аналитика 23 января 2028 По состоянию на 23 января 2028

Часть 10 ст. 13.11: 1-3 млн за неуведомление РКН об утечке

Часть 11 ст. 13.11 КоАП (в редакции ФЗ-420, действует с 30.05.2025) — штраф от 1 до 3 млн ₽ за неуведомление или несвоевременное уведомление РКН об инциденте с персональными данными в течение 24 часов.

Срок на первичное уведомление не восстанавливается. Повторное нарушение ведёт к оборотному штрафу по ч. 15 — до 3% годовой выручки и не менее 20 млн ₽. С 28.12.2025 дела рассматривают мировые судьи по ФЗ-508.

Если вы CEO и ваша компания пропустила 24-часовое окно или получила протокол от РКН — оспорить постановление возможно, но только при наличии доказательной базы с первых часов инцидента. → Разберите ситуацию с юристом DATUM.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7, отдельный состав за неуведомление об утечке и оборотный штраф за повторность. Для генерального директора это означает прямую связь между скоростью реагирования на инцидент и финансовым риском для компании. В материале разобраны состав нарушения по ч. 11, условия применения оборотного штрафа по ч. 15, механизмы смягчения и практика первых дел после 30.05.2025.

Что именно наказывает часть 11 ст. 13.11 КоАП?

Обязанность уведомить Роскомнадзор об инциденте с персональными данными установлена ч. 3.1 ст. 21 ФЗ-152. Оператор обязан направить первичное уведомление в течение 24 часов с момента обнаружения факта неправомерной или случайной передачи, предоставления, распространения, доступа к ПДн либо иных неправомерных действий с ними. Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022.

«Ч. 11 ст. 13.11 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление РКН об инциденте с ПДн в установленные сроки. Штраф для юридического лица: от 1 000 000 до 3 000 000 ₽.»

Состав формальный: достаточно установить факт нарушения срока или отсутствие уведомления. Доказывать наступление вреда для субъектов РКН не обязан. Момент, с которого исчисляется срок, — дата обнаружения инцидента, а не дата его начала. Именно здесь возникает первый спорный вопрос: что считать «обнаружением». Если компания зафиксировала подозрительную активность в системе, но не квалифицировала её как утечку, — инспектор будет оценивать, когда оператор должен был квалифицировать инцидент при разумной осмотрительности.

Субъектный состав охватывает всех операторов ПДн, обязанных уведомлять РКН: юридических лиц, индивидуальных предпринимателей, должностных лиц. Для CEO отдельная ответственность как для должностного лица предусмотрена той же частью статьи — в диапазоне, который менеджер сверяет по полному тексту КоАП перед публикацией.

Ваша компания пережила инцидент или получила запрос от РКН?

Если с момента обнаружения утечки прошло более 20 часов, а уведомление ещё не направлено — каждый час сужает возможности защиты. Юристы DATUM оценят состав нарушения, составят первичное уведомление по форме Приказа РКН №187 и подготовят позицию для минимизации штрафа по ч. 11 ст. 13.11 КоАП.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Когда неуведомление превращается в оборотный штраф по ч. 15?

Часть 15 ст. 13.11 КоАП — оборотный штраф — применяется при повторном совершении нарушений по ч. 12–14 (утечки разного масштаба), ч. 16–18 (биометрия) или самой ч. 15 лицом, ранее привлекавшимся по этим составам. Неуведомление об утечке по ч. 11 напрямую в триггер оборотного штрафа не входит, однако механика такова: если компания допустила утечку (ч. 12–14) и одновременно не уведомила РКН (ч. 11), протоколы составляются по обоим составам. При повторной утечке в будущем — уже применяется ч. 15.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф при повторном нарушении по ч. 12–14, 16–18 или 15: от 1 до 3% совокупной выручки за предшествующий календарный год, не менее 20 000 000 ₽, не более 500 000 000 ₽.»

Для компании с выручкой 3 млрд ₽ это 30–90 млн ₽. Для компании с выручкой 15 млрд ₽ — 150–450 млн ₽. Формула расчёта применяется к совокупной выручке от всех видов деятельности за предшествующий календарный год — не за квартал, не за период с начала нарушения.

Существует законодательный стимул к инвестициям в ИБ: согласно примечанию 3.4-2 к ст. 4.1 КоАП, если оператор документально подтвердил инвестиции в информационную безопасность на уровне не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15, ч. 18) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Документировать расходы на ИБ стоит начинать до инцидента, а не после.

Как работает смягчение по ст. 4.1 и ст. 4.1.1 КоАП?

Для необоротных составов (ч. 11 ст. 13.11 — штраф 1–3 млн ₽) действуют общие правила ст. 4.1 КоАП о смягчающих обстоятельствах. К ним относятся: добровольное устранение нарушения, содействие расследованию, возмещение ущерба, отсутствие умысла. Каждое из этих обстоятельств суд учитывает при назначении конкретного размера штрафа в рамках санкции.

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов малого предпринимательства при первичном нарушении и отсутствии вреда. Однако применительно к ч. 11 ст. 13.11 практика неоднородна: часть судов считает, что само по себе неуведомление об утечке создаёт потенциальный вред субъектам, что блокирует замену. К оборотным составам (ч. 15, ч. 18) ст. 4.1.1 не применяется вовсе.

Что подготовить для защиты от штрафа по ч. 11 ст. 13.11

Журнал регистрации инцидентов с ПДн — с фиксацией даты и времени обнаружения каждого события, а не только квалифицированных утечек.
Регламент реагирования на инциденты с ПДн — с чётким определением «момента обнаружения» и цепочкой ответственных лиц до уполномоченного на подачу уведомления.
Шаблон первичного уведомления по форме Приказа РКН №187, заполненный под типовые сценарии утечки для вашей отрасли.
Документация о расходах на ИБ за три последних года — для применения льготного коэффициента по примечанию 3.4-2 ст. 4.1 КоАП при оборотном штрафе.
Подтверждение регистрации оператора в реестре РКН (pd.rkn.gov.ru) с актуальными сведениями об обработке ПДн.

Какова подсудность дел по ст. 13.11 после ФЗ-508?

С 30 мая по 27 декабря 2025 года дела по ст. 13.11 КоАП рассматривались арбитражными судами. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. С 28.12.2025 дела по всем частям ст. 13.11, в том числе по ч. 11, рассматривают мировые судьи — за исключением дел, где стороной является юридическое лицо и сумма штрафа превышает пороги подсудности арбитражным судам по общим правилам АПК.

На практике это означает: стратегия обжалования постановления по ч. 11 после 28.12.2025 строится через мирового судью районного суда, затем — апелляция в районный суд общей юрисдикции. Алгоритм отличается от арбитражного: сроки обжалования, стандарты доказывания и практика по смягчающим обстоятельствам различаются.

Если CEO получил постановление по ч. 11 ст. 13.11 или готовится к проверке РКН — срок на обжалование постановления ограничен. Юристы DATUM оценят основания для снижения штрафа или замены на предупреждение по ст. 4.1.1 КоАП.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. IT-компания (Сибирский ФО, осень 2025) зафиксировала несанкционированный доступ к базе пользователей. Служба ИБ квалифицировала событие как инцидент на 26-й час после первых признаков аномалии — и уже после истечения 24-часового окна направила первичное уведомление в РКН. Мировой суд назначил штраф в нижней части санкции ч. 11: суд учёл, что уведомление всё же было направлено, компания содействовала расследованию и за предшествующие три года задокументировала расходы на ИБ выше 0,1% выручки. Итоговый штраф составил сумму в нижней трети диапазона 1–3 млн ₽.

Кейс 2. По данным, которые DATUM анализировал в 2026 году, арбитражный суд (Центральный ФО, начало 2026) рассматривал дело компании, допустившей утечку до 10 000 субъектов и не уведомившей РКН ни в течение 24 часов, ни в течение 72 часов. Составы вменялись раздельно: ч. 12 (утечка) и ч. 11 (неуведомление). Совокупный штраф превысил 4 млн ₽. Компания не воспользовалась ни ст. 4.1, ни документальными доказательствами инвестиций в ИБ.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний.
Аудит соответствия 152-ФЗ — проверка обработки ПДн по чек-листу из 38 пунктов с приоритизированным планом устранения нарушений.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. Штрафы для юридических лиц варьируются от 30 тыс. ₽ (ч. 3 — отсутствие политики обработки ПДн) до 15 млн ₽ (ч. 14 — утечка свыше 100 000 субъектов) и до 500 млн ₽ (ч. 15 — оборотный штраф при повторной крупной утечке). Неуведомление об инциденте в 24 часа наказывается по ч. 11 — от 1 до 3 млн ₽. Точные размеры по отдельным частям для должностных лиц и ИП менеджер сверяет по КонсультантПлюс перед каждой публикацией.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП — санкция, рассчитываемая от совокупной выручки юридического лица за предшествующий календарный год. Диапазон — от 1 до 3% этой выручки, при этом минимальный размер не может быть ниже 20 млн ₽, максимальный — выше 500 млн ₽. Применяется при повторном совершении нарушений по ч. 12–14 (утечки) или ч. 16–18 (биометрия) лицом, ранее привлекавшимся по этим или аналогичным составам. Штраф назначается независимо от фактического ущерба субъектам.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется, если расчётная сумма 1–3% годовой выручки оказывается ниже этого порога. Например, при выручке 500 млн ₽ за год расчётный минимум составит 5 млн ₽ (1%), но суд назначит не менее 20 млн ₽. Исключение — при подтверждённых инвестициях в ИБ (≥ 0,1% выручки за три года по примечанию 3.4-2 ст. 4.1 КоАП) штраф снижается до 1/10 минимума, но не менее 15 млн ₽.

4. Можно ли заменить штраф по ч. 11 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП теоретически возможна для микропредприятий и субъектов МСП при первичном нарушении. Однако суды по-разному оценивают, создаёт ли неуведомление об утечке «угрозу вреда» субъектам — что является препятствием для замены. К оборотным составам (ч. 15, ч. 18) ст. 4.1.1 не применяется. Решение о применимости замены зависит от конкретных обстоятельств дела и позиции суда.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28 декабря 2025 года (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП снова рассматривают мировые судьи. В период с 30 мая по 27 декабря 2025 года подсудность была у арбитражных судов. Для стратегии обжалования постановления по ч. 11 это означает иную процессуальную цепочку: мировой судья — районный суд (апелляция) — суд субъекта (кассация). Сроки на обжалование и стандарты доказывания в судах общей юрисдикции отличаются от арбитражных.

Итог

Часть 11 ст. 13.11 КоАП — самостоятельный состав с санкцией 1–3 млн ₽, который применяется независимо от того, наказана ли компания за саму утечку. 24-часовое окно уведомления не восстанавливается, момент его начала определяется инспектором с учётом разумной осмотрительности оператора. Совокупность ч. 11 и ч. 12–14 при одном инциденте создаёт протоколы по двум составам, а последующая утечка влечёт оборотный штраф по ч. 15 — от 20 до 500 млн ₽.

DATUM сопровождает операторов ПДн при взаимодействии с РКН, готовит регламенты реагирования на инциденты и оспаривает постановления по ст. 13.11 в судах общей юрисдикции и арбитражных судах с учётом практики, сложившейся после 30.05.2025.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.