1 ст.3 Закона № 152-ФЗ персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
 Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п.3 ст. 3 Закона № 152-ФЗ).
Обработка персональных данных допускается с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом (п.1 ч.1 ст. 6 Закона № 152-ФЗ).
 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (поручение оператора).
 Статьей 7 Закона № 152-ФЗ предусмотрено, что операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.
 В соответствии со ст. 9 Закона №152-ФЗ согласие субъекта на обработку его персональных данных должно быть конкретным, информированным и сознательным  (ч. 1 Закона).
 Обязанность доказать наличие такого согласия или обстоятельств, в силу которых такое согласие не требуется, возлагается на оператора (ч. 3 Закона).
 Согласие должно содержать перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных (п.7 ч.4 Закона).
 В соответствии со ст. 17 Закона субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
  Из системного толкования приведенных норм следует, что сбор, обработка, передача, распространение персональных данных возможны только с согласия субъекта персональных данных, при этом согласие должно быть конкретным. Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (определение Судебной коллегии по гражданским делам Верховного Суда Российской Федерации от 01.08.2017 № 78-КГ17-45).
 Из материалов дела следует, что административным органом в ходе мониторинга сети Интернет на интернет-странице установлен факт размещения базы данных, содержащей, предположительно сведения о сотрудниках ОАО «Российские железные дороги» (Ф.И.О., адрес электронной почты, должность и место работы (более 17 млн. строк), в связи, с чем в адрес общества направлен запрос от 20.02.2025 №08-72526 о предоставлении информации о факте передачи персональных данных сотрудников.
 Обществом в адрес административного органа направлен ответ от 21.02.2025 № ИСХ-4181, согласно которого компьютерные атаки и доступ неустановленных лиц к информационным системам не зафиксированы.
 По данному факту проведена внеплановая выездная проверка в период 26.06.2025 по 09.07.2025, о чем составлена справка о результатах проверки (том 1 л.д. 39 – 51), из содержания которой следует, что в ходе мониторинга сети Интернет 06.01.2025 в закрытом чате телеграмм-канала выявлен факт публикации пользователем (администратор канала UHG-Ukranian Hackers Group) фрагмента архива с данными сотрудников ОАО «Российские железные дороги», предположительно, скопированных из адресной книги сервисного портала общества, являющейся общедоступным источником (справочником) общества.
 17.02.2025 в проукраинском телеграмм-канале выявлен очередной факт публикации архива с данными работников общества.
 Обществом направлена по данным фактам информация в НКЦКИ ФСБ России и в ДЧ ГУ МВД России подано сообщение о преступлении.
 Согласно ч.1 ст.268 Арбитражного процессуального кодекса Российской Федерации при рассмотрении дела в порядке апелляционного производства арбитражный суд по имеющимся в деле и дополнительно представленным доказательствам повторно рассматривает дело.
 Применение ч.2 ст.268 Арбитражного процессуального кодекса Российской Федерации должно осуществляться судом апелляционной инстанции в каждом конкретном случае и с учетом того, насколько доводы (доказательства) могут повлиять на результат рассмотрения дела.
 По смыслу ч.2 ст.268 Арбитражного процессуального кодекса Российской Федерации и абз.5 п.29 постановления Пленума Верховного Суда Российской Федерации от 30.06.2020 №12 «О применении Арбитражного процессуального кодекса Российской Федерации при рассмотрении дел в арбитражном суде апелляционной инстанции» разрешение вопроса о принятии дополнительных пояснений и доказательств находится в пределах усмотрения суда апелляционной инстанции.
 Процессуальное законодательство не запрещает суду апелляционной инстанции принимать дополнительные документы, представленные в обоснование доводов, приведенных заявителем в апелляционной жалобе.
 В данном случае, суд апелляционной инстанции считает возможным приобщить к материалам дела, представленные обществом постановление о возбуждении уголовного дела от 29.10.2025 в целях полного и всестороннего изучения обстоятельств дела и проверки обоснованности доводов ОАО «Российские железные дороги».
 Из содержания постановления о возбуждении уголовного дела от 29.10.2025 по признакам преступления, предусмотренного ч.1 ст.272.1 Уголовного кодекса Российской Федерации следует, что неустановленное лицо, обладая специальными познаниями в области компьютерной техники и программного обеспечения, находясь в неустановленном месте, имея умысел, направленный на неправомерный доступ к охраняемой законом компьютерной информации, содержащие персональные данные, в том числе направленный на копирование компьютерной информации, не имея разрешения, используя неустановленное следствием компьютерное оборудование с программным обеспечением, позволяющим осуществить посещение web-страниц и специальную программу, предназначенную для несанкционированного копирования компьютерной информации и нейтрализации защиты компьютерной информации, пользуясь услугами неустановленного следствием провайдера с неустановленного в ходе следствия IP-адреса осуществлен неправомерный доступ и копирование компьютерной информации, содержащей персональные данные сотрудников общества, хранящейся на сервере.
 Административное правонарушение признается совершенным только при наличии всех предусмотренных законом элементов состава правонарушения (п.19 постановления Пленума Верховного Суда Российской Федерации от 24.03.2005 № 5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях»).
 Согласно позиции Конституционного Суда Российской Федерации, вина
юридического лица проявляется в виновном действии (бездействии) соответствующих физических лиц, действующих от его имени и допустивших правонарушение (постановления от 17.01.2013 №1-П и от 25.02.2014 №4-П, определения от 14.12.2000 N 244-О и от 26.11.2018 N3062-О). При этом, поскольку административное правонарушение как факт реальной действительности представляет собой единство субъективных и объективных элементов, по фактическим обстоятельствам, установленным на основе исследования и оценки доказательств и отражающим характер и степень опасности нарушения, его последствия, можно определить и характеристики вины нарушителя, в том числе юридического лица (постановление Конституционного Суда Российской Федерации от 14.04.2020 № 17-П).
Для решения вопроса о привлечении общества к административной  ответственности подлежат установлению и доказыванию все элементы состава административного правонарушения, в том числе субъективная сторона правонарушения, как это предусмотрено положениями главы 29 Кодекса Российской Федерации об административных правонарушениях.
 Согласно ч.1 ст.1.5 Кодекса лицо подлежит административной ответственности только за те административные правонарушения, в отношении которых установлена его вина.
 Согласно ч. 1 ст. 1.6 Кодекса лицо, привлекаемое к административной
ответственности, не может быть подвергнуто административному наказанию и мерам обеспечения производства по делу об административном правонарушении иначе как на основаниях и в порядке, установленных законом.
 В силу ч.2 ст.2.1 Кодекса Российской Федерации об административных правонарушениях юридическое лицо признается виновным в совершении административного правонарушения, если будет установлено, что у него имелась возможность для соблюдения правил и норм, за нарушение которых настоящим Кодексом или законами субъекта Российской Федерации предусмотрена
административная ответственность, но данным лицом не были приняты все зависящие от него меры по их соблюдению.
 В соответствии с ч.4 ст.210 Арбитражного процессуального кодекса Российской Федерации по делам об оспаривании решений административных органов о привлечении к административной ответственности обязанность доказывания обстоятельств, послуживших основанием для привлечения к административной ответственности, возлагается на административный орган, принявший оспариваемое решение.
 Рассмотрев повторно материалы дела, проверив доводы апелляционной жалобы, выслушав представителей общества и административного органа, суд апелляционной инстанции приходит к выводу о том, что в рассматриваемом случае, в условиях наличия в материалах дела доказательств о возбуждении уголовного дела от 29.10.2025 по признакам преступления, предусмотренного ч.1 ст.272.1 Уголовного кодекса Российской Федерации в отношении неустановленного лица, которое обладая специальными познаниями в области компьютерной техники и программного обеспечения, находясь в неустановленном месте, имея умысел, направленный на неправомерный доступ к охраняемой законом компьютерной информации, содержащие персональные данные, в том числе направленный на копирование компьютерной информации, не имея разрешения, используя неустановленное следствием компьютерное оборудование с программным обеспечением, позволяющим осуществить посещение web-страниц и специальную программу, предназначенную для несанкционированного копирования компьютерной информации и нейтрализации защиты компьютерной информации, пользуясь услугами неустановленного следствием провайдера с неустановленного в ходе следствия IP-адреса осуществлен неправомерный доступ и копирование компьютерной информации, содержащей персональные данные сотрудников общества, хранящейся на сервере общества, суд апелляционной инстанции считает, что выводы административного органа о наличии единоличной вины ОАО «Российские железные дороги» нарушения законодательства Российской Федерации в области персональных данных, являются преждевременными.
 Следует учитывать общеизвестные сведения и данные из открытых источников, что с начала проведения специальной военной операции (24.02.2022), вследствие действий со стороны недружественного государства, на территории Российской Федерации наблюдаются сбои в работе программного обеспечения, значительно повысилось количество хакерских атак.
 Судом принимается во внимание наличие возбужденного уголовного дела (итоговый судебный акт - приговор, устанавливающий вину в рамках уголовного судопроизводства не принят), отсутствия достоверных доказательств виновности, противоправности действий со стороны общества либо его сотрудников, поскольку соответствующая вина не установлена, лица, причастные к нарушению охраняемых законом прав сотрудников общества не установлены. В деле отсутствуют относимые и допустимые доказательства несоблюдения ОАО «Российские железные дороги» установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
 При данных обстоятельствах решение суда первой инстанции подлежит отмене на основании п.п.1, 4 ч.1 ст.270 Арбитражного процессуального кодекса Российской Федерации ввиду несоответствия выводов, изложенных в решении, обстоятельствам дела, и неправильного применения судом норм материального права, с принятием по делу нового судебного акта.
 Руководствуясь ст.ст.266, 268, 269, 270, 271 Арбитражного процессуального кодекса Российской Федерации,

                                         П О С Т А Н О В И Л:
 Решение Арбитражного суда г. Москвы от 10.11.2025 по делу № А40-263206/25 отменить.
 В удовлетворении заявления Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу о привлечении ОАО «Российские железные дороги» к административной ответственности, предусмотренной ч.1 ст. 13.11 Кодекса Российской Федерации об административных правонарушениях, отказать.
 Взыскать с Управления федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в пользу ОАО «Российские железные дороги» расходы по оплате государственной пошлины в размере 30.000 руб. по апелляционной жалобе.
 Постановление вступает в законную силу со дня его принятия и может быть обжаловано в течение двух месяцев со дня изготовления постановления в полном объеме в Арбитражный суд Московского округа.

Председательствующий судья                                      Т.Т. Маркова

Судьи                                         О.С. Сумина
                                                  М.С. Савельева

Источник: https://kad.arbitr.ru/Document/Pdf/9be32091-3795-49af-8469-e0b016c8f271/f2bcbe57-af95-4f10-bf2d-170b3c94b237/A40-263206-2025_20260216_Postanovlenie_apelljacionnoj_instancii.pdf?isAddStamp=True