аналитика 28 октября 2027 По состоянию на 28 октября 2027

Часть 3 ст. 13.11: штраф за отсутствие обнародованной политики

Ч. 3 ст. 13.11 КоАП — штраф за невыполнение обязанности по публикации политики обработки персональных данных. Для юридических лиц — от 30 000 до 60 000 рублей.

Состав прост в доказывании: инспектор РКН открывает сайт компании, не находит документ — составляет протокол. Публикация политики закреплена в ч. 2 ст. 18.1 ФЗ-152 и является одной из наиболее частых находок при плановых и внеплановых проверках.

Если вы CEO и получили предписание РКН или протокол по ч. 3 — у вас есть инструменты защиты, но действовать нужно в рамках сроков обжалования. → Разбираем состав, риски и стратегию ниже.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних семи. Ч. 3 осталась в перечне, но теперь существует в контексте существенно возросших санкций по смежным составам: повторная утечка грозит оборотным штрафом до 500 млн рублей по ч. 15. На этом фоне 30–60 тыс. рублей по ч. 3 выглядят незначительно — до тех пор, пока протокол не становится точкой входа для более широкой проверки всей системы обработки персональных данных компании.

Что нарушает ч. 3 ст. 13.11 КоАП и какова сумма штрафа?

Состав правонарушения по ч. 3 ст. 13.11 КоАП — невыполнение оператором обязанности по опубликованию или предоставлению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных. Обязанность установлена ч. 2 ст. 18.1 ФЗ-152.

«Ч. 3 ст. 13.11 КоАП (ред. с 30.05.2025): невыполнение оператором обязанности по опубликованию или иному обеспечению неограниченного доступа к политике обработки ПДн — штраф для юридических лиц 30 000–60 000 рублей, для должностных лиц 6 000–12 000 рублей, для граждан 1 500–3 000 рублей.»

Санкция по ч. 3 не изменилась по сравнению с редакцией до ФЗ-420. Она минимальна среди всех частей ст. 13.11 — именно поэтому операторы недооценивают риск. Между тем протокол по ч. 3 чаще всего составляется в ходе более широкой проверки, где параллельно выявляются нарушения по ч. 1 (незаконная обработка, 150–300 тыс. рублей), ч. 2 (нарушение требований к согласию, 300–700 тыс. рублей) и ч. 10 (отсутствие уведомления в реестре операторов, 100–300 тыс. рублей). Итоговая сумма по совокупности может составить более 1 млн рублей.

Что именно обязана опубликовать компания по ст. 18.1 ФЗ-152?

Ч. 2 ст. 18.1 ФЗ-152 обязывает оператора опубликовать документ, определяющий политику в отношении обработки персональных данных, и обеспечить неограниченный доступ к нему. Закон не предписывает называть документ именно «политикой конфиденциальности» — важно, что документ существует, размещён публично и содержит установленный минимум сведений.

Требования к содержанию политики вытекают из той же статьи и смежных норм ФЗ-152. Документ должен отражать:

цели и правовые основания обработки персональных данных;
категории субъектов и перечень обрабатываемых данных;
порядок и условия обработки, включая передачу третьим лицам;
меры по обеспечению безопасности ПДн;
права субъекта и порядок их реализации;
сведения об операторе и контактные данные ответственного лица.

Если политика опубликована, но не содержит обязательных разделов — РКН квалифицирует это как нарушение требований к содержанию, что также образует состав по ч. 3. Формального наличия ссылки в подвале сайта недостаточно, если документ не открывается или ведёт на пустую страницу.

Получили протокол РКН или готовитесь к проверке?

Протокол по ч. 3 ст. 13.11 — это не просто штраф 30–60 тыс. рублей. Это сигнал, что проверка охватывает всю систему обработки ПДн. Параллельные нарушения по ч. 1, ч. 2, ч. 10 ст. 13.11 суммируются. Юристы DATUM проверят документы, оценят риски по всем частям ст. 13.11 и подготовят позицию для обжалования или досудебного урегулирования.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН выявляет нарушение по ч. 3 и что происходит дальше?

Роскомнадзор выявляет отсутствие политики тремя способами: при плановой проверке по ежегодному плану, при внеплановой проверке по жалобе субъекта и в рамках дистанционного мониторинга сайтов операторов. Последний способ — наиболее массовый: специалисты РКН автоматически или вручную проверяют сайты на наличие и доступность документа.

После выявления нарушения РКН составляет акт проверки и протокол об административном правонарушении. До 28.12.2025 дела по ст. 13.11 рассматривались арбитражными судами — по ФЗ-508 от 28.12.2025 подсудность возвращена мировым судьям. Это означает более короткие сроки рассмотрения и меньшую формализованность процесса, что требует быстрой реакции со стороны оператора.

Срок давности привлечения к ответственности по ст. 13.11 КоАП — 1 год. Если РКН выявил нарушение в ходе мониторинга, но не составил протокол немедленно — компания остаётся в зоне риска в течение всего этого периода.

Какой риск несёт CEO: от ч. 3 к оборотному штрафу по ч. 15?

Ч. 3 ст. 13.11 редко существует изолированно. На практике отсутствие опубликованной политики — признак системного несоответствия: нет реестра обработки, нет согласий, не подано уведомление в РКН. Проверка, начатая по сигналу об отсутствии политики, закономерно перерастает в полный аудит со стороны регулятора.

Критический сценарий для генерального директора — когда компания уже привлекалась к ответственности по ч. 12–14 ст. 13.11 (утечка данных) и при повторном нарушении применяется ч. 15: оборотный штраф от 1 до 3% совокупной годовой выручки за предшествующий календарный год, не менее 20 млн рублей и не более 500 млн рублей. Это арифметика, которую генеральный директор обязан знать до момента проверки, а не после.

«Ч. 15 ст. 13.11 КоАП (ред. с 30.05.2025): оборотный штраф за повторное нарушение, связанное с утечкой ПДн по ч. 12–14 — 1–3% совокупной выручки за предшествующий год, не менее 20 000 000 рублей, не более 500 000 000 рублей.»

Скидка 50% за уплату штрафа в течение 20 дней по ст. 32.2 КоАП к оборотному штрафу по ч. 15 не применяется. При этом если компания может доказать, что за три предшествующих года инвестировала в информационную безопасность не менее 0,1% совокупной выручки, штраф по ч. 15 снижается до 1/10 минимума — но не менее 15 млн рублей и не более 50 млн рублей (ст. 4.1 КоАП, примечание 3.4-2, введено ФЗ-420).

Что подготовить для защиты от штрафа по ч. 3 ст. 13.11

Актуальная политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте с прямым доступом (не требует авторизации).
Скриншот с датой публикации или записи в CMS — для доказательства своевременности устранения нарушения.
Уведомление о намерении обрабатывать ПДн в реестре операторов на pd.rkn.gov.ru — совпадение с содержанием политики.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — контактные данные в политике соответствуют приказу.
Журнал проверки доступности документа — фиксация периодических проверок ссылки на политику на сайте.

Типовые сценарии: как нарушение по ч. 3 развивается на практике

Ниже три сценария, с которыми компании обращаются к юристам DATUM после получения протокола или предписания.

Сценарий 1. Политика есть, но недоступна. Компания опубликовала политику при запуске сайта — ссылка в подвале ведёт на удалённую страницу после редизайна. Инспектор РКН фиксирует ошибку 404. Доказательства: скриншоты сайта на дату проверки. Вероятный исход: протокол по ч. 3, штраф 30–60 тыс. рублей. Стратегия: немедленное восстановление документа, подача ходатайства о малозначительности с приложением скриншота об устранении до вынесения постановления — практика мировых судей допускает снижение до минимума или прекращение при оперативном устранении.

Сценарий 2. Политика есть, но неполная. Документ опубликован, однако не содержит раздела о правах субъектов и порядке их реализации. РКН выдаёт предписание об устранении и возбуждает дело по ч. 3. Параллельно проверяется наличие согласий — выявляется нарушение по ч. 2 (согласие объединено с договором оферты). Итоговая сумма: 30–60 тыс. + 300–700 тыс. рублей. Стратегия: доработка политики и согласий до вынесения постановления снижает возможный штраф; по ч. 2 — проверить применимость ст. 4.1.1 КоАП (замена на предупреждение для микропредприятий при первичном нарушении).

Сценарий 3. Политика отсутствует, компания не в реестре операторов. Новая компания начала обрабатывать ПДн клиентов через сайт, не подала уведомление в РКН и не опубликовала политику. При плановой проверке выявлены оба нарушения: ч. 3 (30–60 тыс. рублей) и ч. 10 (100–300 тыс. рублей). Доказательства: выгрузка из реестра операторов, исходный код сайта. Вероятный исход: два протокола, суммарный штраф до 360 тыс. рублей. Стратегия: подача уведомления и публикация политики до рассмотрения дела — смягчающее обстоятельство по ст. 4.2 КоАП; при статусе микропредприятия — ходатайство о замене по ст. 4.1.1 КоАП.

Если вы CEO и компания получила протокол по ч. 3 ст. 13.11 — не ждите постановления. Сроки обжалования короткие, мировые суды рассматривают дела быстро. Юристы DATUM оценят протокол и подготовят позицию в течение одного рабочего дня.

Защитить от штрафа 13.11

Когда применяется ст. 4.1.1 КоАП и можно ли заменить штраф на предупреждение?

Ст. 4.1.1 КоАП допускает замену административного штрафа предупреждением для субъектов малого и среднего предпринимательства при одновременном выполнении условий: правонарушение совершено впервые, не причинён вред жизни и здоровью, не создана угроза чрезвычайной ситуации, нет имущественного ущерба. Для нарушения по ч. 3 ст. 13.11 — отсутствие опубликованной политики — эти условия, как правило, выполнимы.

Важное ограничение: ст. 4.1.1 не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11. Для ч. 3 запрета нет. Это означает, что микропредприятие или малый бизнес при первом нарушении по ч. 3 вправе ходатайствовать о замене штрафа на предупреждение — при условии, что нарушение устранено до вынесения постановления.

Судебная практика по мировым судьям (подсудность с 28.12.2025 по ФЗ-508) показывает: суды охотнее применяют замену, если оператор представил документы об устранении и не имеет предшествующих протоколов по ст. 13.11. Ключевой момент — доказать добросовестность: политика опубликована, уведомление в РКН подано, ответственный назначен.

Как DATUM защищает от штрафа по ч. 3 ст. 13.11 — практика и инструменты

Работа по делу о нарушении ч. 3 ст. 13.11 включает несколько этапов. Первый — правовая оценка протокола: проверка процессуальных оснований составления, полномочий должностного лица, соблюдения сроков давности. Процессуальные нарушения при составлении протокола — самостоятельное основание для прекращения дела.

Второй этап — подготовка позиции по существу: анализ состава нарушения, доказательств РКН, смягчающих обстоятельств. Третий — представление интересов у мирового судьи или в районном суде при обжаловании постановления. При наличии оснований — заявление ходатайства о применении ст. 4.1.1 КоАП (замена на предупреждение) или ст. 4.1 КоАП (ниже минимума при наличии исключительных обстоятельств).

Параллельно DATUM проводит экспресс-аудит системы обработки ПДн: выявляет иные нарушения, которые могут быть обнаружены при продолжении проверки, и устраняет их до составления дополнительных протоколов. Это снижает риск кумулятивного штрафа по нескольким частям ст. 13.11.

Как это применяется на практике

Кейс 1. Компания сферы e-commerce (Сибирский ФО, осень 2025). При внеплановой проверке РКН выявил: политика опубликована, но ссылка ведёт на PDF без обязательного раздела о правах субъектов. Параллельно установлено отсутствие уведомления в реестре операторов. Генеральный директор обратился в DATUM после получения двух протоколов — по ч. 3 и ч. 10 ст. 13.11. Юристы подготовили обновлённую политику, подали уведомление в РКН и заявили ходатайства об устранении нарушений до рассмотрения дел. По ч. 3 суд применил ст. 4.1.1 КоАП и заменил штраф на предупреждение; по ч. 10 назначен штраф в нижней части диапазона. Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Производственная компания (Уральский ФО, начало 2026). Плановая проверка РКН выявила три нарушения: отсутствие опубликованной политики (ч. 3), согласия работников включены в трудовые договоры без выделения в отдельный документ (ч. 2) и несоответствие реестра уведомления фактическому составу обрабатываемых данных (ч. 10). Суммарный риск штрафов — от 430 тыс. до 1,06 млн рублей. Юристы DATUM провели экспресс-аудит за три рабочих дня, устранили нарушения и подготовили позицию по каждому протоколу отдельно. По итогам рассмотрения штраф по ч. 3 заменён на предупреждение, по ч. 2 и ч. 10 — назначены минимальные суммы диапазонов. Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — проверка по 38-пунктному чек-листу до начала проверки РКН
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 действует редакция ст. 13.11 КоАП, введённая ФЗ-420 от 30.11.2024. Статья расширена до 18 частей. Диапазоны для юридических лиц: ч. 1 (незаконная обработка) — 150–300 тыс. рублей, ч. 2 (нарушение требований к согласию) — 300–700 тыс. рублей, ч. 3 (отсутствие политики) — 30–60 тыс. рублей, ч. 10 (неуведомление РКН о намерении обрабатывать) — 100–300 тыс. рублей, ч. 12–14 (утечка данных) — 3–15 млн рублей, ч. 15 (повторная утечка, оборотный) — 1–3% годовой выручки, не менее 20 млн рублей, не более 500 млн рублей.

2. Что такое оборотный штраф 1–3% и к кому он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП — санкция за повторное нарушение, связанное с утечкой персональных данных (ч. 12–14). Рассчитывается как 1–3% совокупной выручки оператора за предшествующий календарный год. Минимум — 20 млн рублей, максимум — 500 млн рублей. Применяется, если ранее компания уже привлекалась к ответственности по ч. 12–14, 15, 16–18 ст. 13.11. Если доказаны инвестиции в информационную безопасность в размере не менее 0,1% выручки за три предшествующих года — штраф снижается до 1/10 минимума (не менее 15 млн рублей, не более 50 млн рублей) по примечанию к ст. 4.1 КоАП.

3. Когда применяется минимум 20 млн рублей по ч. 15 ст. 13.11?

Минимум 20 млн рублей по ч. 15 ст. 13.11 применяется, когда 1% совокупной выручки оператора за предшествующий год составляет менее 20 млн рублей. Иными словами, если годовая выручка компании меньше 2 млрд рублей — штраф будет не ниже 20 млн рублей вне зависимости от расчётного процентного значения. Максимум 500 млн рублей ограничивает санкцию для крупных операторов, у которых 3% выручки превышает эту сумму.

4. Можно ли заменить штраф по ч. 3 ст. 13.11 на предупреждение?

Да, при наличии оснований по ст. 4.1.1 КоАП. Замена возможна для субъектов малого и среднего предпринимательства, если нарушение совершено впервые и не причинило вреда. Для ч. 3 ст. 13.11 (отсутствие политики) запрета на применение ст. 4.1.1 нет — в отличие от оборотных составов по ч. 15 и ч. 18. Практика мировых судей после ФЗ-508 от 28.12.2025 показывает: суды применяют замену, если оператор устранил нарушение до вынесения постановления и представил доказательства — скриншот опубликованной политики, данные о включении в реестр РКН.

5. Какова подсудность дел по ст. 13.11 КоАП после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи — подсудность возвращена ФЗ-508 от 28.12.2025. В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Это принципиально для стратегии защиты: мировые судьи рассматривают дела быстрее, формализованность процесса ниже, что требует оперативной подготовки позиции и документов. Обжалование постановления мирового судьи — в районный суд, далее — в суд субъекта Российской Федерации.

Итог

Ч. 3 ст. 13.11 КоАП — самый простой в доказывании состав среди всех частей ст. 13.11: инспектор открывает сайт, не находит документ, составляет протокол. Сумма штрафа невелика — 30–60 тыс. рублей для юрлица, — однако протокол по ч. 3 запускает проверку всей системы обработки персональных данных и создаёт риск параллельных нарушений на суммарно существенно большие суммы. Для компаний с историей утечек это может означать применение оборотного штрафа по ч. 15 — от 20 млн рублей.

Практика DATUM по сопровождению проверок РКН и защите от штрафов по ст. 13.11 КоАП охватывает весь цикл: от экспресс-аудита и устранения нарушений до представления интересов у мирового судьи и обжалования постановления в районном суде.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.