аналитика 18 октября 2027 По состоянию на 18 октября 2027

Часть 14 ст. 13.11: 10-15 млн ₽ за утечку >100k субъектов

Часть 14 ст. 13.11 КоАП — это штраф от 10 до 15 млн ₽ за утечку персональных данных более 100 000 субъектов или более 1 000 000 уникальных идентификаторов.

Норма действует с 30.05.2025 в редакции ФЗ-420 от 30.11.2024. При повторном нарушении оборотный штраф по ч. 15 составит 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Первые дела по ч. 14 уже рассмотрены арбитражными судами в 2026 году.

→ Если утечка затронула более 100 000 человек — у вас меньше суток на первичное уведомление РКН и ограниченное окно для защиты от максимального штрафа.

С 30 мая 2025 года крупная утечка данных — это уже не административный эпизод с символическим штрафом, а прямой финансовый удар по компании. Ст. 13.11 КоАП в редакции ФЗ-420 разделила ответственность на три уровня по масштабу утечки: от 1 000 до 10 000 субъектов (ч. 12), от 10 000 до 100 000 (ч. 13) и свыше 100 000 (ч. 14). Каждый уровень кратно увеличивает санкцию. Генеральный директор, получивший постановление по ч. 14, имеет ограниченный арсенал: смягчение через ст. 4.1 КоАП, замена на предупреждение для малого бизнеса по ст. 4.1.1 и инвестиционная скидка по ст. 4.1 КоАП при расходах на ИБ. Ниже — как устроена ч. 14, когда применяется ч. 15 (оборотный), и что реально помогло в первых делах 2026 года.

Что такое часть 14 ст. 13.11 КоАП и кто под неё попадает?

Часть 14 ст. 13.11 КоАП квалифицирует утечку персональных данных по масштабу: свыше 100 000 субъектов или свыше 1 000 000 уникальных идентификаторов. Идентификатор — это технический признак: телефон, email, СНИЛС, номер карты. Одна запись о человеке может содержать несколько идентификаторов, поэтому даже 80 000 реальных субъектов способны «пробить» порог в 1 000 000 идентификаторов.

«Ст. 13.11 ч. 14 КоАП (ред. с 30.05.2025) — штраф для юридического лица от 10 000 000 до 15 000 000 рублей за утечку персональных данных более 100 000 субъектов или более 1 000 000 уникальных идентификаторов.»

Субъект правонарушения — оператор ПДн по ст. 3 ФЗ-152: любое юридическое лицо, которое определяет цели и способы обработки данных. Ответственность наступает независимо от причины утечки — взлом, инсайдер, уязвимость подрядчика. Арбитражная практика 2026 года подтверждает: оператор отвечает за действия своих обработчиков (подрядчиков), которым поручил обработку по договору.

Важно разграничить части 12–14: они соотносятся с числом пострадавших субъектов или идентификаторов. РКН фиксирует масштаб по собственному расследованию или по данным из даркнета. Если оператор сам занизил масштаб в отчёте по Приказу РКН №187, а регулятор установил реальный — это отдельное основание для штрафа по ч. 11 за недостоверное уведомление.

Получили постановление по ч. 14 или ожидаете проверку после утечки?

Если утечка затронула более 100 000 субъектов — штраф по ч. 14 составит 10–15 млн ₽, а при повторности по ч. 15 — до 500 млн ₽. Окно для оспаривания протокола ограничено: чем раньше начать работу по доказательной базе смягчающих обстоятельств, тем выше шансы на снижение санкции. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для смягчения или замены штрафа.

Защитить от штрафа 13.11

Ответим в течение 2 часов · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП с 7 до 18 частей. Логика новой редакции — прогрессивная шкала по масштабу инцидента и повышенная санкция за повторность. Для юридических лиц картина следующая:

Ч. 12: утечка от 1 000 до 10 000 субъектов (или 10 000–100 000 идентификаторов) — 3 000 000–5 000 000 ₽
Ч. 13: утечка от 10 000 до 100 000 субъектов (или 100 000–1 000 000 идентификаторов) — 5 000 000–10 000 000 ₽
Ч. 14: утечка свыше 100 000 субъектов (или свыше 1 000 000 идентификаторов) — 10 000 000–15 000 000 ₽
Ч. 15 (оборотный): повторное нарушение по ч. 12–14 — 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽
Ч. 17: утечка биометрических ПДн — 15 000 000–20 000 000 ₽

Критическое последствие ч. 14 — это не сама санкция в 10–15 млн ₽, а статус «первой утечки», который открывает дорогу к оборотному штрафу по ч. 15 при любом следующем инциденте. Компании с выручкой в 1 млрд ₽ при повторной утечке получат минимум 20 млн ₽, компании с выручкой в 10 млрд — от 100 до 300 млн ₽.

«Ст. 13.11 ч. 15 КоАП — оборотный штраф при повторном нарушении по ч. 12–14: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.»

Помимо административной ответственности, с 11 декабря 2024 года действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024): незаконное использование, передача, сбор или хранение компьютерной информации с персональными данными. Максимальная санкция по ч. 5 (тяжкие последствия) — лишение свободы до 10 лет. Это означает, что крупная утечка одновременно формирует и административный, и уголовный риски.

Как работает инвестиционная скидка и когда применяется ст. 4.1 КоАП?

ФЗ-420 ввёл специальный механизм снижения оборотных штрафов по ч. 15 и ч. 18 ст. 13.11. Если компания за три предшествующих года вложила в информационную безопасность не менее 0,1% совокупной выручки, штраф рассчитывается как 1/10 от минимального размера санкции, но не менее 15 млн ₽ и не более 50 млн ₽. Механизм закреплён в примечании 3.4-2 к ст. 4.1 КоАП.

«Ст. 4.1 КоАП, примечание 3.4-2 — при инвестициях в ИБ не менее 0,1% выручки за 3 предшествующих года штраф по оборотным составам ч. 15 и ч. 18 ст. 13.11 составляет 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

Что важно для CEO: документировать расходы на ИБ нужно заблаговременно. Суд или регулятор потребует подтверждение инвестиций за три полных предшествующих года. Если утечка произошла в 2026 году — к зачёту принимаются расходы за 2023, 2024, 2025 годы. Недокументированные расходы (обновление инфраструктуры «по факту», без отдельного учёта) не будут приняты.

Общие правила ст. 4.1 КоАП о смягчающих обстоятельствах также применяются к ч. 14. Суд вправе снизить штраф ниже минимума при наличии совокупности смягчающих: добровольное уведомление РКН, активное содействие расследованию, устранение нарушений до вынесения постановления, ущерб от инцидента устранён. На практике суды снижают санкцию по ч. 14 на 20–40% от назначенного размера при доказанной системной работе по ИБ.

Если CEO ещё не задокументировал расходы на ИБ за последние три года — инвестиционная скидка при оборотном штрафе по ч. 15 будет недоступна. Проверить готовность доказательной базы и выстроить защиту от штрафа поможет аудит по ст. 4.1 КоАП.

Заказать аудит 152-ФЗ

Когда применяется ст. 4.1.1 КоАП и можно ли заменить штраф на предупреждение?

Ст. 4.1.1 КоАП допускает замену административного штрафа предупреждением для субъектов малого и среднего предпринимательства, а также для микропредприятий при первичном нарушении и отсутствии реального ущерба. Важное ограничение: замена не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы). К ч. 14 — применяется, если нарушение совершено впервые.

Практика 2026 года демонстрирует, что суды действительно используют ст. 4.1.1 КоАП в делах по крупным утечкам. По делу арбитражного суда (Российская электронная школа, № А40-351064/2025) утечка более 100 000 субъектов квалифицирована по ч. 14, однако с учётом статуса микропредприятия и применения правил расчёта для ИП штраф составил 400 000 ₽ вместо возможных 10–15 млн ₽. Это исключение из правила, но оно показывает: правовой инструментарий смягчения существует и работает.

Для крупных компаний (не МСП) ст. 4.1.1 недоступна. Здесь основной инструмент — ст. 4.1 КоАП в совокупности с инвестиционным примечанием и доказательствами добросовестного поведения: уведомление РКН в 24 часа, полный отчёт в 72 часа по Приказу РКН №187, заблаговременно проведённый аудит, наличие ответственного по ст. 22.1 ФЗ-152.

Три сценария привлечения по ч. 14: как разворачиваются дела

Сценарий 1. Хакерская атака, данные появились в даркнете. РКН мониторит торговые площадки и фиксирует базу с данными компании ещё до того, как компания подаёт уведомление. Регулятор самостоятельно возбуждает дело и направляет запрос. Если 24-часовой срок уже пропущен — автоматически добавляется состав по ч. 11 ст. 13.11 (штраф 1–3 млн ₽). Итог: два протокола одновременно. Стратегия: немедленно уведомить РКН (даже с опозданием — лучше, чем молчание), привлечь юриста до первого ответа на запрос регулятора, зафиксировать факт атаки и принятые меры.

Сценарий 2. Утечка через подрядчика (SaaS, колл-центр, маркетинговая платформа). Оператор передал данные по договору поручения, подрядчик допустил утечку. По устоявшейся позиции судебной практики оператор несёт ответственность за действия обработчика. Доказать, что договор поручения содержал требования по ст. 6 ФЗ-152 и подрядчик их нарушил — снижает санкцию, но не освобождает от ответственности. Стратегия: аудит договоров с обработчиками до инцидента; при инциденте — немедленное расторжение договора и письменная фиксация нарушений подрядчика как доказательство в деле.

Сценарий 3. Внутренний инсайдер, данные проданы конкуренту. Уголовное дело по ст. 272.1 УК против сотрудника идёт параллельно с административным делом против компании-оператора. Суды не освобождают оператора от ответственности по ч. 14 из-за наличия уголовного дела против физического лица. Однако содействие следствию и принятые после инцидента организационные меры (увольнение, ограничение доступа, аудит) фиксируются как смягчающие обстоятельства по ст. 4.1 КоАП. Стратегия: немедленно уведомить РКН, передать материалы следствию, зафиксировать принятые меры в протоколе руководителя ещё до вынесения постановления по КоАП.

Что подготовить до проверки РКН по факту утечки

Выписка из реестра операторов ПДн (pd.rkn.gov.ru) — актуальная, с датой
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152
Приказ о назначении ответственного за обработку по ст. 22.1 ФЗ-152
Документы об инвестициях в ИБ за три предшествующих года (для применения ст. 4.1 примечание 3.4-2 КоАП)
Первичное уведомление РКН об инциденте (срок — 24 ч) и отчёт о расследовании (72 ч) по Приказу РКН №187

Как это применяется на практике: кейсы 2025–2026 годов

Кейс 1. Арбитражный суд Москвы (дело № А40-351064/2025, Российская электронная школа, начало 2026 года) рассмотрел дело об утечке данных более 100 000 субъектов. Нарушение квалифицировано по ч. 14 ст. 13.11 КоАП с потенциальным штрафом 10–15 млн ₽. Суд применил правила расчёта для организаций с особым статусом и назначил штраф 400 000 ₽. Кейс показывает: статус организации и применение специальных правил расчёта КоАП способны кратно снизить санкцию, но только при наличии профессиональной защиты в суде.

Кейс 2. Арбитражный суд Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026 от 10.03.2026, цифровая платформа «ПКР Аналитика») рассмотрел утечку около 70 000 субъектов (ФИО, должность, служебный email, телефон) после хакерской атаки. Квалификация — ч. 14 ст. 13.11 КоАП. Суд применил смягчающие обстоятельства: своевременное уведомление РКН, содействие расследованию, отсутствие умысла. Итоговый штраф был снижен от максимума. Кейс демонстрирует: оперативное уведомление в 24/72 часа и документально зафиксированное содействие — реальные инструменты снижения санкции по ч. 14.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспорим протокол, применим ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — выявим уязвимости до прихода РКН
Сопровождение проверок РКН — представим интересы, подготовим ответы на запросы

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 содержит 18 частей. За утечки предусмотрена прогрессивная шкала: от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). Отдельные санкции установлены за неуведомление РКН (ч. 11), нарушение локализации (ч. 8) и утечку биометрии (ч. 17). Дела рассматривают мировые судьи — с 28 декабря 2025 года по ФЗ-508.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушений по ч. 12–14 или ч. 15–18. Размер — от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за добровольную быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется. Повторным считается нарушение, совершённое в течение одного года со дня вступления в силу предыдущего постановления.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ применяется при расчёте оборотного штрафа по ч. 15 ст. 13.11, когда 1–3% годовой выручки оказывается меньше этой суммы. Например, компания с выручкой 500 млн ₽ за год: 1% составит 5 млн ₽, но штраф будет назначен не менее 20 млн ₽. Если расходы на ИБ за три года составляют не менее 0,1% выручки, штраф снижается до 1/10 минимума, но не менее 15 млн ₽ по ст. 4.1 КоАП (примечание 3.4-2).

4. Можно ли заменить штраф на предупреждение?

Замена штрафа предупреждением по ст. 4.1.1 КоАП возможна для субъектов МСП и микропредприятий при первичном нарушении по ч. 14 и отсутствии реального ущерба. Это подтверждено делом РЭШ (А40-351064/2025). Для крупных компаний, не являющихся МСП, ст. 4.1.1 недоступна. К ч. 15 (оборотный штраф) замена предупреждением не применяется в любом случае — прямой запрет в законе.

5. Какая подсудность дел после ФЗ-508?

С 28 декабря 2025 года (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП снова рассматривают мировые судьи. В период с 30 мая по 27 декабря 2025 года дела рассматривали арбитражные суды — эта практика сформировала первые прецеденты по новым составам. Обжалование постановлений мирового судьи — в районный суд, затем в суд субъекта федерации. Срок на обжалование — 10 суток с момента вручения постановления.

Итог

Часть 14 ст. 13.11 КоАП — это 10–15 млн ₽ за утечку свыше 100 000 субъектов, которые с 30 мая 2025 года превратились в реальные санкции с первыми рассмотренными делами. Повторная утечка при наличии постановления по ч. 14 автоматически переводит компанию в режим оборотного штрафа по ч. 15 с минимумом 20 млн ₽. Инструменты снижения — ст. 4.1, ст. 4.1.1 КоАП, инвестиционное примечание — работают только при заблаговременной подготовке и оперативном реагировании в первые 24 часа после инцидента.

Практика DATUM по защите операторов при штрафах по ст. 13.11 КоАП охватывает дела с 30 мая 2025 года — с момента вступления в силу новых составов. Юристы сопровождают компании на всех стадиях: от первичного уведомления РКН до обжалования постановления у мирового судьи и в районном суде.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование по ст. 13.11 КоАП в ред. ФЗ-420, защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508.

18 октября 2027 года