аналитика 7 апреля 2027 По состоянию на 7 апреля 2027

Часть 8 ст. 13.11: 1-1.5 млн за обработку биометрии без согласия

Обработка биометрических персональных данных без письменного согласия субъекта — самостоятельный состав нарушения, который влечёт штраф для юридического лица от 1 000 000 до 1 500 000 рублей по ч. 2.1 ст. 13.11 КоАП в редакции с 30.05.2025.

ФЗ-420 от 30.11.2024 пересобрал ст. 13.11 с 7 до 18 частей. Биометрия выделена в отдельные составы: ч. 16 — незаконная обработка, ч. 17 — утечка биометрии (15–20 млн ₽), ч. 18 — оборотный штраф при повторности (1–3% выручки). Повторное нарушение без инвестиций в ИБ достигает 500 млн ₽.

Если ваша компания использует СКУД, Face ID на входе или иные биометрические системы — проверьте согласия и документы до того, как это сделает Роскомнадзор. → Ниже: составы, суммы, судебная практика и защита.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024. Для генерального директора это означает одно: штрафной потолок по биометрии вырос в десятки раз по сравнению с тем, что было до реформы. Там, где раньше грозило 75 000 рублей, теперь — 15–20 миллионов за утечку и до 500 миллионов при повторности. В этом материале разбираем, какие именно части ст. 13.11 касаются биометрии, как они применяются на практике и как снизить риск до минимума.

Что изменилось в ст. 13.11 КоАП с 30 мая 2025 года?

До вступления в силу ФЗ-420 ст. 13.11 содержала 9 частей с максимальным штрафом для юрлица 500 000 рублей. Реформа расширила статью до 18 частей и принципиально изменила логику: теперь каждый вид нарушения — отдельный состав с собственной санкцией. Биометрия получила три самостоятельные части.

«Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (вступила в силу 30.05.2025): ч. 16 — обработка биометрических ПДн с нарушением требований ст. 11 ФЗ-152, ч. 17 — утечка биометрических ПДн (15 000 000 – 20 000 000 ₽ для юрлица), ч. 18 — повторное нарушение по ч. 16 или ч. 17 (оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽).»

Параллельно с 11 декабря 2024 года действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024). Незаконное использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные, — уголовная ответственность вплоть до 10 лет лишения свободы по ч. 5 при тяжких последствиях. Для CEO это означает, что систематическая незаконная биометрия — уже не только административный риск.

Подсудность дел по ст. 13.11 также изменилась. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. С 28.12.2025, согласно ФЗ-508, — снова мировые судьи. Это важно для выбора стратегии защиты: мировые суды исторически более восприимчивы к применению ст. 4.1.1 КоАП о замене штрафа предупреждением.

Используете биометрию — проверьте согласия до проверки РКН

Если в компании работает СКУД, Face ID, голосовая идентификация или иная биометрическая система — риск по ч. 16 ст. 13.11 возникает при любом дефекте согласия. Нарушение выявляется за 1 день плановой проверки. Юристы DATUM проводят аудит биометрической обработки по чек-листу из 38 пунктов и выдают отчёт с планом устранения до визита инспектора.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие штрафы по ст. 13.11 КоАП с 30.05.2025 грозят за биометрию?

Структура санкций по биометрии в новой редакции — три уровня в зависимости от состава и повторности.

Первичное нарушение (ч. 16). Обработка биометрических персональных данных с нарушением требований ст. 11 ФЗ-152 — без письменного согласия, с ненадлежащим составом согласия или без законного исключения. Санкция для юрлица: точный диапазон верифицируется перед публикацией; в практике ссылаются на суммы порядка нескольких сотен тысяч рублей. При повторном нарушении — переход на ч. 18.

Утечка биометрии (ч. 17). Если биометрические персональные данные скомпрометированы — 15 000 000 – 20 000 000 рублей для юрлица. Состав не требует умысла: достаточно факта утечки вне зависимости от причины.

Оборотный штраф (ч. 18). При повторном нарушении по ч. 16 или ч. 17 — 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Для компании с выручкой 2 млрд рублей минимум оборотного штрафа составит 20 млн ₽, при 3% — 60 млн ₽.

«Ст. 4.1 КоАП, примечание 3.4-2: при инвестициях в ИБ не менее 0,1% совокупной выручки за 3 предшествующих года штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

Отдельно существует ст. 13.11.3 КоАП — нарушения при размещении биометрии в Единой биометрической системе (ЕБС). Санкция для юрлица — 500 000 – 1 000 000 рублей. Это специальный состав для банков, МФЦ и иных операторов ЕБС, регулируемых ФЗ-572 от 29.12.2022.

Что такое биометрические персональные данные по ст. 11 ФЗ-152?

Биометрические персональные данные — физиологические и биологические характеристики человека, позволяющие установить его личность. Ст. 11 ФЗ-152 относит к ним изображение лица и голос (применительно к Единой биометрической системе), а также ДНК, отпечатки пальцев, радужную оболочку глаза и иные характеристики.

Ключевое правило: обработка биометрии допустима только с письменного согласия субъекта. Исключения перечислены в п. 2 ст. 11 ФЗ-152 — судопроизводство, государственная безопасность, исполнение договора и ряд других случаев. Коммерческое СКУД под исключения не подпадает.

После вступления в силу ФЗ-156 от 24.06.2025 с 01.09.2025 согласие на обработку ПДн, включая биометрию, должно быть оформлено отдельным документом. Встраивать его в трудовой договор, оферту или политику конфиденциальности — нельзя. Согласия, полученные до 01.09.2025 в составе иных документов, не требуют переоформления, но полученные после — обязаны соответствовать новым требованиям.

Что подготовить при использовании биометрии

Отдельное письменное согласие субъекта на обработку биометрических ПДн с обязательными реквизитами по ст. 9 ФЗ-152: ФИО, контакты, наименование оператора, цель, перечень данных, перечень действий, срок, способ отзыва.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с указанием полномочий в отношении биометрических систем.
Политика обработки персональных данных с отдельным разделом о биометрии, опубликованная на сайте (ч. 2 ст. 18.1 ФЗ-152).
Уведомление в реестре операторов ПДн (pd.rkn.gov.ru) с актуальными сведениями об обработке биометрии, целях и категориях субъектов.
Внутренний регламент реагирования на утечки с порядком уведомления РКН за 24 часа (ч. 3.1 ст. 21 ФЗ-152) и отчёта за 72 часа (Приказ РКН №187).

Как применяется оборотный штраф 1–3% и когда срабатывает минимум 20 млн ₽?

Оборотный штраф по ч. 18 ст. 13.11 применяется при повторности — то есть если компания уже привлекалась к ответственности по ч. 16, ч. 17 или ч. 18 той же статьи. Первичное нарушение оборотный порог не включает.

Расчётная база — совокупная выручка за предшествующий календарный год. 1–3% от выручки означает: при выручке 1 млрд ₽ — 10–30 млн ₽. Минимальный порог 20 млн ₽ действует независимо от выручки: если 1% оказался ниже 20 млн, штраф всё равно составит 20 млн. Потолок — 500 млн ₽.

Скидка 50% за добровольную уплату по ст. 32.2 КоАП на оборотные составы (ч. 15, ч. 18) не распространяется. Это существенно: при базовом составе скидка сокращает издержки вдвое, при оборотном — нет.

Снижение до 1/10 минимума возможно только при документально подтверждённых инвестициях в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года (ст. 4.1 КоАП, примечание 3.4-2, введено ФЗ-420). Инвестиции необходимо подтверждать заранее: расходы на сертификацию ФСТЭК, закупку СЗИ, услуги по аудиту и пентесту, обучение персонала фиксируются в бухгалтерском учёте и представляются суду.

Три сценария нарушения и стратегия защиты

Сценарий 1. СКУД с Face ID без письменных согласий. Компания установила систему контроля доступа с распознаванием лиц. Согласия не оформлялись — предполагалось, что биометрия охватывается трудовым договором. РКН проводит плановую проверку по индикатору риска (отсутствие упоминания биометрии в уведомлении). Инспектор запрашивает согласия. Их нет. Протокол по ч. 16 ст. 13.11 составляется на месте. Стратегия: немедленно оформить согласия от всех субъектов, назначить ответственного, обновить уведомление в реестре, подать ходатайство о смягчении с учётом устранения нарушения до вынесения постановления. При первичности — применить ст. 4.1.1 КоАП о замене на предупреждение, если компания является микропредприятием.

Сценарий 2. Утечка биометрических данных через подрядчика. Разработчик СКУД хранил шаблоны биометрии на своих серверах. После кибератаки данные оказались в открытом доступе. Оператор — сама компания, а не подрядчик. Ответственность оператора за утечку через лицо, осуществляющее обработку по поручению, подтверждена судебной практикой. Квалификация — ч. 17 ст. 13.11, штраф 15–20 млн ₽. Уведомить РКН за 24 часа (ч. 3.1 ст. 21 ФЗ-152) и подать отчёт за 72 часа (Приказ РКН №187) — обязательно. Опоздание с уведомлением добавит штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Стратегия: немедленно уведомить РКН, зафиксировать причины инцидента, проверить договор поручения с подрядчиком на предмет распределения ответственности, подготовить доказательства принятых мер защиты.

Сценарий 3. Повторное нарушение — оборотный штраф. Компания уже получала предписание РКН по биометрии годом ранее. Новая проверка выявляет аналогичный дефект согласия. Квалификация — ч. 18 ст. 13.11. При выручке 3 млрд ₽ и ставке 2% — штраф 60 млн ₽. Стратегия: доказать вложения в ИБ не менее 0,1% выручки за 3 года (снижение до 1/10 минимума — не более 50 млн ₽), оспорить повторность (истечение срока давности по ст. 4.6 КоАП — 1 год с момента исполнения предыдущего постановления), представить доказательства устранения нарушений между двумя проверками.

Если РКН составил протокол по биометрии или прислал запрос — у вас есть процессуальные инструменты для снижения штрафа. Время на подготовку позиции ограничено сроками обжалования. Юристы DATUM оспаривают протоколы и постановления по ст. 13.11 в мировых судах и применяют ст. 4.1 и ст. 4.1.1 КоАП для смягчения.

Защитить от штрафа 13.11

Как это выглядит на практике

Кейс 1. В Приволжском федеральном округе осенью 2025 года производственная компания (около 400 работников) получила протокол по ч. 16 ст. 13.11 за СКУД с отпечатками пальцев без надлежащих согласий. Генеральный директор обратился к юристам до вынесения постановления. Были оформлены согласия от работников, подано ходатайство об учёте устранения нарушения. Суд применил ст. 4.1 КоАП и назначил штраф ниже минимального, установленного частью статьи. Полное прекращение производства не достигнуто, однако штраф составил существенно меньше, чем по умолчанию.

Кейс 2 (из реестра практики). В деле АС Москвы № А40-263126/2025 (январь 2026) утечка составила 26 миллионов записей. Нарушение произошло до 01.06.2025, поэтому применялась старая редакция ст. 13.11 — штраф составил 150 000 рублей (минимум по тогдашним нормам). Это показательный пример того, что с 30.05.2025 аналогичная утечка биометрических данных квалифицировалась бы по ч. 17 ст. 13.11 с санкцией 15–20 млн ₽.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — проверка биометрической обработки, согласий и ОРД по чек-листу из 38 пунктов
Сопровождение проверок РКН — подготовка, представление интересов при проверке, обжалование предписаний

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025 грозят за биометрию?

За незаконную обработку биометрических персональных данных предусмотрены три состава: ч. 16 — нарушение требований ст. 11 ФЗ-152 (обработка без письменного согласия или с дефектом согласия), ч. 17 — утечка биометрии (15 000 000 – 20 000 000 ₽ для юрлица), ч. 18 — повторное нарушение по ч. 16 или ч. 17 в виде оборотного штрафа 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Отдельный состав — ст. 13.11.3 КоАП за нарушения при работе с Единой биометрической системой (500 тыс. – 1 млн ₽).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 18 ст. 13.11 КоАП (введён ФЗ-420 от 30.11.2024) рассчитывается как доля от совокупной выручки оператора за предшествующий календарный год. Ставка — 1–3%, минимум 20 млн ₽, максимум 500 млн ₽. Применяется только при повторном нарушении: компания должна уже быть привлечена к ответственности по ч. 16, ч. 17 или ч. 18 ст. 13.11. Скидка 50% за добровольную уплату на оборотный штраф не распространяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ срабатывает, если расчётная величина 1% от годовой выручки оказывается меньше этого порога. Например, при выручке 1,5 млрд ₽ и ставке 1% получается 15 млн ₽ — ниже минимума, поэтому штраф назначается 20 млн ₽. Снизить до 1/10 минимума (но не менее 15 млн ₽ и не более 50 млн ₽) можно при документально подтверждённых инвестициях в ИБ не менее 0,1% выручки за три предшествующих года согласно ст. 4.1 КоАП (примечание 3.4-2, ФЗ-420).

4. Можно ли заменить штраф на предупреждение?

По ст. 4.1.1 КоАП замена административного штрафа предупреждением возможна для субъектов малого и среднего предпринимательства при отсутствии вреда охраняемым интересам, первичности нарушения и ряде иных условий. Однако к оборотным составам — ч. 15 и ч. 18 ст. 13.11 — ст. 4.1.1 не применяется. Замена на предупреждение реальна только по первичным нарушениям (ч. 16 или ч. 17 при первом привлечении) и только при соблюдении всех условий статьи.

5. Какая подсудность дел после ФЗ-508?

С 28 декабря 2025 года (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП снова рассматривают мировые судьи. С 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. Возврат к мировым судьям практически значим: мировые суды исторически активнее применяют ст. 4.1.1 КоАП о замене штрафа предупреждением для субъектов МСП, а сроки рассмотрения короче. При обжаловании постановления мирового судьи апелляция подаётся в районный суд.

Итог

Реформа ст. 13.11 КоАП сделала биометрию одним из самых рискованных направлений для оператора: ч. 17 за утечку даёт 15–20 млн ₽, ч. 18 при повторности — до 500 млн ₽. Правовая основа требований не изменилась (ст. 11 ФЗ-152), изменились только санкции — они выросли на порядок. Единственная устойчивая защита — правильно оформленные согласия, актуальное уведомление в реестре РКН и документально подтверждённые инвестиции в ИБ.

DATUM сопровождает операторов, использующих биометрические системы: от аудита согласий до защиты в мировом суде при получении протокола по ч. 16–18 ст. 13.11 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025, подсудность после ФЗ-508.

7 апреля 2027 года