аналитика 17 февраля 2027 По состоянию на 17 февраля 2027

Часть 17 ст. 13.11: 15-20 млн за утечку биометрии

Часть 17 ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025) устанавливает штраф за утечку биометрических персональных данных — от 15 до 20 млн рублей для юридического лица.

Это самый высокий фиксированный штраф в ст. 13.11 КоАП. При повторной утечке биометрии применяется оборотный состав по ч. 18 той же статьи — до 3% выручки, но не более 500 млн рублей. Минимум по ч. 18 — в тексте КоАП; уточнять перед публикацией.

Если ваша компания хранит биометрию — СКУД, голосовые слепки, изображения лиц — и произошёл инцидент, у вас есть 24 часа на первичное уведомление РКН. Каждый час промедления сужает возможности защиты. → Защита при штрафе 13.11

Для генерального директора компании, которая обрабатывает биометрические данные сотрудников или клиентов, ч. 17 ст. 13.11 КоАП — это прямой финансовый риск с нижней границей 15 млн рублей и без возможности применить скидку 50% по ст. 32.2 КоАП к оборотному составу. С 30.05.2025 норма действует в редакции ФЗ-420 от 30.11.2024: статья расширена с 7 до 18 частей, биометрические утечки выделены в отдельные составы. В этом материале — механика ч. 17, отличие от смежных составов, сценарии применения и инструменты защиты.

Что такое часть 17 ст. 13.11 и чем она отличается от других частей?

Часть 17 ст. 13.11 КоАП фиксирует ответственность за утечку биометрических персональных данных — случаи, когда такие данные стали доступны третьим лицам без правового основания. Состав охватывает утечки биометрии любого масштаба: от небольшой базы до массового инцидента. Штраф для юридического лица — от 15 до 20 млн рублей вне зависимости от числа субъектов.

Это принципиально отличает ч. 17 от составов ч. 12–14 той же статьи, где диапазон ответственности привязан к числу пострадавших субъектов. По ч. 12 (от 1 000 до 10 000 субъектов) штраф составляет 3–5 млн рублей, по ч. 14 (более 100 000 субъектов) — 10–15 млн рублей. Утечка биометрии по ч. 17 начинается с 15 млн рублей даже при минимальном числе пострадавших.

«Ст. 11 ФЗ-152 относит к биометрическим персональным данным сведения, характеризующие физиологические и биологические особенности человека: изображение лица, голос, отпечатки пальцев, радужную оболочку глаза, ДНК. Обработка таких данных допускается только с письменного согласия субъекта, за исключением случаев, перечисленных в части 2 ст. 11 ФЗ-152.»

Отдельного внимания заслуживает разграничение с ч. 16 ст. 13.11 (нарушение требований к обработке биометрии — обработка без письменного согласия и т. п.) и со ст. 13.11.3 КоАП (нарушения при размещении биометрии в Единой биометрической системе). Состав ч. 17 применяется к утечкам биометрических ПДн, которые не подпадают под специальный состав ст. 13.11.3. Для банков, МФЦ и иных организаций, работающих с ЕБС, основным специальным составом является ст. 13.11.3 — штраф там ниже (500 тыс. – 1 млн рублей за нарушение требований размещения).

Получили запрос РКН или зафиксировали инцидент с биометрией?

Если генеральный директор узнал об инциденте с биометрическими данными — у компании 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 и ещё 48 часов на отчёт по расследованию. Промедление с уведомлением добавляет штраф по ч. 11 ст. 13.11 — 1–3 млн рублей сверху. Юристы DATUM возьмут реагирование на себя: первичное уведомление, координация расследования, формирование позиции для минимизации штрафа.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие штрафы по ст. 13.11 КоАП с 30.05.2025 и как работает эскалация?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. Для биометрических данных предусмотрена двухступенчатая эскалация.

Первая ступень — ч. 17: утечка биометрических ПДн. Штраф для юридического лица — 15–20 млн рублей. Это фиксированный диапазон, не зависящий от числа субъектов. Состав применяется при первичной утечке.

Вторая ступень — ч. 18: повторная утечка биометрии (лицо ранее привлекалось по ч. 16, 17, 15 или 18). Оборотный штраф — от 1 до 3% совокупной выручки за предшествующий календарный год, не более 500 млн рублей. Точный минимум по ч. 18 — верифицировать в тексте КоАП перед применением в конкретном деле.

Для сравнения: утечка общих персональных данных (не биометрии) при числе пострадавших более 100 000 субъектов квалифицируется по ч. 14 и влечёт штраф 10–15 млн рублей — это ниже нижней границы ч. 17 по биометрии. Законодатель сознательно установил повышенную ответственность за биометрические данные как спецкатегорию.

«Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025): ч. 17 — утечка биометрических ПДн — штраф для юрлица 15–20 млн рублей; ч. 18 — повторное нарушение по ч. 16 или 17 — оборотный штраф 1–3% выручки, не более 500 млн рублей.»

Важно учитывать: составы ч. 17 и ч. 18 могут применяться одновременно с составом ч. 11 (неуведомление РКН об инциденте — 1–3 млн рублей) и с уголовной ответственностью по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024). По ст. 272.1 ответственность несут физические лица — в первую очередь руководитель и сотрудник ИБ. По ч. 5 ст. 272.1 при тяжких последствиях — до 10 лет лишения свободы.

Как генеральный директор может снизить штраф по ч. 17 ст. 13.11?

Инструменты смягчения при штрафе по ч. 17 ограничены, но они существуют. Рассмотрим каждый.

Ст. 4.1 КоАП — общие смягчающие обстоятельства. Суд и регулятор учитывают: добровольное устранение нарушения, возмещение ущерба субъектам, явку с повинной, совершение нарушения впервые. Применение смягчающих может сдвинуть штраф к нижней границе диапазона (15 млн рублей вместо 20 млн рублей).

Примечание 3.4-2 к ст. 4.1 КоАП — инвестиционная льгота. При повторной утечке по оборотному составу (ч. 18) оператор, вложивший в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, вправе претендовать на штраф в размере 1/10 минимального размера по ч. 18 — но не менее 15 млн рублей и не более 50 млн рублей. Льгота подтверждается документами о расходах на ИБ.

Ст. 4.1.1 КоАП — замена на предупреждение. Для микропредприятий и субъектов МСП при первичном нарушении без вреда возможна замена штрафа на предупреждение. Однако ч. 17 и ч. 18 ст. 13.11 — это не оборотные составы ч. 15, к которым исключение прямо прописано. На практике суды применяют ст. 4.1.1 к ч. 17 при наличии всех условий: микропредприятие, первичность, отсутствие реального ущерба. Вопрос требует анализа конкретного дела.

Что подготовить для минимизации штрафа по ч. 17 ст. 13.11

Первичное уведомление РКН об утечке в течение 24 часов с фиксацией времени обнаружения и отправки (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187)
Отчёт о результатах внутреннего расследования в течение 72 часов с описанием скомпрометированных данных, числа субъектов и принятых мер
Документы о расходах на ИБ за последние три года (для применения инвестиционной льготы по Примечанию 3.4-2 к ст. 4.1 КоАП при ч. 18)
Письменные согласия субъектов на обработку биометрических ПДн по ст. 11 ФЗ-152 (доказывают, что обработка была законной до инцидента)
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и журнал проведённых инструктажей

Три сценария применения ч. 17 ст. 13.11 для CEO

Сценарий 1. Утечка из СКУД-системы (изображения лиц сотрудников). Ситуация: подрядчик обеспечивал техническое обслуживание системы контроля доступа; база с фотографиями и слепками лиц 3 000 сотрудников оказалась в открытом доступе. Доказательства: журналы доступа к системе, договор с подрядчиком, акты о проведённых работах. Вероятный исход: ч. 17 ст. 13.11 — 15–20 млн рублей. Если оператор не уведомил РКН в течение 24 часов — дополнительно ч. 11 — 1–3 млн рублей. Стратегия: немедленное уведомление, фиксация того, что подрядчик действовал с нарушением договора поручения (п. 3 ст. 6 ФЗ-152), применение смягчающих по ст. 4.1 КоАП, ходатайство о нижней границе диапазона.

Сценарий 2. Утечка голосовых слепков из колл-центра банка. Ситуация: хакерская атака на инфраструктуру колл-центра, в открытом доступе оказались записи звонков и голосовые идентификаторы клиентов. Доказательства: отчёт ИБ-службы, сведения о применённых мерах защиты согласно Приказу ФСТЭК №21 и уровню защищённости ИСПДн по ПП РФ №1119. Вероятный исход: ч. 17 ст. 13.11 — 15–20 млн рублей. При обработке биометрии в ЕБС возможна конкуренция составов со ст. 13.11.3 КоАП. Стратегия: выяснить, подпадает ли инцидент под ст. 13.11.3, который предусматривает меньший штраф; при отсутствии — защита по ч. 17 с упором на инвестиции в ИБ и оперативное реагирование.

Сценарий 3. Повторная утечка — риск ч. 18 и оборотного штрафа. Ситуация: компания уже привлекалась по ч. 17, провела доработку, но в следующем году произошёл новый инцидент с биометрией. Доказательства: история предыдущего постановления, документы об устранении нарушений после первого инцидента. Вероятный исход: ч. 18 — оборотный штраф 1–3% выручки, не более 500 млн рублей. Для компании с выручкой 2 млрд рублей — от 20 до 60 млн рублей. Стратегия: применение инвестиционной льготы по Примечанию 3.4-2 к ст. 4.1 КоАП (0,1% выручки в ИБ за 3 года → штраф 1/10 минимума, но не менее 15 млн и не более 50 млн рублей); документирование расходов на ИБ как ключевой аргумент.

Если компания уже получила протокол по ч. 17 ст. 13.11 — срок обжалования постановления составляет 10 суток. Промедление закрывает возможность применить ст. 4.1 КоАП и снизить штраф к минимуму диапазона. Юристы DATUM работают от протокола до арбитражного решения.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. В деле об утечке биометрических данных сотрудников торговой компании (Центральный ФО, осень 2025) СКУД-система подрядчика оказалась скомпрометирована. Оператор направил первичное уведомление РКН через 19 часов после обнаружения, в течение 72 часов представил полный отчёт. Регулятор квалифицировал нарушение по ч. 17 ст. 13.11. В арбитражном суде юристы подтвердили расходы на ИБ, своевременность уведомления и факт нарушения со стороны подрядчика. Суд назначил штраф у нижней границы диапазона.

Кейс 2. Дело о повторной утечке у IT-компании (Северо-Западный ФО, начало 2026): первый инцидент с голосовой биометрией был урегулирован по ч. 17, после чего компания вложила в ИБ-инфраструктуру сумму, превышающую 0,1% годовой выручки за три года. При повторном инциденте регулятор применил ч. 18 (оборотный штраф). В арбитраже компания представила документы об инвестициях в ИБ и получила штраф в размере 1/10 минимального значения по Примечанию 3.4-2 к ст. 4.1 КоАП — вместо потенциальных десятков миллионов рублей сумма составила существенно меньше предельного значения в 50 млн рублей.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — проверка обработки биометрии, соответствия ст. 11 ФЗ-152 и уровню защищённости
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей в редакции ФЗ-420 от 30.11.2024. Для юридических лиц ключевые диапазоны: ч. 1 — 150–300 тыс. рублей (незаконная обработка), ч. 2 — 300–700 тыс. рублей (нарушения согласия), ч. 12 — 3–5 млн рублей (утечка 1–10 тыс. субъектов), ч. 14 — 10–15 млн рублей (утечка более 100 тыс. субъектов), ч. 15 — оборотный 1–3% выручки не менее 20 млн рублей (повторная утечка), ч. 17 — 15–20 млн рублей (утечка биометрии), ч. 18 — оборотный 1–3% выручки (повторная утечка биометрии).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке (когда оператор ранее привлекался по ч. 12–14, 15, 16–18). Размер — от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 млн рублей и не более 500 млн рублей. Для компании с выручкой 1 млрд рублей это 10–30 млн рублей (но не менее 20 млн). Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн рублей по оборотному штрафу?

Минимум 20 млн рублей по ч. 15 ст. 13.11 применяется, когда 1–3% выручки оказываются меньше 20 млн рублей. Например, для компании с выручкой 500 млн рублей расчётный минимум составит 5–15 млн рублей — но будет применён законодательный минимум 20 млн рублей. Максимум в 500 млн рублей ограничивает штраф для компаний с очень большой выручкой. По ч. 18 (биометрия повторно) действуют аналогичные ограничения — точный минимум верифицировать в тексте КоАП.

4. Можно ли заменить штраф по ч. 17 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП формально возможна для микропредприятий и субъектов МСП при первичности нарушения и отсутствии реального вреда. Статья 4.1.1 КоАП прямо запрещает замену только для оборотных составов (ч. 15 и ч. 18 ст. 13.11). По ч. 17 при наличии смягчающих обстоятельств суды рассматривают этот инструмент. Однако высокий размер штрафа и специфика биометрии как спецкатегории снижают вероятность — требуется анализ конкретного дела.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул им подсудность, которая с 30.05.2025 по 27.12.2025 принадлежала арбитражным судам. Дела, возбуждённые после 28.12.2025, направляются мировому судье. Обжалование постановления мирового судьи — в районный суд. Дела с признаками грубого нарушения или при оспаривании крупного штрафа нередко доходят до регионального суда и выше.

Итог

Часть 17 ст. 13.11 КоАП — это отдельный состав для утечки биометрических ПДн с фиксированным штрафом 15–20 млн рублей, не зависящим от масштаба инцидента. Повторная утечка переводит ответственность в оборотный формат по ч. 18. Параллельно действует уголовная ответственность по ст. 272.1 УК РФ для физических лиц. Инструменты защиты — оперативное уведомление РКН в 24/72 часа, документированные инвестиции в ИБ, применение ст. 4.1 КоАП — работают только при подготовке до или сразу в момент инцидента.

Практика DATUM по защите операторов биометрических ПДн охватывает все стадии: от аудита обработки биометрии по ст. 11 ФЗ-152 до представления интересов в мировом суде по протоколу ч. 17 и ч. 18. Позиция строится с первых часов после инцидента — до получения постановления возможности существенно шире.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.