аналитика 21 октября 2027 По состоянию на 21 октября 2027

Часть 6 ст. 13.11: 1-6 млн за невыполнение локализации (ч. 5 ст. 18 ФЗ-152)

Часть 8 ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025) — штраф для юрлица от 1 до 6 млн ₽ за невыполнение требования о локализации: запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны происходить только в базах на территории России.

Повторное нарушение — ч. 9 ст. 13.11 КоАП: от 6 до 18 млн ₽. Требование об обязательной локализации закреплено в ч. 5 ст. 18 ФЗ-152 и действует с 01.09.2015. С 01.07.2025 требования ужесточены: первичный сбор данных граждан РФ также должен происходить в российских базах.

Если вы CEO и ваши CRM, ERP или аналитические системы хранят данные клиентов в зарубежном облаке — у вас есть основания для протокола РКН прямо сейчас. → Оценим риск конкретной конфигурации и предложим план устранения.

С 30.05.2025 статья 13.11 КоАП пересобрана с семи до восемнадцати частей. Нарушение локализации — ч. 8 в новой нумерации — превратилось в один из самых весомых составов: минимальный штраф для юрлица составляет 1 млн ₽, максимальный — 6 млн ₽, а при повторности — до 18 млн ₽. Роскомнадзор применяет состав активно: именно нарушения локализации вошли в перечень индикаторов риска для внеплановых проверок. В этом материале — нормы, условия применения состава, практика 2025–2026 годов и стратегия защиты от штрафа для генерального директора.

Что именно нарушает закон: конкретные действия под ч. 8 ст. 13.11 КоАП

Часть 5 ст. 18 ФЗ-152 перечисляет шесть видов обработки, которые обязательно должны производиться в базах данных на территории РФ: запись, систематизация, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан Российской Федерации. Все остальные виды обработки — передача, распространение, блокирование, обезличивание, уничтожение — под локализационное требование не подпадают.

«Ч. 5 ст. 18 ФЗ-152 — оператор, осуществляющий сбор ПДн граждан РФ, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение этих данных с использованием баз данных, находящихся на территории РФ.»

На практике нарушение возникает в нескольких типичных конфигурациях. Первая — CRM-система или ERP развёрнуты в зарубежном облаке (AWS, Azure, Google Cloud, европейские дата-центры), и первичная запись данных клиентов происходит там. Вторая — отечественная CRM синхронизируется в реальном времени с зарубежной мастер-базой, которая считается основной. Третья — резервные копии хранятся только за рубежом. Четвёртая — SaaS-подрядчик (маркетинговая автоматизация, CDP, HR-система) хранит данные в дата-центре на территории ЕС или США и не имеет российской копии.

С 01.07.2025 позиция Роскомнадзора ужесточилась: регулятор рассматривает первичный сбор (момент ввода пользователем данных в форму на сайте или в приложении) как начало локализационно значимой обработки. Если технически данные попадают сначала на зарубежный сервер и лишь затем реплицируются в Россию — это нарушение, даже при наличии российской копии.

Как применяется ч. 8 ст. 13.11 КоАП: штрафы, повторность и оборотная санкция

Санкция по ч. 8 ст. 13.11 КоАП в редакции, действующей с 30.05.2025, для юридических лиц составляет от 1 000 000 до 6 000 000 ₽. Должностное лицо — от 200 000 до 500 000 ₽. Повторное нарушение (ч. 9 ст. 13.11) — от 6 000 000 до 18 000 000 ₽ для юрлица. Повторность фиксируется, если первое постановление вступило в силу и в течение одного года после его исполнения выявлено аналогичное нарушение.

«Ч. 8 ст. 13.11 КоАП — невыполнение оператором обязанности по локализации по ч. 5 ст. 18 ФЗ-152 — штраф для юрлица 1 000 000 — 6 000 000 ₽. Ч. 9 ст. 13.11 — повторное нарушение — 6 000 000 — 18 000 000 ₽.»

Важно понимать соотношение с оборотным штрафом. Часть 15 ст. 13.11 КоАП — оборотная санкция в 1–3% совокупной годовой выручки (не менее 20 млн ₽, не более 500 млн ₽) — применяется за повторную утечку (ч. 12–14), а не за нарушение локализации. То есть нарушение ч. 8 само по себе не влечёт оборотный штраф. Однако если за нарушением локализации последовала утечка данных — возникает конкуренция составов, и наказание определяется совокупностью. Для крупной компании это означает потенциальное одновременное применение ч. 8 (до 6 млн) и ч. 12–14 (до 15 млн) либо ч. 15 (до 500 млн при повторности).

Аналитика или маркетплейс хранит данные клиентов за рубежом?

Если в вашей инфраструктуре есть зарубежный SaaS, облачный подрядчик или резервные копии на серверах за пределами России — это прямой риск ч. 8 ст. 13.11 КоАП. Штраф от 1 до 6 млн ₽ не требует предварительного предупреждения: РКН вправе составить протокол по итогам внеплановой проверки на основании индикатора риска. Юристы DATUM проведут аудит инфраструктуры на предмет локализации, выявят конкретные узлы нарушений и подготовят план устранения до проверки.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Когда компания может избежать штрафа: исключения и смягчающие обстоятельства

Статья 4.1.1 КоАП позволяет заменить штраф предупреждением для субъектов малого и среднего предпринимательства при выполнении ряда условий: нарушение совершено впервые, причинения вреда охраняемым интересам не установлено, угрозы жизни и здоровью нет. По нарушениям ч. 8 ст. 13.11 замена на предупреждение применяется в судебной практике, хотя и не является автоматической. Ключевые факторы — наличие плана устранения нарушения до рассмотрения дела и добровольное уведомление РКН об инициированных корректировках.

Статья 4.1 КоАП предусматривает возможность назначить штраф ниже минимального предела при наличии исключительных обстоятельств. Суды применяют эту норму при совокупности: первичность, незначительный вред, принятые меры по устранению, затруднённое финансовое положение. На практике снижение ниже минимума по ч. 8 (ниже 1 млн ₽) встречается редко — суды считают инфраструктурное нарушение локализации существенным.

Примечание 3.4-2 к ст. 4.1 КоАП устанавливает льготный расчёт для компаний, инвестировавших в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года. Эта льгота, однако, распространяется только на оборотные составы (ч. 15 и ч. 18 ст. 13.11). На ч. 8 она не действует — важный момент, который нередко упускают при оценке рисков.

Что подготовить для снижения риска по ч. 8 ст. 13.11

Реестр информационных систем, в которых обрабатываются ПДн граждан РФ, с указанием физического расположения серверов и баз данных.
Договоры с облачными и SaaS-подрядчиками с явным указанием дата-центра (страна, регион) и условием о локализации российских данных.
Архитектурная схема потоков данных: где происходит первичная запись, где хранится мастер-база, где резервные копии.
Письменное подтверждение от зарубежного подрядчика (DPA или addendum) о наличии российского сегмента хранения.
Актуальное уведомление в реестре операторов РКН с корректным описанием мест обработки (ст. 22 ФЗ-152).

Как РКН выявляет нарушения локализации: индикаторы и порядок проверки

Роскомнадзор проводит мониторинг соблюдения требований локализации преимущественно через внеплановые проверки. Основания для внеплановой проверки определены приказом РКН: индикаторы риска включают жалобы субъектов персональных данных, сведения от иных государственных органов, публикации в СМИ и данные технического мониторинга инфраструктуры. Нахождение основного сайта компании на зарубежном хостинге при сборе российских ПДн — один из формальных признаков для возбуждения проверки.

В ходе проверки инспектор запрашивает документы: схему информационных систем, договоры с подрядчиками, выписку из реестра операторов, политику обработки ПДн. Дополнительно проводится технический анализ — трассировка маршрутов передачи данных и проверка физического расположения серверов через WHOIS и traceroute. На практике компании, использующие гибридные архитектуры (данные формально хранятся в России, но синхронизируются с мастер-базой за рубежом), получают протоколы по ч. 8 ст. 13.11 наравне с теми, кто вообще не имеет российского сегмента.

Если вы CEO и получили уведомление о внеплановой проверке РКН по вопросам локализации — у вас, как правило, от 3 до 5 рабочих дней на подготовку документов. Это срок, за который можно либо устранить нарушение и задокументировать это, либо выстроить позицию защиты от штрафа по ч. 8 ст. 13.11 КоАП.

Подготовиться к проверке РКН

Практика применения ч. 8 ст. 13.11: три сценария для CEO

Нарушения локализации распадаются на несколько устойчивых паттернов. Понимание конкретного сценария определяет стратегию защиты.

Сценарий 1. Уведомление в реестре устарело, реальная инфраструктура шире заявленного. Компания подала уведомление в РКН несколько лет назад, указав один сервер в Москве. С тех пор перешла на зарубежный SaaS для CRM и аналитики. В реестре — устаревшие сведения. Инспектор при проверке обнаруживает расхождение между реестром и фактической архитектурой. Итог: протокол одновременно по ч. 8 ст. 13.11 (нарушение локализации) и по ч. 10 (неуведомление об изменении сведений, штраф 100–300 тыс. ₽). Стратегия: до проверки — обновить уведомление в РКН, перевести мастер-базу в российский сегмент, зафиксировать план миграции с датами. Это снижает вероятность максимального штрафа и создаёт основание для применения ст. 4.1 КоАП.

Сценарий 2. Зарубежный подрядчик без российского сегмента. Компания использует европейскую платформу маркетинговой автоматизации для базы клиентов (e-mail, телефоны, история покупок). Подрядчик не предлагает российский дата-центр, а договор не содержит требований о локализации. РКН квалифицирует это как нарушение ч. 5 ст. 18 ФЗ-152 — состав ч. 8 ст. 13.11. Стратегия: переход на российский аналог или создание российской мастер-базы с зеркалированием только агрегированных данных за рубеж. При невозможности быстрой миграции — задокументированный roadmap с конкретными сроками смягчает позицию при назначении наказания.

Сценарий 3. Протокол уже составлен, срок обжалования идёт. Постановление по ч. 8 ст. 13.11 вынесено мировым судьёй на 3 млн ₽. Нарушение первичное. Компания устранила нарушение после проверки. Стратегия: обжалование в суде общей юрисдикции с приложением доказательств устранения (акт ввода российского сервера в эксплуатацию, новый договор с подрядчиком, скриншоты настроек). Суды систематически снижают штраф в нижнюю половину диапазона при задокументированном устранении. При статусе МСП — ходатайство о замене на предупреждение по ст. 4.1.1 КоАП.

Как это применяется на практике

Кейс 1. Производственная компания (Уральский ФО, осень 2025) использовала немецкую ERP-систему без российского сегмента хранения данных сотрудников и контрагентов. По итогам внеплановой проверки РКН составил протокол по ч. 8 ст. 13.11. К моменту рассмотрения дела компания завершила миграцию мастер-базы на российский сервер и представила суду акты ввода в эксплуатацию. Мировой суд назначил штраф в нижней части диапазона с учётом устранения нарушения и первичности.

Кейс 2. Онлайн-ритейлер (Центральный ФО, начало 2026) хранил клиентскую базу (более 200 тыс. субъектов) на серверах европейского SaaS-провайдера без российской копии. Протокол — ч. 8 ст. 13.11. Дополнительно выявлено устаревшее уведомление в реестре РКН — протокол по ч. 10. Общая сумма постановлений составила штраф в нижней части диапазона по ч. 8 и минимальный штраф по ч. 10. При наличии статуса МСП юристы рассматривали применение ст. 4.1.1 КоАП, однако суд отказал в замене на предупреждение по ч. 8, сославшись на масштаб нарушения (более 100 тыс. субъектов). ⚠️ Конкретные номера дел и точные суммы — менеджер уточняет при публикации.

Услуги DATUM по теме

Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ч. 8 ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1.
Аудит соответствия 152-ФЗ — проверка инфраструктуры на локализацию, анализ договоров с подрядчиками, отчёт с планом устранения.
Сопровождение проверок РКН — подготовка документов, представление интересов при проверке, обжалование предписания.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 статья 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей вместо прежних семи. Нарушение локализации — ч. 8 — от 1 000 000 до 6 000 000 ₽ для юрлица. Повторное нарушение локализации — ч. 9 — от 6 000 000 до 18 000 000 ₽. Утечки персональных данных квалифицируются по ч. 12–14 (от 3 до 15 млн ₽), повторная утечка — ч. 15 (оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽). Подсудность с 28.12.2025 — мировые судьи (ФЗ-508 от 28.12.2025).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется только за повторную утечку ПДн (повторное нарушение по ч. 12–14, 16–18 или ч. 15). Он составляет 1–3% совокупной выручки компании за предшествующий календарный год, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Нарушение локализации (ч. 8) само по себе оборотный штраф не влечёт. Однако если нарушение локализации привело к утечке данных — возникает конкуренция составов, и компании могут быть предъявлены оба.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ — нижняя граница оборотного штрафа по ч. 15 ст. 13.11 КоАП. Он применяется, если 1% годовой выручки компании составляет менее 20 млн ₽, то есть для компаний с оборотом до 2 млрд ₽ в год. Для компаний с выручкой от 2 до примерно 16,7 млрд ₽ штраф рассчитывается как 1–3% от выручки. Для компаний с выручкой свыше ~16,7 млрд ₽ действует потолок в 500 млн ₽. При инвестициях в ИБ не менее 0,1% выручки за три года штраф по ч. 15 может быть снижен до 1/10 минимального, но не менее 15 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП). К нарушению локализации (ч. 8) эта льгота не применяется.

4. Можно ли заменить штраф на предупреждение?

Да, при выполнении условий ст. 4.1.1 КоАП: компания относится к субъектам МСП (или микропредприятиям), нарушение совершено впервые, вред охраняемым интересам не причинён, угрозы жизни и здоровью нет. По ч. 8 ст. 13.11 суды применяют замену на предупреждение реже, чем по ч. 1–5, поскольку инфраструктурное нарушение локализации расценивается как существенное. Шансы на предупреждение выше, если к моменту рассмотрения нарушение устранено и задокументировано. Замена на предупреждение недоступна по ч. 15 и ч. 18 ст. 13.11 (оборотные составы).

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 (дата вступления в силу ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматриваются мировыми судьями. В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Смена подсудности имеет практическое значение: мировые судьи, в отличие от арбитражных, как правило, менее детально анализируют экономические аргументы о соразмерности штрафа. Обжалование постановления мирового судьи — в районный суд, затем кассация через суд общей юрисдикции.

Итог

Нарушение локализации по ч. 8 ст. 13.11 КоАП — это инфраструктурный состав с высокой выявляемостью. Роскомнадзор имеет технические инструменты для обнаружения хранения данных за рубежом, а индикаторы риска для внеплановых проверок включают работу с зарубежными SaaS-провайдерами. Диапазон 1–6 млн ₽ не связан с оборотным штрафом и применяется независимо от размера компании и наличия или отсутствия утечки. Единственная эффективная защита — устранение нарушения до проверки, либо документирование плана миграции с реальными сроками для смягчения при назначении наказания.

Практика DATUM по сопровождению компаний в спорах с Роскомнадзором по вопросам локализации охватывает как превентивный аудит инфраструктуры, так и защиту на стадии протокола и обжалования постановления. Каждое дело требует анализа конкретной архитектуры — универсального ответа о соответствии требованиям ч. 5 ст. 18 ФЗ-152 не существует.

Получили протокол по ч. 8 ст. 13.11 или готовитесь к проверке РКН?

Юристы DATUM оценят конфигурацию инфраструктуры, выявят нарушения локализации и выстроят позицию защиты. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.