Суд оштрафовал РЖД на 150 тыс. рублей за утечку 17 млн строк с конфиденциальными данными

Арбитражный суд Москвы назначил штраф в размере 150 тыс. рублей акционерному обществу «РЖД» за нарушение законодательства о защите персональной информации. Основанием послужило обнаружение в интернете масштабной базы, содержащей данные, предположительно относящиеся к работникам компании. Информация об этом представлена в системе Rusprofile и подтверждена результатами рассмотрения дела, инициированного Управлением Роскомнадзора по Центральному федеральному округу.

По выводам надзорного ведомства, в ходе мониторинга публичного сегмента интернета был выявлен массив данных, где содержались фамилии, имена, отчества, адреса электронной почты, указания на должности и места работы лиц, связанных с ОАО «РЖД». Объём утечки оценивается более чем в 17 млн строк.

В ведомстве допустили, что данные могли быть размещены либо по ошибке, либо в результате действий третьих лиц. Однако в самой компании отвергли версию о кибератаке или несанкционированном доступе.

В РЖД настаивают, что признаков взлома их инфраструктуры зафиксировано не было. Несмотря на это, суд установил, что организация не смогла предоставить достаточные доказательства того, что меры по защите персональной информации соответствовали требованиям закона.

Решение суда пока не вступило в законную силу. Представители компании вправе подать апелляционную жалобу в Девятый арбитражный апелляционный суд.

В России в 2025 году вступили в силу новые правила, предусматривающие штрафы за утечки персональных данных. Согласно закону № 420-ФЗ, финансовая ответственность компаний за несанкционированную передачу или раскрытие информации о физических лицах будет рассчитываться не только фиксированными суммами, но и в процентах от годового оборота — минимум 20 млн рублей, максимум до 500 млн рублей.