Кто отвечает за утечку у подрядчика: заказчик или исполнитель?

Верховный суд поставил точку: оператор не может переложить вину на аутсорсера. Разбираем, что это значит для бизнеса и как выстроить защиту

Почему этот вопрос стал критичным именно сейчас

Каждый второй серьёзный ИБ-инцидент в России так или иначе связан с цепочкой поставок. В январе 2025 года «Ростелеком» сообщил об утечке 154 тыс. адресов электронной почты и 101 тыс. номеров телефонов — данные ушли через инфраструктуру одного из подрядчиков, обслуживавших интернет-ресурсы компании [1]. Атаку на Министерство труда проукраинская хакерская группировка BlackJack совершила ещё в ноябре 2023 года: по данным телеграм-канала «Кибервойна», группа заявляла о краже 50 ТБ данных ведомства, хотя в ходе расследования была подтверждена утечка 1400 строк с паспортными данными и реквизитами банковских карт сотрудников и членов их семей [2].

Оба случая объединяет один аргумент, который пытались использовать пострадавшие организации: «это не мы, это подрядчик». Именно этот аргумент Верховный суд окончательно отверг в январе 2026 года — и ситуация изменилась для всего рынка.

Параллельно с этим прецедентом вступили в силу самые жёсткие в истории российского законодательства санкции за работу с персональными данными. С 30 мая 2025 года утечка данных от 1000 до 10 000 человек грозит штрафом 3–5 млн руб., от 10 000 до 100 000 — 5–10 млн руб., свыше 100 000 или при утечке биометрии — 15–20 млн руб. Повторное нарушение влечёт оборотный штраф от 1% до 3% годовой выручки, но не менее 20 млн и не более 500 млн руб. [3].

Тема «кто отвечает за утечку у подрядчика» перестала быть теоретической. Это вопрос выживания бизнеса.

Правовая рамка: что говорит 152-ФЗ

Оператор и обработчик: базовые определения

Закон «О персональных данных» (152-ФЗ) разграничивает два типа участников:

Оператор (ст. 3) — организация или физическое лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку персональных данных, а главное — определяет цели и состав обрабатываемых данных. Если компания собирает анкеты клиентов, ведёт CRM или обрабатывает резюме кандидатов — она оператор. Включение в реестр Роскомнадзора лишь фиксирует уже существующий статус; его отсутствие не освобождает от обязанностей.

Лицо, осуществляющее обработку по поручению оператора (ч. 3 ст. 6 152-ФЗ) — тот самый подрядчик, которому оператор делегирует часть операций с данными. Это может быть облачный провайдер, колл-центр на аутсорсе, IT-интегратор, бухгалтерская компания, маркетинговое агентство [4].

Ключевая норма: ч. 5 ст. 6 152-ФЗ

Именно здесь сосредоточена вся суть вопроса. Закон устанавливает двухуровневую ответственность:

Перед субъектами персональных данных (клиентами, сотрудниками, гражданами) всегда отвечает оператор — независимо от того, кто фактически обрабатывал данные в момент инцидента.

Перед оператором отвечает подрядчик — но это уже гражданско-правовая ответственность, которую необходимо отдельно доказывать в суде и которая возможна только при правильно оформленном договоре [5].

Таким образом, закон изначально предполагал, что переложить административную ответственность на подрядчика невозможно. Верховный суд лишь подтвердил это правило на высшем уровне с дополнительной мотивировкой.

Что должно быть в договоре-поручении

Ч. 3 ст. 6 152-ФЗ содержит исчерпывающий перечень обязательных условий для договора с подрядчиком, обрабатывающим персональные данные. Без этих условий договор нельзя считать полноценным поручением по смыслу закона, а передача данных подрядчику будет нарушением:

1. Перечень персональных данных, которые будут обрабатываться.
2. Перечень конкретных действий (операций) с данными.
3. Цели обработки.
4. Обязанность соблюдать конфиденциальность.
5. Обязанность выполнять требования ч. 5 ст. 18 и ст. 18.1 (локализация данных, меры безопасности).
6. Обязанность по запросу предоставлять документы, подтверждающие соблюдение требований — в том числе до начала обработки.
7. Обязанность обеспечивать безопасность персональных данных в соответствии со ст. 19.
8. Требование уведомлять оператора о случаях неправомерной или случайной передачи данных, повлёкшей нарушение прав субъектов (ч. 3.1 ст. 21) [4][5].

Все эти условия должны быть прописаны явно — формальная ссылка или общая фраза о «соблюдении законодательства» не работает [6].

Прецедент Верховного суда: дело Минтруда

Хронология событий

Ноябрь 2023 года: хакеры атакуют IT-инфраструктуру Министерства труда и социальной защиты РФ. Из систем утекают 1400 строк с персональными данными сотрудников ведомства и их родственников: ФИО, даты и места рождения, паспортные данные, реквизиты банковских карт [7].

Критически важный факт: о факте утечки Минтруд узнал не от собственных служб ИБ, а после запроса контролирующего органа. То есть инцидент не был обнаружен самим оператором — это обстоятельство суды отметили особо [8].

Август 2024 года: мировой судья судебного участка № 370 Тверского района Москвы признаёт Минтруд виновным по ч. 1 ст. 13.11 КоАП РФ и назначает штраф 100 000 руб.

Февраль 2025 года: Тверской районный суд Москвы оставляет решение без изменения.

Октябрь 2025 года: Второй кассационный суд общей юрисдикции подтверждает правомерность штрафа.

21 января 2026 года: Верховный суд РФ (постановление № 5-АД25-119-К2) отклоняет жалобу защитника Минтруда, окончательно закрепляя ответственность ведомства [9].

Логика Верховного суда

Принципиально важно, что ВС не стал ссылаться на ч. 5 ст. 6 152-ФЗ как на автоматическое основание ответственности оператора за действия подрядчика. Суд выбрал более глубокий путь — через анализ собственных обязанностей оператора. Как отметили эксперты юридической фирмы INTELLECT, ВС констатировал: оператор не доказал выполнение собственных обязанностей по защите данных. Министерство не приняло необходимых мер для защиты инфраструктуры и узнало об утечке только от регулятора — что само по себе является нарушением требований ч. 3.1 ст. 21 о 24-часовом уведомлении [10].

Руководитель практики защиты данных Stonebridge Legal Денис Бушнев прокомментировал решение так: решение Верховного суда — это логическое продолжение трактовок закона и разъяснений Роскомнадзора. Переложить ответственность на обработчиков не получится — у нас есть оператор, который за всё отвечает [11].

Почему этот прецедент важнее, чем кажется

Аналитики выделяют три фактора, делающих это решение поворотным:

Во-первых, это позиция именно Верховного суда, которая становится ориентиром для всех нижестоящих инстанций.

Во-вторых, субъектом нарушения является федеральное министерство. Если даже государственный орган не смог снять с себя ответственность, ссылаясь на подрядчика, у коммерческих организаций в аналогичных ситуациях шансов будет ещё меньше.

В-третьих, с 30 мая 2025 года вступили в силу оборотные штрафы, многократно увеличивающие ставки [10].

Судебная практика: 219 дел под микроскопом

Исследование компании LEVEL Legal Services, охватившее 219 судебных решений по делам об утечках персональных данных с 2022 по 2025 год, позволяет сделать несколько важных выводов [12].

Аргумент «виноват подрядчик» суды отвергали систематически, опираясь на ч. 5 ст. 6 Закона о ПДн. Типичный пример из этой практики: с тестового стенда IT-подрядчика была выгружена таблица с данными клиентов. Аргумент о вине подрядчика был отклонён — суд указал, что наличие договорных отношений не освобождает оператора от ответственности. Штраф — 60 тыс. руб. [12].

Смягчающие обстоятельства применялись в 58% дел. Наиболее частые: совершение нарушения впервые, признание вины, устранение нарушений, статус малого или среднего предприятия [12].

Основные векторы атак через подрядчиков: уязвимости в инфраструктуре IT-аутсорсеров и хостинг-провайдеров, недобросовестные действия сотрудников подрядчика, ошибки при настройке уровней доступа [12].

С 30 мая 2025 года дела этой категории рассматриваются уже не мировыми судьями, а арбитражными судами. Этот переход сам по себе сигнализирует о том, что государство воспринимает такие споры как серьёзные экономические правонарушения, а не административные формальности.

Кейс: Промтрансбанк взыскал штраф с подрядчика

Единственный на сегодня подробно задокументированный российский случай, когда оператору удалось взыскать с подрядчика сумму, эквивалентную уплаченному штрафу, — дело № А07-34409/2023 (Промтрансбанк против ООО «Экспресс лаб») [13].

Суть дела: подрядчик «Экспресс лаб» дорабатывал функционал сайта банка ПТБ. В процессе работ подрядчик создал журнал с архивными данными клиентов (ФИО, пол, телефон, email), подавших заявки на кредит онлайн. Это не было предусмотрено договором, и подрядчик не предупредил банк о создании журнала. В результате произошла утечка.

По решению суда банк заплатил за нарушение штраф 60 тыс. руб. и впоследствии взыскал его с подрядчика, доказав: неправомерность действий подрядчика (создание журнала вне рамок договора), причинно-следственную связь между действиями подрядчика и понесёнными убытками оператора [13].

Этот кейс показывает: регресс возможен, но требует чёткого договорного оформления и доказательства конкретной вины подрядчика. Эксперты ожидают нарастания подобных споров по мере роста суммы штрафов — когда оборотный штраф измеряется десятками и сотнями миллионов, у операторов появляется прямой стимул взыскивать убытки с виновного аутсорсера [13].

Новые векторы риска: подрядчики в цифровую эпоху

Традиционный образ подрядчика-обработчика — это аутсорсинговый колл-центр или бухгалтерская компания. Современная ИТ-инфраструктура создаёт принципиально новые и менее очевидные риски.

Атаки через цепочку поставок

По оценке Андрея Рыкова, заместителя генерального директора по ИТ и инновациям «ОБИТ», в 2024–2025 годах вектор атаки через подрядчиков и партнёров стал одним из самых распространённых. Это объясняется просто: IT-подрядчик нередко имеет серьёзные привилегии в системах заказчика, при этом может не уделять должного внимания собственной безопасности [14].

Облачные сервисы и ИИ-инструменты

Передача персональных данных через зарубежные облачные ИИ-сервисы может нарушать требования локализации (ч. 5 ст. 18 152-ФЗ), если данные обрабатываются на серверах за пределами РФ. Использование ИИ-моделей, обученных на персональных данных клиентов или сотрудников без надлежащего обезличивания, создаёт риск утечки и реидентификации субъектов [15].

Субподрядчики подрядчика

Отдельную проблему создаёт передача данных по цепочке: оператор → подрядчик → субподрядчик. Закон не запрещает такую схему, однако каждое звено требует отдельного оформления поручения. На практике компании часто не знают, кто обрабатывает их данные на втором и третьем уровне цепочки. При иностранном подрядчике действует особое правило ч. 6 ст. 6 152-ФЗ: ответственность перед субъектами несут оба — и оператор, и иностранный обработчик [5].

Практический чек-лист: как выстроить защиту

1. Инвентаризация подрядчиков и потоков данных

Прежде всего нужно понять, кому и какие данные вы передаёте. Это не всегда очевидно: CRM-система в облаке, сервис email-рассылок, аналитическая платформа, провайдер видеоконференций — каждый из них может быть обработчиком ПДн.

Составьте реестр подрядчиков с доступом к персональным данным. Для каждого укажите: категорию данных, объём, операции, цели, используемые системы. Проверьте, есть ли действующее поручение для каждого контрагента.

2. Договор-поручение: обязательные условия

Договор с подрядчиком должен содержать все условия ч. 3 ст. 6 152-ФЗ. Недостаточно общей формулировки «соблюдать 152-ФЗ» — нужны конкретные требования:

• Детальный перечень данных и операций (без расширительного толкования).
• Требования к техническим и организационным мерам защиты по ст. 19.
• Обязанность немедленно уведомлять оператора о любом инциденте.
• Запрет на передачу данных субподрядчикам без письменного согласия оператора.
• Право оператора проводить аудит соответствия — в том числе без предупреждения.
• Неустойка или возмещение убытков в случае нарушения, включая суммы административных штрафов, наложенных на оператора по вине подрядчика.
• Порядок уничтожения данных после прекращения договора [6][16].

Важно: формальный договор — не гарантия защиты. Если требования прописаны, но не контролируются, при утечке оператор всё равно окажется виновным [15].

3. Контроль в процессе работы

Периодические аудиты подрядчиков становятся обязательной практикой после решения ВС. Как минимум необходимо:

• Запрашивать у подрядчика документы, подтверждающие принятые меры безопасности (отчёты о penetration testing, сертификаты соответствия, внутренние политики ИБ).
• Контролировать права доступа: у подрядчика должен быть доступ только к тем данным, которые необходимы для выполнения конкретной задачи.
• Проверять, что подрядчик не хранит данные после истечения срока действия договора.
• Фиксировать все проверки документально — это важно как для внутреннего контроля, так и для возможного судебного разбирательства.

4. Реагирование на инцидент

Даже если утечка произошла на стороне подрядчика, оператор обязан действовать самостоятельно и немедленно. По ч. 3.1 ст. 21 152-ФЗ:

• В течение 24 часов после обнаружения инцидента — уведомить Роскомнадзор об инциденте, его предполагаемых причинах, последствиях и принятых мерах.
• В течение 72 часов — предоставить результаты расследования и информацию о виновных [8].

Один из ключевых упрёков Верховного суда в деле Минтруда: ведомство узнало об утечке не от себя, а от регулятора. Это означает полное отсутствие мониторинга — то есть нарушение сразу нескольких требований закона.

5. Подготовка к регрессу

Если утечка всё же произошла по вине подрядчика, возможность взыскать с него убытки зависит от того, насколько детально был оформлен договор. Для успешного регресса необходимо:

• Зафиксировать нарушение подрядчиком конкретных договорных обязательств (актом, заключением эксперта, перепиской).
• Доказать причинно-следственную связь между действиями подрядчика и понесёнными оператором убытками.
• Помнить, что практика показывает: многие подрядчики не располагают достаточными активами для покрытия крупных штрафов [16].

Типичные ошибки операторов

Ошибка 1: Договор есть, но он не содержит поручения

Стандартный договор на оказание IT-услуг, разработку ПО или техническую поддержку не является поручением на обработку ПДн. Если в нём нет всех условий ч. 3 ст. 6 152-ФЗ, передача данных подрядчику юридически не оформлена и является самостоятельным нарушением закона [6].

Ошибка 2: Подрядчик «сам разберётся»

Распространённое заблуждение: передав данные специализированной IT-компании, оператор перестаёт нести ответственность. Это не так. Как показывает и закон, и судебная практика, оператор продолжает нести полный объём рисков. Поэтому нельзя исходить из того, что ответственным становится исполнитель [11].

Ошибка 3: Максимальные права доступа «для удобства»

Ряд реальных кейсов показывает типичную ситуацию: компания подключила всех сотрудников подрядчика к CRM с максимальными правами доступа «чтобы не заморачиваться» — без ролей, без разграничения, без логирования действий. После утечки никакого регресса, потому что невозможно доказать, чьи конкретно действия привели к инциденту [17].

Ошибка 4: Данные остаются у подрядчика после завершения договора

Как только третье лицо после окончания договора продолжает хранить данные или начинает действовать автономно (рассылки от своего имени, использование данных в собственных целях), его статус меняется. Юридические гарантии, предусмотренные для обработки по поручению, перестают применяться [6].

Ошибка 5: Нет мониторинга событий у подрядчика

Ситуация Минтруда — узнать об утечке от регулятора, а не от собственных служб — не уникальна. Многие операторы вообще не имеют механизмов получения уведомлений от подрядчиков об инцидентах: контракт подписан, данные переданы, дальше — тишина.

Что ожидать в ближайшей перспективе

Рост числа регрессных исков

Эксперты прогнозируют существенный рост исков операторов к подрядчикам, виновным в утечках. Это прямое следствие ужесточения штрафов: когда административная ответственность измеряется сотнями миллионов рублей, взыскание с подрядчика становится экономически обоснованным [13].

Новые требования ФСТЭК с марта 2026 года

С марта 2026 года вступают в силу обновлённые требования Федеральной службы по техническому и экспортному контролю по защите информации в государственных органах и учреждениях. Это затронет прежде всего государственных операторов и их контрагентов [7].

Уголовная ответственность

С декабря 2024 года в Уголовном кодексе действует ст. 272.1 — за незаконный оборот персональных данных, полученных в результате неправомерного доступа к информационным системам. Под её действие может попасть в том числе подрядчик, допустивший утечку по халатности [3].

Аудиты цепочки подрядчиков как новая норма

По оценке экспертов, решение Верховного суда повлечёт волну внутренних аудитов договоров между операторами и подрядчиками. Сформируется устойчивая практика проверки всех контрагентов с доступом к данным — аналогичная тому, как это уже давно работает в европейской практике GDPR [11].

Заключение: принцип непереложимой ответственности

Верховный суд сформулировал позицию, которую теперь можно считать де-факто стандартом: оператор персональных данных несёт ответственность за всё, что происходит с данными, которые он собирает, — вне зависимости от того, кто их обрабатывает в конкретный момент.

Это не несправедливо — это логично. Именно оператор выбирает подрядчика, устанавливает требования, контролирует исполнение или не контролирует. Именно оператор определяет, каким данными и в каком объёме получает доступ аутсорсер. В конечном счёте именно оператор несёт ответственность перед клиентами и сотрудниками, чьи данные он собрал.

Переложить эту ответственность «за периметр» не получится. Зато можно выстроить систему, при которой риск утечки минимален, а при наступлении инцидента — есть правовые основания для регресса к виновному подрядчику.

Что делать прямо сейчас:

1. Провести инвентаризацию всех подрядчиков с доступом к ПДн.
2. Проверить каждый договор на наличие полноценного поручения по ч. 3 ст. 6 152-ФЗ.
3. Прописать в договорах неустойку и механизм возмещения штрафов.
4. Настроить получение уведомлений от подрядчиков об инцидентах.
5. Убедиться в наличии процедуры реагирования на утечку: уведомление РКН в 24 часа, расследование в 72 часа.

Пятый фактор: как контролировать данные во всей цепочке подрядчиков

Одна из главных проблем, которую обнажает дело Минтруда и сотни аналогичных случаев, — это невидимость. Оператор не знает, где конкретно хранятся данные, переданные подрядчику. Не знает, что изменилось в инфраструктуре за последние недели. Не замечает новых точек риска — пока о них не сообщает регулятор.

Именно этот разрыв закрывает платформа «Пятый фактор» — on-premises решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Платформа работает с метаданными, структурой и агрегатами данных без передачи и хранения «сырых» персональных данных — и поэтому сама не становится дополнительной точкой риска.

Для задачи контроля подрядчиков «Пятый фактор» решает три критических вопроса: где сейчас находятся ПДн (включая системы, к которым имеет доступ подрядчик), что изменилось с момента последней проверки (новые поля в базах, новые интеграции, новые источники) и кто является владельцем каждого хранилища данных.

Результат — живая «карта ПДн», которая обновляется непрерывно, а не раз в год при очередном аудите. Компания видит новые риски до того, как они превращаются в инцидент. А в случае претензий со стороны Роскомнадзора или при подготовке регрессного иска к подрядчику — имеет задокументированную историю состояния систем.

Подробнее: 5factor.ru

Источники

[1] habr.com — «Ростелеком»: утечка данных была в инфраструктуре подрядчика — https://habr.com/ru/news/875312/

[2] intellectpro.ru — Минтруд оштрафован за утечку данных — https://www.intellectpro.ru/press/commenters/mintrud_oshtrafovan_za_utechku_dannyh/

[3] habr.com — Кто ответит за утечку: штрафы, сроки и другие обновления закона о персональных данных — https://habr.com/ru/companies/timeweb/articles/925642/

[4] consultant.ru — Статья 6. Условия обработки персональных данных (152-ФЗ) — https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/

[5] normativ.kontur.ru — Федеральный закон 152-ФЗ «О персональных данных» (ред. от 24.06.2025) — https://normativ.kontur.ru/document?moduleId=1&documentId=501173

[6] b-152.ru — Кому можно поручить обработку персональных данных и как сделать это правильно — https://b-152.ru/komu-mozhno-poruchit-obrabotku-personalnyh-dannyh

[7] kommersant.ru — Верховный суд подтвердил: оператор несёт ответственность за утечку персональных данных, даже если она произошла через подрядчика — https://www.kommersant.ru/doc/8420830

[8] rapsinews.ru — ВС уточнил обязанности оператора персональных данных при их утечке — https://www.rapsinews.ru/judicial_analyst/20260203/311560737.html

[9] garant.ru — Постановление Верховного суда РФ от 21.01.2026 № 5-АД25-119-К2 — https://base.garant.ru/413545786/

[10] intellectpro.ru — Комментарии юридической фирмы INTELLECT — https://www.intellectpro.ru/press/commenters/mintrud_oshtrafovan_za_utechku_dannyh/

[11] pravo.ru — Верховный суд разъяснил, кто отвечает за утечки персональных данных — https://pravo.ru/news/262347/

[12] itsec.ru — Ответственность за утечки персональных данных: обзор судебной практики 2022–2025 гг. — https://www.itsec.ru/articles/otvetstvennost-za-utechki-personalnyh-dannyh-obzor-sudebnoj-praktiki-2022-2025-gg

[13] vedomosti.ru — Утечка по вине подрядчика — https://www.vedomosti.ru/technology/columns/2025/06/04/1113817-utechka-po-vine-podryadchika

[14] cnews.ru — «Ростелеком» призвал абонентов срочно сменить пароли — https://safe.cnews.ru/news/top/2025-01-21_rostelekom_prizval_abonentov

[15] b-152.ru — Закон о персональных данных: что изменилось в 2025–2026 годах — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[16] belinfonalog.ru — Утечка данных: штрафы до 500 млн и тюремный срок — https://belinfonalog.ru/company/news/aktualnoe/ugolovnaya-otvetstvennost-za-utechki-chto-dolzhny-znat-rukovoditeli/

[17] i-pusk.ru — Утечка данных: разъяснение ответственности подрядчика, администратора и компании — https://i-pusk.ru/blog/bezopasnost/kto-neset-otvetstvennost-za-utechku-dannykh-podryadchik-administrator-portala-ili-vy/