аналитика 3 февраля 2028 По состоянию на 3 февраля 2028

Часть 13 ст. 13.11: 5-10 млн ₽ за утечку 10000-100000 субъектов

Часть 13 ст. 13.11 КоАП (в редакции с 30.05.2025) — штраф от 5 до 10 млн ₽ за утечку персональных данных от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов.

С 30.05.2025 ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП до 18 частей: нарушения теперь дифференцированы по масштабу утечки. Повторная утечка переводит дело в ч. 15 — оборотный штраф от 1 до 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

→ Если ваша компания допустила утечку в диапазоне 10 000–100 000 субъектов — оцените риск применения ч. 13 и ч. 15 до того, как РКН составит протокол.

Для генерального директора среднего бизнеса ч. 13 ст. 13.11 КоАП — это не абстрактная норма. Утечка клиентской базы из 50 000 записей, произошедшая после 30 мая 2025 года, означает штраф до 10 млн ₽ по первому делу. Если ранее компания уже привлекалась по ч. 12–14 или ч. 15–18, применяется оборотный штраф по ч. 15: потолок — 500 млн ₽. Ниже — анализ состава правонарушения, порядка производства и реальных инструментов защиты.

Что изменилось в ст. 13.11 КоАП с 30.05.2025?

До вступления в силу ФЗ-420 от 30.11.2024 статья содержала 9 частей. Максимальный штраф за утечку для юридического лица не превышал 500 тыс. ₽. Практика подтверждает: в деле о 26 миллионах записей (Арбитражный суд Москвы, дело А40-263126/2025) суд назначил 150 000 ₽ — минимум по ч. 1 старой редакции, поскольку утечка произошла до 1 июня 2025 года.

С 30 мая 2025 года действуют 18 частей. Принципиальное новшество — дифференциация по масштабу: чем больше пострадавших субъектов или скомпрометированных идентификаторов, тем выше санкция. Пороги установлены в частях 12–14:

ч. 12 — от 1 000 до 10 000 субъектов (или 10 000–100 000 идентификаторов): 3–5 млн ₽;
ч. 13 — от 10 000 до 100 000 субъектов (или 100 000–1 000 000 идентификаторов): 5–10 млн ₽;
ч. 14 — свыше 100 000 субъектов (или более 1 000 000 идентификаторов): 10–15 млн ₽.

«Ч. 13 ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — штраф для юридического лица от 5 000 000 до 10 000 000 рублей за утечку персональных данных от 10 000 до 100 000 субъектов либо от 100 000 до 1 000 000 идентификаторов.»

Параллельно изменилась подсудность. С 30 мая по 27 декабря 2025 года дела по ст. 13.11 рассматривали арбитражные суды. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям — применительно к делам, возбуждённым после этой даты.

Получили протокол по ч. 13 ст. 13.11?

Если РКН составил протокол после утечки от 10 000 субъектов — у вас ограниченное окно для формирования позиции. Ошибки на стадии протокола лишают аргументов в суде. Срок обжалования постановления мирового судьи — 10 суток. Юристы DATUM оценят состав, применимость ст. 4.1 и ст. 4.1.1 КоАП и подготовят возражения.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как квалифицируется утечка: состав ч. 13 ст. 13.11 КоАП

Субъект правонарушения — оператор персональных данных: юридическое лицо, индивидуальный предприниматель, государственный орган. Если обработка ведётся через подрядчика (поручение по п. 3 ст. 6 ФЗ-152), ответственность несёт оператор, а не обработчик — даже если утечка произошла на стороне подрядчика.

Объективная сторона — неправомерная или случайная передача, распространение, предоставление либо иное неправомерное действие с персональными данными. Квалифицирующий признак ч. 13 — диапазон: от 10 000 до 100 000 субъектов либо от 100 000 до 1 000 000 идентификаторов (номера телефонов, email-адреса, паспортные данные и т. п.).

Подсчёт субъектов и идентификаторов — отдельный предмет спора в производстве. Компании нередко оспаривают методику подсчёта РКН: один субъект с тремя номерами телефонов и двумя email-адресами — это один субъект или пять идентификаторов? Позиция контролирующего органа и суда по этому вопросу пока не устоялась.

«Ч. 3.1 ст. 21 ФЗ-152 — при выявлении утечки оператор обязан уведомить Роскомнадзор в течение 24 часов (первичное уведомление) и в течение 72 часов — о результатах внутреннего расследования. Порядок — Приказ РКН №187 от 14.11.2022.»

Нарушение сроков уведомления образует самостоятельный состав по ч. 11 ст. 13.11 — штраф 1–3 млн ₽. Таким образом, одна утечка может породить два протокола: по ч. 13 (за сам факт) и по ч. 11 (за несвоевременное уведомление).

Что подготовить при риске ч. 13 ст. 13.11

Журнал фиксации инцидента с временными метками обнаружения и уведомления РКН (для подтверждения соблюдения 24/72 часов по Приказу РКН №187).
Документы об инвестициях в информационную безопасность за последние 3 года — для применения льготы по ст. 4.1 КоАП (снижение оборотного штрафа в 10 раз при расходах не менее 0,1% годовой выручки).
Актуальную политику обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — отсутствие усугубляет позицию при рассмотрении дела.
Договор с подрядчиком (обработчиком) с условиями ст. 6 ч. 3 ФЗ-152 — для разграничения ответственности при утечке на стороне третьего лица.
Сведения о статусе компании (микропредприятие, МСП) — для оценки применимости ст. 4.1.1 КоАП при первичном нарушении.

Когда применяется оборотный штраф по ч. 15 ст. 13.11?

Часть 15 — это санкция за повторность. Она применяется, если компания уже привлекалась по ч. 12, 13, 14, 16, 17 или 18 ст. 13.11 либо по самой ч. 15. Повторность фиксируется в течение одного года с даты вступления предыдущего постановления в законную силу.

«Ч. 15 ст. 13.11 КоАП (ред. с 30.05.2025) — оборотный штраф: от 1 до 3% совокупной выручки оператора за предшествующий календарный год, но не менее 20 000 000 рублей и не более 500 000 000 рублей.»

Совокупная выручка определяется по данным бухгалтерской отчётности. Для группы компаний это создаёт риск: если оператором выступает дочерняя структура, РКН и суд могут рассматривать выручку всей группы — позиция по этому вопросу формируется в 2025–2026 годах.

Важный инструмент — примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420). Если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за каждый из трёх предшествующих лет, оборотный штраф по ч. 15 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это принципиально меняет экономику риска: для компании с выручкой 10 млрд ₽ штраф снижается с 100–300 млн ₽ до 15–50 млн ₽.

Если ваша компания ранее привлекалась по ст. 13.11 КоАП и произошла повторная утечка — следующий штраф будет оборотным. 20 млн ₽ минимум, 500 млн ₽ потолок. Юристы DATUM проведут аудит позиции и подготовят документы для применения льготы по ст. 4.1 КоАП.

Защитить от штрафа 13.11

Можно ли снизить или заменить штраф по ч. 13 ст. 13.11?

Три инструмента актуальны для генерального директора компании среднего бизнеса.

Ст. 4.1.1 КоАП — замена на предупреждение. Применяется при совокупности условий: первичность нарушения, субъект — микропредприятие или малое предприятие, отсутствие вреда охраняемым интересам. К ч. 15 и ч. 18 ст. 13.11 эта норма не применяется. Прецедент зафиксирован: в деле о хищении базы сотрудников и соискателей (менее 1 000 человек) компания-микропредприятие получила предупреждение вместо штрафа до 300 тыс. ₽ по ч. 1 ст. 13.11.

Ст. 4.1 КоАП — смягчающие обстоятельства. Суд вправе назначить минимум санкции или ниже минимума при наличии смягчающих: добровольное устранение нарушения, содействие расследованию, компенсация вреда субъектам. Для ч. 13 минимум — 5 млн ₽; ниже минимума суд может выйти при совокупности смягчающих и отсутствии отягчающих.

Инвестиции в ИБ — документальное обоснование. Для ч. 15 (оборотный) расходы на ИБ не менее 0,1% выручки за три года снижают штраф до 15–50 млн ₽. Для ч. 13 эта льгота напрямую не предусмотрена, однако подтверждённые расходы на ИБ суды учитывают как смягчающее обстоятельство при назначении наказания.

Практика применения ч. 13 ст. 13.11: три сценария для CEO

Сценарий 1. Утечка произошла, РКН уведомлён в срок. Компания из Уральского федерального округа (осень 2025) выявила компрометацию базы из 45 000 клиентов через вредоносное ПО. Первичное уведомление направлено в РКН за 20 часов, отчёт о расследовании — через 68 часов. Протокол составлен по ч. 13 ст. 13.11. На стадии рассмотрения дела компания представила: документы об инвестициях в ИБ, политику обработки персональных данных с актуальной датой, договор с IT-подрядчиком с условиями по ст. 6 ч. 3 ФЗ-152. Мировой судья назначил штраф в нижней части санкции. Соблюдение сроков уведомления исключило второй протокол по ч. 11.

Сценарий 2. Утечка через подрядчика, уведомление просрочено. Торговая компания (Центральный ФО, начало 2026) узнала об утечке 80 000 записей из новостей — через трое суток после публикации. Первичное уведомление РКН направлено с опозданием. Результат: два протокола — по ч. 13 (5–10 млн ₽) и по ч. 11 (1–3 млн ₽). Договор с подрядчиком не содержал обязательных условий поручения обработки. Суд отклонил довод об ответственности подрядчика: оператор несёт ответственность независимо от того, чьи действия привели к утечке. Общая нагрузка — штрафы в сотни тысяч — миллионы рублей по обоим составам.

Сценарий 3. Повторная утечка — переход на ч. 15. Компания уже имела постановление по ч. 12 ст. 13.11 (штраф в диапазоне 3–5 млн ₽, вступило в силу весной 2026). Спустя восемь месяцев — новая утечка, уже 12 000 субъектов. Состав ч. 13 поглощён ч. 15: оборотный штраф. При выручке 2 млрд ₽ диапазон — 20–60 млн ₽. Инвестиции в ИБ за три года составили менее 0,1% выручки — льгота по ст. 4.1 КоАП недоступна. Штраф назначен в нижней части оборотного диапазона.

Кейс из публичной практики. Арбитражный суд Санкт-Петербурга и Ленинградской области (дело А56-4733/2026, март 2026) рассмотрел дело об утечке около 70 000 субъектов — ФИО, должности, служебные email и телефоны — после хакерской атаки на цифровую платформу. Нарушение квалифицировано по ч. 14 ст. 13.11 КоАП. Суд применил смягчающие обстоятельства. Дело подтверждает: даже при утечках в диапазоне ч. 13–14 судебная позиция влияет на итоговый размер штрафа.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — проверка документации и процессов до проверки РКН, от 100 000 ₽.
Сопровождение проверок РКН — представление интересов при проверке и после неё, от 150 000 ₽.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 9. За утечки установлены три градации: ч. 12 — 3–5 млн ₽ (1 000–10 000 субъектов), ч. 13 — 5–10 млн ₽ (10 000–100 000 субъектов), ч. 14 — 10–15 млн ₽ (более 100 000 субъектов). К суммам не применяется скидка 50% за досрочную уплату по ст. 32.2 КоАП.

2. Что такое оборотный штраф 1–3%?

Часть 15 ст. 13.11 КоАП вводит оборотный штраф за повторное нарушение по ч. 12–14, 16–18 или ч. 15: от 1 до 3% совокупной выручки оператора за предшествующий календарный год. Минимальный порог — 20 млн ₽, максимальный — 500 млн ₽. Для компаний с выручкой свыше 2 млрд ₽ оборотная формула даёт штраф выше минимума. Норма действует с 30 мая 2025 года.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 применяется, когда 1% годовой выручки оператора меньше этой суммы — то есть при выручке до 2 млрд ₽. При наличии документально подтверждённых инвестиций в ИБ (не менее 0,1% выручки за каждый из трёх лет) минимум снижается до 15 млн ₽ по льготе ст. 4.1 КоАП (примечание 3.4-2, введено ФЗ-420).

4. Можно ли заменить штраф по ч. 13 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП теоретически допустима при первичном нарушении, отсутствии вреда и статусе микропредприятия или МСП. Однако судебная практика по ч. 13 (штраф 5–10 млн ₽) только формируется: суды осторожны с заменой при крупных утечках. К ч. 15 (оборотный) ст. 4.1.1 КоАП не применяется в силу прямого указания закона.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул подсудность дел по ст. 13.11 КоАП мировым судьям. С 30 мая по 27 декабря 2025 года дела рассматривали арбитражные суды; с 28 декабря 2025 года — снова мировые. Это влияет на процессуальный порядок обжалования: апелляция на решение мирового судьи подаётся в районный суд, затем — кассация в суд общей юрисдикции субъекта.

Итог

Часть 13 ст. 13.11 КоАП в редакции с 30.05.2025 — это штраф 5–10 млн ₽ за утечку 10 000–100 000 субъектов. Повторное нарушение переводит дело в ч. 15 с оборотным штрафом до 500 млн ₽. Инструменты снижения — ст. 4.1 и ст. 4.1.1 КоАП, документально подтверждённые инвестиции в ИБ, соблюдение сроков уведомления РКН.

DATUM сопровождает операторов персональных данных в производствах по ст. 13.11 КоАП с момента получения протокола до вступления постановления в силу. Практика включает обжалование в судах общей юрисдикции и арбитражных судах, применение льгот по ч. 15 и разграничение ответственности при утечках через подрядчиков.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.