Привет, Хабр! Снова Илья Башкиров из InfoWatch, снова анализ решений отечественных судов в сфере информационной безопасности. В это статье берем фокус на нарушение требований ИБ работниками. Разбираем как серьезные нарушения вроде слива персональных данных или передачи ноу-хау конкурентами, так и нарушения поменьше — оставленные на рабочем столе пароли от систем и фотографии экрана.
На реальных примерах разберем все формы ответственности от легкого замечания до тяжелой уголовной статьи. Кстати, я решил добавить сюда и несколько дел, где ответственность (как дисциплинарную, так и уголовную) несли сотрудники информационной безопасности. Об этом в конце статьи.
Введение
Синхронизируемся. Хорошо составленная и реалистичная политика ИБ, которая еще и юридически правильно «введена в эксплуатацию» — это часть трудовой дисциплины, которую работник обязан соблюдать. Нарушение есть нарушение, и оно влечет ответственность: замечание, выговор или увольнение. А теперь — к нюансам
Замечания за нарушения ИБ
Замечание — это самое мягкое дисциплинарное взыскание. Его можно использовать за формальные и незначительные нарушения. Пример — Апелляционное определение Санкт-Петербургского городского суда от 30.01.2025 №33-2515/2025. В этом деле сотрудница HR пыталась оспорить замечание за фотографирование экрана рабочего компьютера на личный телефон. Она указывала, что нарушила норму информационной безопасности с рабочей целью — скинуть фотографию по личным каналам ее попросило руководство. Ох, как же двусмысленно звучит. Более того, она сослалась на тот факт, что нарушение не повлекло последствий для работодателя. Ущерба эта фотография не причинила.
Суд не согласился с обоими доводами. Замечание было признано законным.
Замечание можно вынести и, например, за нарушение требований к парольной политике. В деле №2-2491/2025 работник хранил пароли от всех систем на рабочем столе в открытом текстовом файле. Работник оспаривал замечание по тем же основаниям — нет вреда для работодателя, нарушение строго-формальное. Суд также признал взыскание законным — Определение 6-го КСОЮ от 05.03.2026 №88-3939/2026.
Делаем предварительные выводы. Для вынесения замечания необходимо закрепить конкретную обязанность или конкретный запрет в обязательном для работника локальном нормативном акте. Вроде бы все. При этом замечание является обоснованным даже если нарушение создает только гипотетическую возможность угрозы ИБ. Наличие ущерба для работодателя не обязательно.
Выговор за нарушение ИБ
Выговор — более серьезное взыскание. Обычно оно применяется в тех случаях, когда нарушение может привести к более серьезным последствиям для безопасности работодателя. Пример — Апелляционное определение Санкт-Петербургского городского суда от 08.12.2025 №33-23711/2025. В этом деле работник ушел в отпуск, забыв заблокировать стационарный рабочий компьютер. За этому ему был объявлен выговор, который работник решил оспорить. Основание снова повторяется — отсутствие вреда от проступка.
К слову, работник обосновывал отсутствие вреда весьма элегантно. На его компьютере стоит автоблокировка экрана, которая все равно бы заблокировала компьютер через 15 минут простоя.
Суд с этой позицией не согласился и признал выговор обоснованным. Он подчеркнул, что техническое реализация ИБ, в том числе и автоблокировка экрана — это меры защиты работодателя от еще более серьезных последствий инцидента. У работника же есть свои обязанности, которые он обязан ответственно выполнять.
Интересное наблюдение. В Решении Мещанского районного суда г. Москвы от 16 ноября еще аж 2014 года по делу №2-11976/2014 я заметил, что суды негативно воспринимают факт отключения работниками СЗИ (антивирусов, DLP, FW и так далее). Приведенное дело было об увольнении, а не о выговоре, но в нем работодатель сослался на факт такого ИБ-своенравия как на доказательство намерения на совершение нарушения трудовой дисциплины. Суд воспринял это, как «отягчающий» фактор — решение было в пользу работодателя. Поэтому совет — включите запрет таких действий в ЛНА и превратите их в дисциплинарный проступок. Сможете не только перехватывать нарушителей на ранних этапах инцидента, но и сразу переводить нарушение в правовом поле.
Это важно. Психологически взыскание в трудовой оказывает большее воздействие, чем просто всплывший алерт от безопасности. К тому же, такие нарушения суммируются и могут привести к увольнению.
Если замечание можно применять почти автоматически, то вот выговор, как более серьезное взыскание, требует предварительной оценки обстоятельств. Так суды прямо указывают, что работодатель обязан оценивать наступившие или возможные негативные последствия от нарушения при в назначении выговора. Пример — Постановление 8КСОЮ от 26.01.2023 года №8Г-26337/2022.
Правды ради в этом деле работодатель действительно крайне формально отнесся к интерпретации нарушения. Да, работник действительно пересылал себе на личную почту документы. Да, это было запрещено Политикой ИБ и формально являлось нарушением. Но работодатель не учел, что документы хотя и были созданы в рабочем периметре, касались не-рабочей жизни работника, ведь это были документы о предоставлении ему льготной ипотеки.
Выговор за прокрастинацию
Да, за прокрастинацию можно объявить выговор. Если работнику поставлена обязанность рационально использовать рабочее время, то просмотр видосиков с рабочего компа будет дисциплинарным нарушение. Условно, это как прогул, но без специального правового режима. В Апелляционном определении Липецкого областного суда от 15.02.2021 года №33-431/2021 суд признал правомерным выговор после того, как DLP-система зафиксировала длительную нерабочую активность сотрудника.
Попался на фишинг? Оффтоп
Недавно мы с коллегами спорили, можно ли объявить дисциплинарное взыскание (на уровне замечания или выговора), работнику, который попался на фишинг. Гипотеза следующая.
Компания Х вводит обязанность сотрудников проверять входящий трафик на фишинг. После этого она проводит тренинг и ознакамливает сотрудников с инструкцией о противодействии фишингу под роспись. Представим, что это не формальный, а действительно качественный тренинг. Но один из сотрудников ведется на «удочку», вводит корпоративный логин-пароль и… дальше вы знаете. И представим, что удачная атака действительно привела к убыткам.
Формально, все есть: обязанность введена, а работодатель обеспечил возможность ее выполнить, что доказывается обучением. Есть нарушение, есть ущерб. Но возможна ли отвественность сотрудника с учетом того, что фишинг создан, как эксплуатация уязвимостей психологии человека? То есть мы по сути хотим привлечь человека к отвественности за то, что он… не идеален?
С моей точки зрения это возможно, но только в строго установленном случае. Если фишинговая атака маскируется под рабочие вопрос — инструкция или опрос от HR, видеоурок от IT или фейк-босс по рабочим каналам — нет к ответственности привлечь нельзя. Потому что в таком случае мы будем пытаться наказать человека за, как мы (я) выразились ранее, несовершенство. Сюда бы цитату великих мыслителей, но я их всех забыл, простите.
А вот если фишинг использовал жажду наживы, интерес к личной жизни коллег, «сплетню» или иные личные интересы или, более того, личные каналы связи — тогда возможность уже есть. Потому что кроме несовершенства природы человека здесь участвует еще и нарушение установленных каналов коммуникации или запрета на использование рабочих ресурсов в личных целях.
Поэтому надо смотреть исходя из ситуации, но я полагаю, что замечание или выговор во втором случае, скажем так, жизнеспособны. Кстати, на Хабре у меня есть две статьи о кибератаках в судах — в них есть разбивка того, что относится к прямым и косвенным убыткам от кибератаки и какую роль в этом занимает ПейперСек. А вот тут ссылка на личное исследование пдф.
Увольнения
Увольнение — самое серьезное дисциплинарное взыскание. Чаще всего на практике мы встречается с увольнением работника за утечку данных — по пункту «в» части 6 статьи 81 ТК РФ. Увольнение возможно в случае однократной утечки. Но есть нюансы.
Во-первых, прежде чем требовать исполнения обязанностей, работодатель должен обеспечить возможность их исполнить. Если обязанность создана на пустом месте, работнику не предоставлены средства для ее соблюдения (ПО и техника в первую очередь) — с работника «спроса нет». Если работодатель не обеспечивает режим информации самостоятельно, то его попытки потребовать этого от сотрудников имеют большие шансы на провал.
Здесь же — отсутствие фактического контроля или интереса по контролю за соблюдением требований. Пример: Определение 2КСОЮ от 26.07.2022 по делу №2-6537/2021. В этом деле работник пересылал персональные данные коллег на личное устройство в течение 5 лет. Делал он это, чтобы заполнять инструктажи по ТБ. На пятый год работодатель вдруг спохватился — караул, утечка! Так и есть. Работника увольняют, но он оспаривает это в суде. Один из его аргументов — отсутствие интереса у работодателя и непоследовательность его поведения. Итог — работник восстановлен на рабочем месте.
Еще одно интересное и, к слову, тоже проигрышное для работодателя дело — Решение Северного районного суда г. Орла от 11.02.2022 года по делу №2-236/2022. В нем работник скопировал сотни гигабайт рабочих файлов на личный USB-носитель, за что был уволен. Но он успешно оспорил увольнение, указав на то, что скопировал данные для работы из дома. Работы много, сотрудников мало — вот и приходится утаскивать коммерческую тайну. Не обращайте внимание на то, что работник вышел на новое место работы через неделю после копирования.
Хотя суд признал факт копирования информации, он отметил, что работодатель не смог доказать факта ее распространения. Работник утверждал, что не передавал ее третьим лицам и использовал лишь самостоятельно (мы помним, для работы на дому), но да, на личном устройстве. Но, скажу честно, это дело выбивается из общей практики. Обычно суды придерживаются мнения, что распространением является любая утрата полного контроля за информацией со стороны ее обладателя.
Во-вторых, нужно избегать излишнего формализма и всегда сравнивать тяжесть последствий нарушения и суровость наказания. А мы помним, что увольнение — самое суровое из них. Так в Определении Московского городского суда от 28.10.2021 №2/2020 прямо указано, что работодатель не может автоматически применять увольнение как наказание за разглашение охраняемой законом тайны, поскольку он обязан оценить обстоятельства проступка и его последствия, и только исходя из этого определить соразмерное наказание.
А вот мой любимый пример — Определение Брянского областного суда от 03.08.2021 по делу №33-2108/2021. Сотрудник-с-допуском был уволен за то, что передал информацию сотруднику-без-допуска. ЛНА организации указывали, что такая ситуация является разглашением информации. Работник был уволен. Но успешно восстановился на работе через суд, сославшись на отсуствие вреда для работодателя от нарушения. Суд посчитал, что нарушение было исключительно формальным, а значит работодатель не может применять самое строгое из предусмотренных трудовым законодательством взысканий. А вот замечание или выговор тут были бы уместны.
В-третьих, будьте внимательны к процедуре увольнения и доказательствам. Большинство дел проигрываются именно из-за нарушений процедуры увольнения или из-за хаоса в доказательствах.
Приведу свое второе любимое дело — Решение Красногорского городского суда Московской области от 15.11.20219 года по делу №2-7301/2018. В нем работодатель зафиксировал передачу коммерческой тайны работником в DLP системе и уволил его. А дальше — хаос. В суде всплыла плеяда нарушений процедуры увольнения: в комиссии было 7 человек, а заключение почему-то подписало только 3; работник не был ознакомлен с положение о коммерческой тайне под подпись; предоставлены скриншоты писем, но почему-то без вложений, хотя работодатель указывал на то, что они были. Итог — решение в пользу работника. Причина — работодатель создал настолько сложную систему документов и процедур, что не смог эффективно по ней отработать в сжатые сроки.
Еще рекомендую всегда обращать внимание на тип разглашенной информации. Достаточно часто причиной решения в пользу работника становится то, что работодатель не перепроверил, есть ли у работника обязанность по защите именного этого типа информации и вообще, попадает ли информация под охраняемую законом тайну. Пример — Апелляционное определение Новосибирского областного суда от 16 августа 2022 года №33-7907/2022. В этом деле работник был уволен за распространение персональных данных. Работник оспаривает увольнение, причем прямо скажем экстравагантно — он указывает на то, слил от персональные данные, а обязанность у него была… по защите только коммерческой тайны. И суд с эти соглашается — ни в одном ЛНА не было указано, что работнику как-то запрещается разглашать полученные на работе персональные данные!
В целом разглашение тайны — это самый частый сценарий увольнения за нарушение именно ИБшных требований. Да, есть еще часть 5 той же статьи — неоднократное неисполнение трудовых обязанностей в случае наличия у работника дисциплинарного взыскания. Да, можно «настакать» 3 замечания/выговора и уволить на этом основании, но я именно в сфере ИБ таких сценариев пока не обнаружил. А так увольнений в ИБ крайне много, я часто пишу о них тут под хэштегом «дело»
Штрафы за нарушение ИБ сотрудниками
Кстати, а почему бы не штрафовать сотрудников?
И ведь действительно. Перспектива увольнения не сильно пугает человека, который и так собрался переходить к конкуренту (частая история) или открывать свой бизнес. Замечание и выговор для него и вовсе будут за скобками. Но, если предусмотреть штрафы за нарушение техники информационной безопасности, то тут уже подключится экономическая целесообразность такого нарушения. Нам же говорят, что голосовать надо рублем, верно?
Штрафы запрещены Трудовым Кодексом. Ст. 192 ТК — прямой запрет всех мер наказания (в том числе штрафов), прямо не предусмотренных ТК РФ. Любая попытка штрафа будет оспорена в суде, более того, так сам работодатель получит уже административный штраф по ст. 5.27 КоАП и визит трудовой инспекции.
То же самое касается и неустоек/штрафов в NDA с сотрудниками. Да, такие неустойки отлично работают в договорах с контрагентами. Но даже если NDA заключается с сотрудником отдельно от трудового договора, суд все равно поставит принципы трудовых отношений выше условий такого соглашения. Пример — Апелляционное определение Санкт-Петербургского городского суда от 12.09.2019 года №33-19819/2019. В этом деле работодатель потребовал неустойку за нарушение NDA с сотрудника, но суд признал такое требование противоречащим ТК РФ.
Компенсация убытков
Штраф взыскать не получится. Но ведь можно взыскать причиненные нарушением норм ИБ убытки! Ч. 7 ст. 243 ТК РФ указывает, что ущерб, причиненный работодателю работником через разглашение информации, компенсируется в полном объеме. Даже не в пределах среднемесячной заработной платы.
Но есть серьезное ограничение — ст. 238 ТК РФ указывает, что с работника взыскивается только прямой действительный ущерб. Это значит, что с работника не получится взыскать упущенную выгоду и другие косвенные убытки. А утечка провоцирует именно их. И вот пара примеров такого ограничения:
-
Работник ушел к конкуренту, прихватив с собой список клиентов и другую информацию, относящуюся к коммерческой тайне. Клиентов работник успешно переманил на новое место. Работодатель попытался взыскать убытки с работника, но суд отказал. Причиной были и ошибки в ЛНА, и недочеты в подготовке иска, но суд также указал и на то, что упущенная выгода не подлежит взысканию с работника. Источник: Апелляционное определение Свердловского областного суда от 13.11.2024 года по делу №33-19600/2024
-
Работник также слил конфиденциальную информацию, из-за чего сорвалась сделка его работодателя. Работодатель обратился в суд с требованием взыскать причиненные этим убытки. Суд отказал, сказав, что упущенная выгода от сорвавшейся сделки не относится к прямому действительно ущербу, указанному в ст. 238 ТК РФ. Источник: Апелляционное определение Омского областного суда от 17.08.2021 года №33-4599/2021
Но есть и исключения. Суды считают, что выплаты физлицам, пострадавшим от утечки информации, относятся к прямому действительному ущербу, если причиной утечки стали преступные, доказанные действия сотрудника. Пример: Апелляционное определение Свердловского областного суда от 07.02.2019 года №33-1884/2019. В этом деле работник банка передал своим подельникам конфиденциальную информацию, связанную с личными кабинетами вкладчиков. Мошенники использовали ее, чтобы украсть деньги со счетов, а банк добросовестно компенсировал украденные деньги вкладчикам. По итогу внутреннего расследования против работника было открыто уголовное дело по ст. 183 УК РФ, а в гражданском иске суд обязал его выплатить банку сумму, компенсированную банком своим вкладчикам.
Но общий вывод такой: особых перспектив взыскать с работника убытки, причиненные нарушением ИБ, не получится.
А вот директор платит
В ФЗ «О коммерческой тайне» есть интересный механизм — руководитель организации несет ответственность за разглашение коммерческой тайны согласно Гражданскому Кодексу РФ. То есть он несет полную ответственность за все убытки, вызванные разглашением.
Пример из практики — Решение Кировского районного суда г. Уфы от 20.08.2020 по делу №2-5196/2020. Директор уволился из найма и решил открыть свой бизнес. Ну конечно же, используя список клиентов и другую конфиденциальную информацию с прошлой работы. Его прошлый работодатель заметил переход некоторых клиентов в бизнес бывшего работника (директора) и обратился в суд с требованием компенсировать упущенную выгоду. Причем иск был подан именно против директора, а не в адрес юридического лица его нового бизнеса. Работодателю удалось обосновать размер убытков и доказать факт неправомерного использования коммерческой тайны. Итог — решение в его пользу, убытки успешно взысканы.
Кстати, убытки вполне реалистично взыскать не с работника, а с бизнеса, в который он ушел. Или можно сделать как в арбитражном деле №А45-14237/2018. Директор общества перешел работать к конкуренту, прихватив с собой стопочку чертежей и технологий производства, попадающих под режим коммерческой тайны и ноу-хау. Его бывший работодатель обратился в арбитраж с иском о признании выпущенной конкурентом продукции контрафактом. Через 3 года суд был выигран, весь произведенный товар был уничтожен, а бизнес конкурентов — ликвидирован.
Риски специалиста ИБ: надуманные утечки и уголовные дела
Я подумал, что статья будет неполной, если мы не разберем и нарушения со стороны специалистов информационной безопасности. Сотрудник ИБ может получить тот же набор замечаний, выговоров и увольнений, что и любой его коллега из других отделов. За те же нарушения и ту же невнимательность. Поэтому предлагаю рассмотреть экзотику, точнее, специфику — нарушения, которые связаны с надзором за коллегами.
Мы будем говорить про нарушение неприкосновенности частной жизни работников и передачу данных, собранных при мониторинге деятельности последних. Основной риск здесь — набор статей 137 и 138 УК РФ (нарушение неприкосновенности частной жизни и тайны переписки), статья 272.1 УК РФ (незаконная обработка персданных), но есть и более экзотические случаи.
Экзотика объясняется тем, что нарушения ИБ зачастую остаются внутри периметра… отдела ИБ. А выходят они наружу в двух случаях: либо внутри организации произошел конфликт, по итогу которого кто-то решает утопить ИБшника; либо нарушение серьезно затронуло права работников.
Вот два дела, в основе которых (я уверен) лежит корпоративный конфликт:
Специалиста ИБ уволили за исполнение своих обязанностей, обозвав это «утечкой» — Определение Московского областного суда от 21.09.2022 по делу №33-30192/2022
Специалист по ИБ обнаружил в DLP-системе факт разглашения банковской тайны сотрудников банка. Он сделал все по инструкции: скопировал событие, сделал выгрузку переданной информации, собрал фактуру, передал информацию начальнику отдела информационной безопасности.
И тут началось. Организация признала эту передачу (от мидла сеньору одного и того же отдела) незаконной. Обоснование такое: а) дескать у специалиста ИБ полномочий на доступ к коммерческой тайне нет, а он ее скопировал через выгрузку инцидента, б) дескать у специалиста ИБ полномочий на передачу информации нет, а он ее незаконно распространил. Да, повторюсь, распространил ее начальнику отдела ИБ. Специалиста увольняют за разглашение охраняемой законом тайны.
Безопасник идет в суд, который, конечно же, встает на его сторону. Его аргументы: 1) информация передавалась по контролируемому защищенному каналу, 2) установленному лицу с надлежащим доступом, 3) со служебной целью. Увольнение успешно оспорено. Для нас — отличный перечень тезисов, с которыми надо сверить свою работу, чтобы повысить безопасность.
8 месяцев колонии за прослушку рабочих телефонов — Апелляционное постановление ВС Республики Татарстан от 27 сентября 2022 года по делу №22-7499/2022
Еще одно дело, где я подозреваю корпоративный конфликт, свернуло в уголовную плоскость — специалист по ИБ получил 8 месяцев колонии за слежку за сотрудниками (ст. 137 и 138 УК РФ). Дело обстояло так: сотрудник экономической безопасности прослушивал телефоны работников фирмы, скачивал их записи и пересылал в чат в стороннем мессенджере с руководством.
Каким-то неизвестным образом (кхм) работникам стало известно о прослушке. Жалоба в МВД, обыск в офисах, причем не только работодателя, но и провайдера корпоративной телефонии, следственные эксперименты, изъятие рабочей техники и документов. Итог — обвинение по 137 и 138 УК РФ. Более того, два работника подали иски о компенсации морального вреда. Каждому присудили по 70 000 рублей.
Суд принял следующие доводы обвинения:
-
сотрудников не предупреждали о прослушке рабочих телефонов, более того, на следственном эксперименте безопасник показал, как он отключал оповещение о прослушке при звонке;
-
безопасник отправлял сведения за пределы организации, по незащищенному каналу (по моему мнению, это и стало триггером обвинительного приговора).
Итог — приговор и 8 месяцев колонии. Доводы защиты о том, что все происходящее делалось в служебном порядке и с целью защиты активов работодателя не были оценены. Также не приняли во внимание и то, что прослушивались только корпоративные телефоны с корпоративными симками и тарифами. Более того, не обосновано то, почему рабочий процесс превратился для работодателя в частную жизнь.
Для меня решение странное — я прямо вижу в нем белые пятна, которые могу заполнить только двумя догадками. Первая — имел место абсолютный бардак в процессах и документах, а еще попытка сделать все «как удобно», а не «как правильно». Вторая, она же первопричина — корпоративный конфликт и попытка его порешать, а не разрешить.
«Дело в ФНС» Постановление 10КСОЮ от 16 февраля 2023 года по делу №77-258/2023
Это дело достаточно популярно. На него часто ориентируются при определении зон и границ контроля. В нем сотрудница безопасности ФНС мониторила переписку в корпоративном мессенджере, и нашла там крамольные высказывания о руководстве Управления. Скриншоты и выгрузки сообщений ложатся на стол руководству — вот, уважаемые, что о вас чернь говорит!
Руководство это действие не впечатлило, и оно поделилось выгрузками (и, я уверен, личными комментариями) с нижестоящими коллегами. Дальше — заявление в МВД, следственные действия, суд.
Сначала действие квалифицировали по 272+138 УК РФ, но кассация 272 статью исключило. А вот нарушение тайны переписки осталось. Защита безопасника ссылается на служебные полномочия и служебный характер мессенджера. Нет, не срабатывает. Суд принимает во внимание тот факт, что настоящей целью сбора и передачи информации в данной ситуации был личный интерес безопасника, «превратное толкование должностных обязанностей» и попытка выслужиться перед руководством ценой нарушения тайны переписки коллег. Итог — приговор.
ссылка на оригинал статьи https://habr.com/ru/articles/1024746/