Часть 2 ст. 13.11 КоАП: 300-700 тыс. за обработку без письменного согласия
С 30 мая 2025 года Роскомнадзор квалифицирует каждый случай обработки ПДн без надлежащего согласия по ч. 2 ст. 13.11 КоАП — норме с верхней планкой 700 000 рублей. Повторное нарушение влечёт ч. 2.1 той же статьи — уже до 1,5 млн рублей. В 2025 году зафиксировано 118 случаев компрометации баз данных; регулятор накапливает практику применения ФЗ-420, и число протоколов по ч. 2 растёт. В этом материале разобраны: состав нарушения, требования к согласию после ФЗ-156 от 24.06.2025, типичные ошибки CEO и владельцев бизнеса, инструменты защиты и актуальная судебная практика.
Что именно наказывает часть 2 ст. 13.11 КоАП?
Состав нарушения по ч. 2 ст. 13.11 КоАП охватывает два самостоятельных основания. Первое — обработка персональных данных без письменного согласия субъекта в случаях, когда такое согласие прямо предусмотрено законом. Второе — наличие согласия, но с нарушением требований к его составу по ст. 9 ФЗ-152.
Письменная форма согласия обязательна в строго определённых случаях: обработка специальных категорий ПДн по ст. 10 ФЗ-152 (здоровье, судимость, религиозные убеждения и иные), обработка биометрических ПДн по ст. 11 ФЗ-152, согласие на распространение ПДн по ст. 10.1 ФЗ-152. Во всех этих случаях устное согласие или «галочка» на сайте не заменяют письменного документа.
С 1 сентября 2025 года вступили в силу поправки ФЗ-156 от 24.06.2025: согласие на обработку ПДн оформляется отдельным документом, не объединённым с договором, офертой, политикой конфиденциальности или иными соглашениями. Согласия, полученные до 01.09.2025, переоформлять не требуется — поправки не имеют обратной силы. Однако все согласия, оформленные после этой даты как часть другого документа, создают прямой состав по ч. 2 ст. 13.11 КоАП.
Для генерального директора принципиально: ответственность несёт оператор — юридическое лицо, а не исполнитель, подготовивший форму. Подпись руководителя на акте о привлечении к ответственности — закономерный итог игнорирования требований к составу согласия.
Получили протокол по ч. 2 ст. 13.11 КоАП — что делать немедленно?
Протокол об административном правонарушении по ч. 2 ст. 13.11 — это ещё не постановление. До вынесения постановления у оператора есть возможность представить объяснения, заявить ходатайства и устранить нарушение. Каждый пропущенный процессуальный шаг сужает поле для защиты. Юристы DATUM специализируются на обжаловании протоколов по ст. 13.11 КоАП в редакции ФЗ-420: оценят состав, подготовят позицию и представят интересы компании.
Защитить от штрафа 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие согласия нарушают ч. 2 ст. 13.11 КоАП чаще всего?
Анализ практики РКН и мировых судов после ФЗ-420 выявляет устойчивые типы нарушений. Понимание этих паттернов позволяет генеральному директору точечно проверить документацию компании без полного аудита.
Первый тип — согласие в составе трудового договора. Работодатели традиционно включали согласие на обработку ПДн работника в текст трудового договора или дополнительного соглашения к нему. После ФЗ-156 это прямо запрещено: согласие должно быть отдельным документом. Протокол по ч. 2 ст. 13.11 применим к каждому работнику, согласие которого оформлено таким образом после 01.09.2025.
Второй тип — «плавающий» перечень данных. Операторы формулируют перечень обрабатываемых ПДн как открытый («иные сведения, необходимые для...»). Ст. 9 ФЗ-152 требует конкретного перечня. Открытая формулировка — дефект состава согласия.
Третий тип — отсутствие способа отзыва. Согласие без указания конкретного механизма отзыва не отвечает требованиям ст. 9. Фраза «субъект вправе отозвать согласие в любое время» без адреса, формы или иного механизма — нарушение.
Четвёртый тип — согласие в оферте интернет-магазина. Пользователь принимает оферту и тем самым «даёт согласие» на обработку ПДн. После 01.09.2025 такая конструкция образует состав по ч. 2: согласие не является отдельным документом.
Пятый тип — биометрия без письменного согласия. Использование СКУД с распознаванием лиц без отдельного письменного согласия каждого работника — нарушение ст. 11 ФЗ-152, квалифицируемое по ч. 2 ст. 13.11 КоАП (в части биометрии — также по ч. 16, если применимо).
Что проверить CEO до проверки РКН
- Согласия работников после 01.09.2025 — оформлены отдельным документом, содержат все реквизиты ст. 9 ФЗ-152, подписаны лично
- Согласия клиентов на сайте — чекбокс согласия отделён от чекбокса принятия оферты или политики, перечень данных конкретный
- Биометрия в СКУД — наличие отдельного письменного согласия каждого субъекта с указанием цели и способа отзыва
- Согласия на распространение ПДн (публикация фото, отзывы с именем) — отдельный документ по ст. 10.1 ФЗ-152
- Журнал согласий — ведётся, позволяет подтвердить факт и дату получения согласия при проверке
Как работает оборотный штраф по ч. 15 ст. 13.11 КоАП и когда он применяется?
Часть 15 ст. 13.11 КоАП — оборотный штраф — вступила в силу 30 мая 2025 года. Она применяется при повторном совершении нарушений по ч. 12–14, 16–18 или ч. 15. Прямой связи с ч. 2 нет: оборотный штраф за повторную обработку без согласия не предусмотрен. Однако CEO обязан понимать конструкцию нормы, поскольку нарушение по ч. 2 может сопровождаться утечкой, которая уже квалифицируется по ч. 12–14.
Для компании с выручкой 1 млрд рублей оборотный штраф при повторной утечке составит от 20 млн рублей. При выручке 5 млрд и коэффициенте 3% — до 150 млн рублей. Сравните с ценой аудита соответствия (от 100 000 рублей) — арифметика очевидна.
Есть важное смягчающее условие. Согласно ч. 3.4-2 ст. 4.1 КоАП, если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 снижается до 1/10 минимального размера, но не менее 15 млн рублей и не более 50 млн рублей. Документальное подтверждение инвестиций в ИБ — обязательный элемент позиции защиты при угрозе оборотного штрафа.
Для ч. 2.1 ст. 13.11 (повторное нарушение именно по ч. 2) оборотный механизм не действует — штраф фиксированный: 1 000 000–1 500 000 рублей. Но в совокупности с параллельным делом об утечке общая сумма санкций может превысить 15 млн рублей.
Если РКН возбудил дело по ч. 2 или ч. 2.1 ст. 13.11, а в компании были инвестиции в ИБ или это первое нарушение — есть основания для снижения или замены санкции. Срок на представление объяснений ограничен процессуальными рамками.
Защитить от штрафа 13.11Когда суд заменяет штраф на предупреждение и как применяется ст. 4.1.1 КоАП?
Статья 4.1.1 КоАП допускает замену штрафа предупреждением для субъектов малого и среднего предпринимательства, в том числе микропредприятий, при одновременном соблюдении условий: нарушение совершено впервые, вреда охраняемым ценностям не причинено, нет имущественного ущерба. Применительно к ч. 2 ст. 13.11 эта конструкция работает — нарушение состава согласия при первом выявлении, без утечки, формально удовлетворяет условиям ст. 4.1.1.
Практика 2025–2026 годов подтверждает: суды применяют ст. 4.1.1 в делах по ч. 1–2 ст. 13.11 в отношении микропредприятий при отсутствии вреда. Компании с выручкой выше порогов СМП на эту норму рассчитывать не могут.
Важно: ст. 4.1.1 КоАП не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11. Замена возможна только для фиксированных санкций по ч. 1, ч. 2, ч. 3–7 при соответствии субъекта критериям СМП.
Статья 4.1 КоАП даёт суду возможность снизить штраф ниже низшего предела при наличии исключительных обстоятельств. Доказательная база: документально подтверждённые инвестиции в ИБ, немедленное устранение нарушения, уведомление субъектов, сотрудничество с регулятором. Суды Москвы и Санкт-Петербурга фиксируют снижение штрафа по ч. 2 ст. 13.11 до нижней границы (300 000 рублей) при наличии совокупности смягчающих обстоятельств.
Типичные сценарии: как CEO оказывается под протоколом по ч. 2 ст. 13.11
Сценарий 1. Согласие работника в трудовом договоре после 01.09.2025. Компания (Центральный ФО, начало 2026 года) приняла на работу 120 сотрудников после 01.09.2025. Согласие на обработку ПДн было включено в типовой трудовой договор, утверждённый HR-директором. РКН при внеплановой проверке по жалобе одного из работников обнаружил нарушение ФЗ-156. Протокол составлен по ч. 2 ст. 13.11 КоАП на 120 эпизодов. Штраф при назначении — в диапазоне ч. 2 (300–700 тыс. ₽) как единое административное производство. Смягчающее обстоятельство — немедленное переоформление всех согласий после выявления нарушения — позволило снизить санкцию к нижней границе. Генеральный директор подписал постановление лично.
Сценарий 2. Оферта с «встроенным» согласием на сайте интернет-магазина. Ритейлер (Северо-Западный ФО, осень 2025 года) использовал форму регистрации, в которой единый чекбокс объединял принятие оферты и согласие на обработку ПДн. После 01.09.2025 такая конструкция нарушает требование ФЗ-156 об отдельном документе. РКН возбудил дело по ч. 2 ст. 13.11 по результатам анализа сайта в рамках планового мониторинга. Компания являлась субъектом МСП, нарушение — первичным; суд заменил штраф предупреждением по ст. 4.1.1 КоАП с обязательством устранить нарушение в течение 30 дней. Директор обязался представить отчёт об устранении.
Сценарий 3. Повторное нарушение по ч. 2 с параллельной утечкой. Торговая компания (Приволжский ФО, весна 2026 года) ранее уже привлекалась по ч. 2 ст. 13.11 за ненадлежащий состав согласия. В том же периоде произошла утечка данных 15 000 клиентов. РКН возбудил два параллельных производства: по ч. 2.1 (повторное нарушение состава согласия, штраф 1–1,5 млн ₽) и по ч. 13 (утечка 10 000–100 000 субъектов, штраф 5–10 млн ₽). Суммарная санкция без смягчения — от 6 млн рублей. Позиция защиты строилась на документировании инвестиций в ИБ по ст. 4.1 КоАП и оперативном уведомлении РКН в течение 24 часов об утечке. ⚠️ Точный исход — менеджер верифицирует при публикации.
Услуги DATUM по теме
- Защита при штрафе по ст. 13.11 КоАП — оспаривание протоколов и постановлений в суде
- Аудит соответствия 152-ФЗ — проверка всех согласий и ОРД по чек-листу из 38 пунктов
- Сопровождение проверок РКН — подготовка и представление интересов при визите инспектора
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП предусмотрены с 30.05.2025?
Статья 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 содержит 18 частей. Часть 2 — обработка без письменного согласия или с нарушением его состава — штраф для юридического лица от 300 000 до 700 000 рублей. Повторное нарушение по ч. 2.1 — 1 000 000–1 500 000 рублей. Часть 15 — оборотный штраф за повторную утечку — 1–3% годовой выручки, не менее 20 млн рублей, не более 500 млн рублей.
2. Что такое оборотный штраф 1–3% и когда он применяется?
Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушений, связанных с утечкой персональных данных (ч. 12–14, 16–18). Он не применяется напрямую за обработку без согласия по ч. 2. База расчёта — совокупная выручка за предшествующий календарный год. Минимум — 20 млн рублей, максимум — 500 млн рублей. Скидка за досрочную уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.
3. Когда применяется снижение штрафа до 15–50 млн ₽ за инвестиции в ИБ?
Снижение предусмотрено ч. 3.4-2 ст. 4.1 КоАП исключительно для оборотных составов (ч. 15 и ч. 18 ст. 13.11). Условие: документально подтверждённые инвестиции в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года. При соблюдении этого условия штраф составляет 1/10 минимального размера, но не менее 15 млн рублей и не более 50 млн рублей. Для нарушения по ч. 2 ст. 13.11 эта льгота не применяется, однако инвестиции в ИБ учитываются как смягчающее обстоятельство по ст. 4.1 КоАП.
4. Можно ли заменить штраф по ч. 2 ст. 13.11 на предупреждение?
Да — для субъектов малого и среднего предпринимательства (включая микропредприятия) при первичном нарушении и отсутствии причинённого вреда. Основание — ст. 4.1.1 КоАП. Практика 2025–2026 годов подтверждает применение нормы судами. Для компаний, не входящих в реестр СМП, замена на предупреждение недоступна. К оборотным составам (ч. 15, ч. 18) ст. 4.1.1 не применяется в любом случае.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?
С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — подсудность возвращена ФЗ-508. В период с 30 мая по 27 декабря 2025 года дела рассматривали арбитражные суды. Это важно для стратегии обжалования: апелляция на постановление мирового судьи подаётся в районный суд, а не в арбитражный суд субъекта.
Итог
Часть 2 ст. 13.11 КоАП с 30.05.2025 — это 300 000–700 000 рублей штрафа за каждый факт обработки ПДн без надлежащего письменного согласия или при нарушении его состава. После ФЗ-156 от 24.06.2025 согласие, включённое в договор или оферту, образует самостоятельный состав. Повторность по ч. 2.1 удваивает санкцию. Параллельная утечка на 15 000 субъектов добавляет к этому ещё 5–10 млн рублей по ч. 13.
Практика DATUM по защите операторов от протоколов по ст. 13.11 КоАП охватывает как досудебную работу с РКН, так и оспаривание постановлений у мировых судей и в районных судах в апелляции. Специализация на ст. 4.1 и ст. 4.1.1 КоАП позволяет добиваться снижения или замены санкции при наличии оснований.
Есть протокол, проверка РКН или нужно проверить согласия?
Юристы DATUM специализируются на защите по ст. 13.11 КоАП в редакции ФЗ-420: оценим протокол, подготовим позицию, применим ст. 4.1 и ст. 4.1.1 КоАП. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года, более 300 операторов сопровождено.
Защитить от штрафа 13.11+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
24 ноября 2027 года