аналитика 4 февраля 2027 По состоянию на 4 февраля 2027

Часть 1 ст. 13.11 КоАП: штраф 300-700 тыс. ₽ за обработку без согласия

Ч. 2 ст. 13.11 КоАП — обработка персональных данных без письменного согласия или с нарушением его состава — штраф для юридического лица от 300 000 до 700 000 ₽ за каждый выявленный факт, в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025).

До ФЗ-420 за то же нарушение компании платили 15 000–75 000 ₽. Рост санкции — в 4–10 раз. При повторном нарушении — ч. 2.1, штраф вырастает до 1 000 000–1 500 000 ₽. Оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Если вы генеральный директор и получили протокол РКН — у вас 10 дней на подготовку позиции. Каждый день промедления сужает аргументную базу. → Оценить риски по ст. 13.11

С 30.05.2025 ст. 13.11 КоАП работает в новой редакции — 18 частей вместо прежних семи. Ч. 2 стала профильным составом за отсутствие или дефектное согласие на обработку персональных данных. Для генерального директора это означает: одна проверка Роскомнадзора по типовому интернет-магазину или кадровому делу способна принести компании штраф, сопоставимый с месячным фондом оплаты труда. Ниже — состав нарушения, доказательная база РКН, смягчающие обстоятельства и тактика защиты в суде.

Что именно наказывается по ч. 2 ст. 13.11 КоАП?

Состав охватывает два самостоятельных нарушения. Первое — обработка персональных данных, для которой ст. 9 ФЗ-152 требует письменного согласия субъекта, при полном отсутствии такого согласия. Второе — наличие согласия, но с нарушением перечня обязательных реквизитов: не указана цель, не перечислены конкретные действия с данными, не назван оператор, не установлен срок или способ отзыва.

«Ч. 2 ст. 13.11 КоАП — обработка персональных данных без согласия субъекта в письменной форме в случаях, когда такое согласие обязательно, либо с нарушением установленных требований к его содержанию. Штраф для юридического лица — 300 000–700 000 ₽. В редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025.»

На практике РКН квалифицирует по ч. 2 следующие ситуации: согласие встроено в текст трудового договора или оферты и не оформлено отдельным документом (требование ст. 9 ФЗ-152 в редакции ФЗ-156, действует с 01.09.2025); согласие содержит только общую фразу «на обработку персональных данных» без перечня конкретных действий; работодатель передаёт данные сотрудников в зарплатный банк или страховую компанию без отдельного согласия на такую передачу; интернет-магазин собирает адрес доставки и телефон без базового согласия, размещённого на форме заказа.

Важно разграничивать ч. 2 и ч. 1. Ч. 1 применяется, когда обработка ведётся в случаях, не предусмотренных законом вовсе, или несовместима с заявленными целями — штраф ниже (150 000–300 000 ₽). Ч. 2 — специальный состав именно для ситуаций, где основание — согласие, но оно отсутствует или дефектно.

Получили протокол по ч. 2 ст. 13.11 — что делать в первые 10 дней?

Штраф по ч. 2 ст. 13.11 назначают мировые судьи (с 28.12.2025, после ФЗ-508). У компании — 10 дней на обжалование с момента вручения постановления. Пропущенный срок восстанавливается только по уважительной причине. Юристы DATUM оценят состав протокола, подготовят возражения и при наличии оснований добьются замены штрафа на предупреждение по ст. 4.1.1 КоАП или снижения до минимума по ст. 4.1 КоАП.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН доказывает нарушение по ч. 2?

Роскомнадзор использует три канала выявления нарушений. Плановые проверки охватывают операторов из реестра — инспектор запрашивает комплект ОРД и сопоставляет заявленные цели с реальными процессами обработки. Внеплановые проверки возбуждаются по жалобам субъектов — бывших работников, клиентов, потребителей. Мониторинг интернет-ресурсов позволяет автоматически фиксировать отсутствие баннера согласия на сайте или политики конфиденциальности.

На проверке инспектор оценивает: есть ли письменное согласие для каждой категории обработки, требующей его по закону; соответствует ли состав согласия перечню из ст. 9 ФЗ-152; соответствует ли дата подписания согласия дате начала обработки. Типичная ошибка — согласие подписано позже первого обращения клиента или позже приёма работника на работу.

С 01.09.2025 требование ФЗ-156 об отдельном документе для согласия стало дополнительным критерием проверки. Согласие, объединённое с договором или офертой, подписанной после этой даты, автоматически дефектно. Ранее подписанные согласия обратной силы не имеют.

Что подготовить для защиты по ч. 2 ст. 13.11

Журнал согласий: дата подписания, ФИО субъекта, цель, перечень действий — по каждому контрагенту или работнику
Шаблоны согласий с датой ввода в действие — до или после 01.09.2025
Доказательства технической невозможности обработки до получения согласия (лог-файлы, скриншоты форм)
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 и журнал инструктажа работников
Уведомление в реестре РКН с актуальными целями и правовыми основаниями

Какие санкции действуют с 30.05.2025 — таблица по частям?

ФЗ-420 кардинально пересобрал ст. 13.11. Понимание всей лестницы санкций критично для генерального директора: повторное нарушение по ч. 2 переходит в ч. 2.1 с санкцией до 1 500 000 ₽, а если компания допускает крупную утечку после уже зафиксированного нарушения — применяется оборотный состав.

Основные части, актуальные для практики оператора персональных данных:

«Ч. 1 ст. 13.11 — обработка в случаях, не предусмотренных законом, или несовместимая с целями: 150 000–300 000 ₽ для юрлица. Ч. 2 — обработка без письменного согласия или с нарушением состава: 300 000–700 000 ₽. Ч. 2.1 — повторное нарушение по ч. 2: 1 000 000–1 500 000 ₽. Ч. 12 — утечка от 1 000 до 10 000 субъектов: 3 000 000–5 000 000 ₽. Ч. 15 — оборотный за повторную утечку: 1–3% годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. Все значения — в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025.»

Ч. 10 — неуведомление РКН о намерении обрабатывать персональные данные: 100 000–300 000 ₽. Ч. 11 — неуведомление об утечке в течение 24 часов: 1 000 000–3 000 000 ₽. Ч. 17 — утечка биометрических данных: 15 000 000–20 000 000 ₽. На практике по итогам 2025 года РКН назначил шесть административных штрафов по новым нормам на общую сумму около 570 тыс. ₽ — суды накапливают практику применения ФЗ-420.

Как снизить штраф или заменить его на предупреждение?

Три инструмента защиты работают в разных ситуациях. Первый — ст. 4.1.1 КоАП: замена административного штрафа предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении, не причинившем вреда. Не применяется к оборотным составам (ч. 15, ч. 18). Не применяется, если нарушение причинило имущественный ущерб.

Второй инструмент — ст. 4.1 КоАП: смягчающие обстоятельства (устранение нарушения до вынесения постановления, добровольное сообщение РКН, возмещение ущерба субъектам). Суд вправе назначить штраф ниже минимального размера — но не более чем вдвое. Третий инструмент — примечание к ст. 4.1 КоАП (введено ФЗ-420): при инвестициях в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15, ч. 18) снижается до одной десятой минимального размера — но не менее 15 млн ₽ и не более 50 млн ₽.

Если вы генеральный директор и нарушение произошло до вступления в силу ФЗ-420 (до 30.05.2025) — применяется старая редакция с санкцией 15–75 тыс. ₽. Дата нарушения, а не дата проверки, определяет применимую норму. Юристы DATUM проверят квалификацию протокола и обоснуют применение смягчающей редакции.

Защитить от штрафа 13.11

Типичные сценарии и тактика защиты

Сценарий 1. Проверка РКН: согласия встроены в трудовые договоры. Работодатель с 2019 года использует трудовые договоры с формулировкой «работник даёт согласие на обработку персональных данных в целях исполнения договора». После 01.09.2025 такая форма дефектна — требование ФЗ-156 об отдельном документе не соблюдено для договоров, подписанных после этой даты. Инспектор РКН фиксирует нарушение и составляет протокол по ч. 2 ст. 13.11. Стратегия: разграничить дату нарушения — договоры до 01.09.2025 под старую редакцию требований не подпадают. Для договоров после 01.09.2025 подготовить доказательства устранения (новые отдельные согласия, дата ввода в действие) и заявить ст. 4.1.1 КоАП при статусе МСП.

Сценарий 2. Жалоба бывшего работника: данные переданы в страховую компанию. После увольнения работник обращается в РКН с жалобой — работодатель передал его ФИО, должность, зарплату и СНИЛС в страховую компанию для оформления корпоративного ДМС, не получив отдельного согласия на передачу третьему лицу. Это самостоятельное основание для ч. 2 ст. 13.11 — согласие на обработку в рамках трудовых отношений не охватывает передачу данных страховщику. Вероятный исход — штраф 300 000–700 000 ₽. Стратегия: оспорить наличие умысла, представить доказательства немедленного устранения, запросить снижение через ст. 4.1 КоАП.

Сценарий 3. Мониторинг сайта РКН: форма заказа без согласия. Интернет-магазин собирает имя, телефон и email покупателя в форме заказа без чекбокса согласия или ссылки на политику конфиденциальности. РКН фиксирует нарушение в ходе автоматического мониторинга. Генеральный директор получает предписание и протокол одновременно. Если нарушение устранено до вынесения постановления — это смягчающее обстоятельство по ст. 4.1 КоАП. При статусе МСП и первичности — основание для ст. 4.1.1.

Как применяется норма на практике в 2025–2026 годах

Кейс 1. Торговая компания (Центральный ФО, весна 2026): мировой судья рассматривал дело о передаче данных клиентов маркетинговому агентству без отдельного согласия. Компания относилась к субъектам МСП, нарушение — первичное, вред субъектам не причинён. Суд применил ст. 4.1.1 КоАП и заменил штраф по ч. 2 ст. 13.11 (от 300 000 ₽) на предупреждение. Ключевым аргументом стало документальное подтверждение устранения нарушения до заседания.

Кейс 2. По делу о первых штрафах за крупные утечки (АС Москвы № А40-351064/2025) суд рассматривал нарушение по ч. 14 ст. 13.11 — утечка более 100 000 субъектов. Компания применила аргументацию о статусе микропредприятия и расчёт штрафа по правилам, предусмотренным для ИП. Назначенный штраф составил 400 000 ₽ — существенно ниже стандартного диапазона 10–15 млн ₽. Кейс показывает: правовой статус оператора напрямую влияет на итоговую санкцию.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, снижение через ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — выявление дефектных согласий и пробелов в ОРД до проверки РКН
Сопровождение проверок РКН — представление интересов на проверке, подготовка ответов на предписания

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024. Ст. 13.11 содержит 18 частей. Для юридических лиц ключевые санкции: ч. 1 — 150 000–300 000 ₽ (обработка без правового основания), ч. 2 — 300 000–700 000 ₽ (обработка без письменного согласия или с дефектным согласием), ч. 2.1 — 1 000 000–1 500 000 ₽ (повторное нарушение по ч. 2), ч. 12–14 — 3 000 000–15 000 000 ₽ (утечки по объёму), ч. 15 — оборотный штраф 1–3% выручки, не менее 20 млн ₽.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке персональных данных: если компания ранее уже привлекалась по ч. 12–14, 16–18 или по самой ч. 15. Штраф рассчитывается от совокупной выручки за предшествующий календарный год по ставке 1–3%. Минимум — 20 000 000 ₽, максимум — 500 000 000 ₽. Скидка 50% за быструю уплату (ст. 32.2 КоАП) к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ — нижний порог оборотного штрафа по ч. 15 ст. 13.11 КоАП. Применяется, если расчётная величина (1–3% выручки) оказывается ниже этой суммы. Для компании с выручкой до 2 млрд ₽ в год минимум фактически становится фиксированной санкцией. Снизить его позволяет примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420): инвестиции в ИБ не менее 0,1% выручки за три года снижают штраф до одной десятой минимума, но не менее 15 млн ₽.

4. Можно ли заменить штраф на предупреждение?

Замена штрафа предупреждением по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при одновременном соблюдении условий: нарушение первичное, вред и ущерб не причинены, нет угрозы безопасности государства или охраняемым законом правам граждан. Механизм не распространяется на оборотные составы — ч. 15 и ч. 18 ст. 13.11. По итогам 2025 года практика замены штрафа предупреждением по ч. 1 и ч. 2 ст. 13.11 для субъектов МСП уже формируется.

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП вернулись на рассмотрение мировым судьям — именно они назначают штрафы за нарушения ч. 1–18. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды: переходный период был связан с вступлением ФЗ-420 в силу. После ФЗ-508 от 28.12.2025 подсудность восстановлена. Обжалование постановления мирового судьи — в районный суд, далее — в суд субъекта РФ.

Итог

Ч. 2 ст. 13.11 КоАП в редакции ФЗ-420 — основной риск для любого оператора персональных данных, использующего согласие как правовое основание. Санкция выросла в 4–10 раз по сравнению с редакцией до 30.05.2025. Повторное нарушение автоматически переходит в ч. 2.1 с санкцией до 1 500 000 ₽. Реальная защита строится до проверки — через аудит согласий, актуализацию форм после 01.09.2025 и фиксацию дат.

Юристы DATUM сопровождают операторов на всех стадиях: от аудита ОРД и согласий до обжалования постановлений мировых судей по ст. 13.11. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.