аналитика 18 февраля 2027 По состоянию на 18 февраля 2027

Часть 12 ст. 13.11: 3-5 млн ₽ за утечку 1000-10000 субъектов

Ч. 12 ст. 13.11 КоАП — штраф 3–5 млн ₽ за утечку ПДн от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов. Действует с 30.05.2025 в редакции ФЗ-420.

Повторная утечка того же масштаба переводит дело в ч. 15 ст. 13.11 — оборотный штраф 1–3% выручки, не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 1 млрд ₽ это 10–30 млн ₽ минимум.

→ Если компания допустила утечку или получила протокол РКН — разберём состав, возможности снижения штрафа и стратегию защиты в арбитраже.

С 30 мая 2025 года ст. 13.11 КоАП насчитывает 18 частей вместо прежних девяти. Ч. 12 — одна из трёх новых «утечечных» частей (12, 13, 14), которые дифференцируют ответственность по масштабу инцидента. Если утекли данные от 1 000 до 10 000 субъектов, применяется именно ч. 12 с диапазоном штрафа 3–5 млн ₽ для юридического лица. Для CEO это не абстрактная цифра: при повторности та же утечка влечёт оборотный штраф по ч. 15 с максимумом 500 млн ₽. В материале — состав правонарушения, пороговые значения, смягчающие основания и практика первых дел по новым нормам.

Что входит в состав правонарушения по ч. 12 ст. 13.11?

Ч. 12 ст. 13.11 КоАП фиксирует факт утечки ПДн как самостоятельный деликт. До ФЗ-420 закон не разделял ответственность по масштабу: любое несанкционированное распространение данных квалифицировалось по ч. 1 с потолком 150 000–300 000 ₽. Теперь размер санкции напрямую зависит от количества пострадавших субъектов.

Объективная сторона ч. 12 — неправомерное или случайное предоставление, распространение, доступ либо иные действия, повлёкшие утечку ПДн от 1 000 до 10 000 субъектов. Альтернативный критерий — утечка от 10 000 до 100 000 идентификаторов, если число субъектов установить затруднительно. Субъект правонарушения — оператор ПДн: юридическое лицо, индивидуальный предприниматель или должностное лицо.

«Ч. 12 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — штраф для юридических лиц 3 000 000–5 000 000 ₽ за утечку ПДн от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов.»

Важный практический нюанс: закон не требует, чтобы утечка была умышленной. Случайная публикация базы данных, незащищённый API-эндпоинт или атака на инфраструктуру подрядчика — все эти ситуации потенциально квалифицируются по ч. 12, если масштаб попадает в диапазон. Оператор отвечает за действия лиц, которым передал обработку по поручению (ст. 6 ФЗ-152).

Как соотносятся ч. 12, ч. 13, ч. 14 и оборотный штраф по ч. 15?

Три «утечечные» части ст. 13.11 формируют лестницу ответственности по числу пострадавших. Понимать её важно до инцидента: именно от масштаба зависит, вписывается ли ситуация в бюджет риска или разрушает финансовую модель компании.

Ч. 12 — от 1 000 до 10 000 субъектов (или 10 000–100 000 идентификаторов): штраф для юрлица 3–5 млн ₽.
Ч. 13 — от 10 000 до 100 000 субъектов (или 100 000–1 000 000 идентификаторов): штраф 5–10 млн ₽.
Ч. 14 — более 100 000 субъектов (или более 1 000 000 идентификаторов): штраф 10–15 млн ₽.
Ч. 15 (оборотный) — применяется при повторном нарушении по ч. 12, 13 или 14 (а также при наличии предшествующего привлечения по ч. 15, 16, 17, 18). Размер: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽.

Для CEO важна логика повторности: второй инцидент любого масштаба из диапазона ч. 12–14 автоматически переходит в оборотный состав. При выручке компании 500 млн ₽ в год минимальный оборотный штраф — 20 млн ₽; при выручке 2 млрд — уже 20–60 млн ₽.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф при повторном нарушении по ч. 12–14, 16–18 или повторно по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотному составу не применяется.»

Получили протокол РКН по ч. 12 ст. 13.11 или ожидаете проверку после инцидента?

Если в компании произошла утечка и количество пострадавших субъектов попадает в диапазон 1 000–10 000, у вас есть период до вынесения постановления, чтобы собрать смягчающие обстоятельства. Каждая неделя без юридического сопровождения сужает аргументационную базу. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения штрафа по ч. 12.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие смягчающие обстоятельства снижают штраф по ч. 12?

Ст. 4.1 КоАП даёт суду право снизить штраф ниже минимального предела, если имеются исключительные обстоятельства. Для дел по ч. 12 ст. 13.11 практика формируется: суды учитывают совокупность факторов, а не единственное обстоятельство.

Ключевые смягчающие основания, подтверждённые в делах 2025–2026 годов:

Оперативное уведомление РКН об инциденте в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152) и отчёт за 72 часа по Приказу РКН №187 — демонстрирует добросовестность оператора.
Самостоятельное устранение последствий: уведомление пострадавших субъектов, блокирование скомпрометированных данных, уничтожение копий в публичном доступе.
Первичность нарушения — отсутствие предшествующих протоколов по ст. 13.11.
Незначительный реальный вред: утечка контактных данных без финансовой или иной чувствительной информации.
Наличие аудита соответствия и ОРД до инцидента — подтверждает, что нарушение не было системным.

Ст. 4.1 КоАП (Примечание 3.4-2): если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это правило закреплено ФЗ-420 — собирайте документальное подтверждение расходов на ИБ заблаговременно.

«Ст. 4.1.1 КоАП: для микропредприятий и субъектов МСП при первичном нарушении, не причинившем реального вреда, суд вправе заменить административный штраф предупреждением. Замена не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11.»

В деле АС Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026) суд применил смягчающие обстоятельства к оператору-юрлицу при утечке около 70 000 субъектов (квалификация по ч. 14). Принцип пропорциональности и учёт оперативных действий оператора подтвердили как значимые факторы.

Что подготовить для защиты по ч. 12 ст. 13.11

Документальное подтверждение даты и времени обнаружения инцидента — лог-файлы, внутренние уведомления, тикет SIEM.
Копию первичного уведомления РКН с отметкой о времени подачи (не позднее 24 часов с момента обнаружения).
Отчёт о результатах внутреннего расследования по Приказу РКН №187 — не позднее 72 часов.
Документы, подтверждающие расходы на ИБ за три предшествующих года (для применения льготы по ст. 4.1 КоАП).
Актуальные ОРД: политику обработки ПДн, приказ об ответственном по ст. 22.1 ФЗ-152, журнал обращений субъектов.

Как на практике применяется ч. 12 ст. 13.11 в 2025–2026 годах?

Правоприменение по новым нормам ФЗ-420 идёт точечно. По данным отчёта InfoWatch (январь 2026), за 2025 год назначено шесть административных штрафов по новым составам ст. 13.11 на общую сумму около 570 тыс. ₽. Суды и регулятор осторожно формируют практику, нередко применяя минимальные санкции или смягчающие основания.

Отдельная тенденция: дела, возбуждённые по событиям до 30.05.2025, рассматриваются по старой редакции ст. 13.11. В деле АС Москвы (дело № А40-263126/2025) утечка 26 миллионов записей получила штраф 150 000 ₽ — именно потому, что инцидент произошёл до вступления ФЗ-420 в силу. Это принципиальный вопрос: дата инцидента, а не дата составления протокола, определяет применимую редакцию закона.

Кейсы: как работает защита по ч. 12 и смежным составам

Кейс 1. IT-компания (Сибирский ФО, осень 2025) допустила утечку клиентских данных через незащищённый API — около 4 000 субъектов. РКН составил протокол по ч. 12 ст. 13.11 (диапазон 3–5 млн ₽). Компания уведомила РКН в течение 18 часов, представила 72-часовой отчёт с описанием принятых мер, предоставила документы об аудите ИБ, проведённом за три месяца до инцидента. Арбитражный суд при назначении наказания снизил штраф до нижней границы диапазона, сославшись на ст. 4.1 КоАП и первичность нарушения.

Кейс 2. Медицинская организация (Центральный ФО, начало 2026) — утечка контактных данных пациентов (около 2 500 субъектов) через атаку на сервер подрядчика. Состав квалифицирован по ч. 12 ст. 13.11; параллельно РКН возбудил дело по ч. 1 за недостаточный контроль обработки по поручению (ст. 6 ФЗ-152). Юристы сформировали позицию с опорой на ст. 4.1.1 КоАП (первичность, отсутствие реального финансового вреда для субъектов), а также представили доказательства расходов на ИБ. Итог — минимальная санкция по ч. 12 и замена штрафа предупреждением по ч. 1.

Если вы CEO и компания получила протокол по ч. 12 ст. 13.11 — время на формирование смягчающих обстоятельств ограничено стадией до вынесения постановления. Оборотный штраф по ч. 15 при повторности начинается от 20 млн ₽. Юристы DATUM оценят состав и предложат стратегию защиты в арбитраже.

Защитить от штрафа 13.11

Три сценария: как развивается дело по ч. 12 ст. 13.11

Сценарий 1. Первая утечка, оператор уведомил РКН вовремя. Ситуация: компания обнаружила несанкционированный доступ к базе данных, 3 200 субъектов скомпрометированы. Уведомление в РКН направлено в течение 22 часов, отчёт — через 70 часов. Доказательства: лог-файлы, отчёт по расследованию, документы ОРД. Вероятный исход: штраф в нижней части диапазона ч. 12 (около 3 млн ₽) с применением ст. 4.1 КоАП. Стратегия: максимальная документация оперативных действий, акцент на первичности и отсутствии умысла.

Сценарий 2. Утечка через подрядчика, уведомление пропущено. Ситуация: данные 5 000 субъектов утекли через CRM-систему SaaS-провайдера. Оператор не уведомил РКН в 24-часовой срок, узнав об инциденте с задержкой. Доказательства: договор поручения с провайдером, переписка об инциденте, внутренние инструкции. Вероятный исход: штраф по ч. 12 (3–5 млн ₽) плюс штраф по ч. 11 за нарушение срока уведомления (1–3 млн ₽). Итого риск — до 8 млн ₽. Стратегия: оспорить факт осведомлённости в момент инцидента, представить договор с подрядчиком как доказательство разделения ответственности.

Сценарий 3. Повторная утечка — переход в оборотный состав. Ситуация: компания уже привлекалась по ч. 12 ст. 13.11, новый инцидент затронул 1 800 субъектов. РКН составляет протокол по ч. 15. При выручке 800 млн ₽ минимальный штраф — 20 млн ₽, расчётный — 8–24 млн ₽. Доказательства инвестиций в ИБ (≥ 0,1% выручки за три года) позволяют применить льготу ст. 4.1 КоАП — снижение до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽. Стратегия: документировать расходы на ИБ, добиваться минимального расчётного значения 1% выручки.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — чек-лист 38 пунктов, отчёт с приоритизированным планом устранения нарушений.
Сопровождение проверок РКН — подготовка к проверке, представительство, обжалование предписания.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30 мая 2025 года ст. 13.11 КоАП насчитывает 18 частей в редакции ФЗ-420 от 30.11.2024. За утечку ПДн от 1 000 до 10 000 субъектов юрлицу грозит 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13); более 100 000 субъектов — 10–15 млн ₽ (ч. 14). Неуведомление об инциденте в 24 часа квалифицируется по ч. 11 — ещё 1–3 млн ₽.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении по ч. 12, 13, 14, 16, 17 или 18. Размер — 1–3% совокупной выручки оператора за предшествующий календарный год. Установлены абсолютные пределы: не менее 20 млн ₽ и не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к этому составу не применяется. Норма закреплена ФЗ-420 от 30.11.2024.

3. Когда применяется минимум 20 млн ₽?

Нижняя планка 20 млн ₽ по ч. 15 ст. 13.11 применяется всегда, если расчётный процент от выручки даёт меньшую сумму. Иными словами, если 1% выручки составляет 5 млн ₽ — штраф всё равно будет не ниже 20 млн ₽. Льгота ст. 4.1 КоАП (при подтверждённых инвестициях в ИБ ≥ 0,1% выручки за три года) снижает минимум до 15 млн ₽ при потолке 50 млн ₽.

4. Можно ли заменить штраф по ч. 12 на предупреждение?

Замена штрафа предупреждением по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении, не причинившем реального имущественного вреда. К оборотному составу (ч. 15) эта норма не применяется. При утечке 1 000–10 000 субъектов через ч. 12 замена теоретически допустима для малого бизнеса при наличии смягчающих обстоятельств и отсутствии предшествующих нарушений по ст. 13.11.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — подсудность восстановлена ФЗ-508 от 28.12.2025. В период с 30 мая по 27 декабря 2025 года дела рассматривали арбитражные суды. Это важно при обжаловании постановлений, вынесенных в переходный период: инстанция апелляции зависит от того, кем было вынесено первоначальное постановление.

Итог

Ч. 12 ст. 13.11 КоАП устанавливает штраф 3–5 млн ₽ за утечку ПДн от 1 000 до 10 000 субъектов — это нижняя ступень трёхуровневой «утечечной» лестницы, введённой ФЗ-420 с 30.05.2025. При повторности тот же масштаб инцидента автоматически переходит в оборотный состав ч. 15 с минимумом 20 млн ₽. Смягчающие обстоятельства — оперативное уведомление РКН, ОРД до инцидента, документированные инвестиции в ИБ — напрямую влияют на итоговый размер санкции.

Юристы DATUM сопровождают дела по ст. 13.11 с момента составления протокола до арбитражного обжалования постановления. Практика включает применение ст. 4.1 и ст. 4.1.1 КоАП, формирование доказательной базы о расходах на ИБ и защиту позиции о подсудности в переходный период ФЗ-508.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, применение ст. 4.1 и 4.1.1 КоАП, оборотные штрафы с 30.05.2025.