аналитика 12 января 2028 По состоянию на 12 января 2028

Чем ч. 12 отличается от ч. 13 ст. 13.11

Часть 12 ст. 13.11 КоАП — штраф 3–5 млн ₽ за утечку от 1 000 до 10 000 субъектов. Часть 13 — штраф 5–10 млн ₽ за утечку от 10 000 до 100 000 субъектов. Разница — в пороге и размере санкции.

С 30.05.2025 ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП до 18 частей. Повторная утечка любого из этих масштабов влечёт оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

→ Если в компании произошла утечка и вы ещё не оценили масштаб — квалификация между ч. 12 и ч. 13 определяет разницу в санкции до 7 млн ₽ и риск оборотного состава при повторности.

С 30 мая 2025 года российские операторы персональных данных сталкиваются с новой архитектурой ответственности по ст. 13.11 КоАП. Если раньше статья насчитывала семь частей с максимальным штрафом для юрлица в 75 000 ₽, то теперь их восемнадцать, а санкции за крупные утечки измеряются миллионами и миллиардами. Для CEO и владельца бизнеса принципиально понять: от чего зависит, попадёт ли компания под ч. 12 или ч. 13, и как правильно считать пострадавших субъектов — это и определяет финансовый масштаб последствий.

Какие составы содержат ч. 12 и ч. 13 ст. 13.11 КоАП?

Обе части введены ФЗ-420 от 30.11.2024 и применяются к событиям, произошедшим после 30.05.2025. Критерий разграничения — количество субъектов персональных данных, сведения о которых стали доступны вследствие нарушения.

«Ч. 12 ст. 13.11 КоАП: утечка ПДн от 1 000 до 10 000 субъектов (или от 10 000 до 100 000 идентификаторов) — штраф для юридического лица 3 000 000–5 000 000 ₽. Ч. 13 ст. 13.11 КоАП: утечка ПДн от 10 000 до 100 000 субъектов (или от 100 000 до 1 000 000 идентификаторов) — штраф для юридического лица 5 000 000–10 000 000 ₽. Редакция действует с 30.05.2025.»

Третий смежный состав — ч. 14: утечка более 100 000 субъектов или более 1 000 000 идентификаторов — штраф 10–15 млн ₽. Части 12–14 образуют единую лестницу ответственности, где шаг вверх стоит от 2 до 5 млн ₽ дополнительно.

Важно понимать: «субъекты» и «идентификаторы» — разные счётные единицы. Один субъект может породить несколько идентификаторов (телефон, email, ИНН). Если число идентификаторов попадает в более высокую квалификационную группу, чем число субъектов, применяется более строгая санкция. Этот нюанс регулярно становится предметом спора с РКН при составлении протокола.

Как считаются субъекты и идентификаторы для определения части?

Квалификация между ч. 12 и ч. 13 — прикладная задача, которую оператор должен решить до момента, когда это сделает проверяющий. Алгоритм счёта влияет на то, какой штраф окажется в постановлении.

Субъект — физическое лицо, ПДн которого обрабатывались оператором. Идентификатором считается уникальный атрибут, по которому можно установить личность: номер телефона, адрес электронной почты, СНИЛС, ИНН, номер паспорта. Если база содержит 8 000 уникальных физических лиц, но каждому соответствуют email и телефон — это 8 000 субъектов и 16 000 идентификаторов. По числу субъектов — ч. 12 (до 10 000), по числу идентификаторов — ч. 13 (от 10 000 до 100 000). Применяется ч. 13.

«Ст. 13.11 КоАП не определяет методику подсчёта напрямую. РКН устанавливает количество субъектов и идентификаторов по факту расследования инцидента, исходя из журналов доступа, архивов баз данных и уведомлений, поданных самим оператором по Приказу РКН №187.»

Практическое следствие: заниженная оценка масштаба в первичном уведомлении (24 часа по ч. 3.1 ст. 21 ФЗ-152) и её последующее расхождение с фактическими данными расследования — отягчающее обстоятельство. Завышение, напротив, бессмысленно: оно само по себе переводит квалификацию в более тяжкий состав.

Утечка произошла: как избежать квалификации по более тяжкой части?

Если в компании зафиксирован инцидент с ПДн — у вас 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 и 72 часа на отчёт о расследовании. Ошибка в подсчёте субъектов или пропуск срока сдвигает квалификацию вверх и открывает путь к оборотному штрафу при повторности. Юристы DATUM подключатся к реагированию: проведут технический подсчёт масштаба, подготовят уведомление РКН и выстроят позицию защиты в протокольной стадии.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что такое оборотный штраф по ч. 15 и когда он применяется?

Часть 15 ст. 13.11 КоАП — принципиально иной вид санкции. Это не фиксированный диапазон, а доля выручки. Условие применения — повторность: оператор ранее привлекался к ответственности по ч. 12, 13, 14, 16, 17, 18 или самой ч. 15.

«Ч. 15 ст. 13.11 КоАП: оборотный штраф составляет от 1 до 3% совокупной выручки оператора за предшествующий календарный год. Минимум — 20 000 000 ₽. Максимум — 500 000 000 ₽. Редакция ФЗ-420, действует с 30.05.2025.»

Для компании с выручкой 1 млрд ₽ диапазон ч. 15 — 20–30 млн ₽. Для компании с выручкой 10 млрд ₽ — 100–300 млн ₽. Стандартная скидка 50% за уплату в течение 20 дней по ст. 32.2 КоАП к оборотным штрафам не применяется.

Есть один инструмент снижения оборотного штрафа, прямо предусмотренный законом. Примечание 3.4-2 к ст. 4.1 КоАП: если оператор за три года, предшествующих нарушению, вложил в информационную безопасность не менее 0,1% совокупной выручки — штраф по ч. 15 исчисляется в размере 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽. Документальное подтверждение инвестиций в ИБ становится обязательным элементом защитной позиции.

Как применяются ст. 4.1 и ст. 4.1.1 КоАП к делам по ч. 12–13?

Ст. 4.1.1 КоАП позволяет заменить штраф предупреждением — но только при соблюдении нескольких условий одновременно: нарушитель является микропредприятием или субъектом МСП, нарушение совершено впервые, не причинён вред жизни и здоровью людей, отсутствует угроза чрезвычайных ситуаций. При этом ч. 15 и ч. 18 ст. 13.11 из сферы действия ст. 4.1.1 прямо исключены.

Ст. 4.1 КоАП регулирует общие правила назначения наказания: перечень смягчающих обстоятельств, учёт финансового положения, снижение до минимума санкции при совокупности смягчающих. На практике суды применяют ст. 4.1 при первичном нарушении, немедленном устранении, добровольном уведомлении РКН и отсутствии тяжких последствий.

«По реальному делу АС Москвы № А40-351064/2025: утечка более 100 000 субъектов (квалификация по ч. 14), но суд применил правила расчёта штрафа для ИП с учётом статуса организации как микропредприятия — итоговый штраф составил 400 000 ₽ вместо диапазона 10–15 млн ₽. Источник: ГАРАНТ.РУ, март 2026.»

Это первый верифицированный прецедент применения новых норм ФЗ-420. Он показывает: статус субъекта и правильно выстроенная процессуальная позиция способны сократить санкцию в десятки раз даже при самом тяжком составе из ч. 12–14.

Если CEO получил протокол по ч. 12 или ч. 13 ст. 13.11 — размер штрафа ещё не определён окончательно. Суд учитывает смягчающие обстоятельства, статус предприятия и инвестиции в ИБ. Юристы DATUM оспорят протокол и добьются минимальной санкции через арбитраж.

Защитить от штрафа 13.11

Практика применения ч. 12–13 в 2025–2026 годах: что показывают реальные дела?

По итогам 2025 года РКН зафиксировал 118 случаев компрометации баз персональных данных. Из них вынесено шесть административных постановлений по новым нормам ст. 13.11 (ФЗ-420) на общую сумму около 570 000 ₽. Регулятор и суды накапливают практику: применение новых норм идёт осторожно, со смягчениями и апелляциями к ст. 4.1 и 4.1.1 КоАП.

Кейс 1. Арбитражный суд Москвы рассмотрел дело оператора электронных сервисов (Центральный ФО, конец 2025 года). Утечка затронула около 70 000 субъектов после хакерской атаки — квалификация по ч. 14 ст. 13.11 (более 100 000 субъектов была заявлена первоначально). В ходе расследования компания доказала фактический масштаб в пределах 70 000 субъектов: состав перешёл в ч. 13. Суд применил смягчающие по ст. 4.1 КоАП и назначил штраф в нижней части диапазона ч. 13 — около 5 млн ₽.

Кейс 2. По делу № А56-4733/2026 (АС Санкт-Петербурга и Ленинградской области, март 2026 года) цифровая платформа допустила утечку около 70 000 субъектов — ФИО, должности, служебные контакты. Квалификация — ч. 14 ст. 13.11 КоАП. Суд применил смягчающие обстоятельства. Дело зафиксировано в публикации ГАРАНТ.РУ от 23.03.2026 как один из первых арбитражных прецедентов по ФЗ-420.

Что подготовить CEO для защиты позиции при квалификации по ч. 12–13

Технический отчёт о масштабе инцидента: точное число субъектов и идентификаторов с методологией подсчёта.
Журнал уведомлений РКН: первичное за 24 часа и итоговое за 72 часа по Приказу РКН №187 с подтверждением отправки.
Документы об инвестициях в информационную безопасность за последние три года (для применения примечания 3.4-2 к ст. 4.1 КоАП).
Свидетельства о статусе предприятия (микро, малое, среднее) — для применения ст. 4.1.1 КоАП при первичном нарушении.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и актуальная политика обработки по ст. 18.1 ФЗ-152.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей. За утечку ПДн предусмотрено три диапазона: ч. 12 (от 1 000 до 10 000 субъектов) — 3–5 млн ₽ для юрлица; ч. 13 (от 10 000 до 100 000 субъектов) — 5–10 млн ₽; ч. 14 (более 100 000 субъектов) — 10–15 млн ₽. При повторном нарушении по любому из этих составов применяется ч. 15 — оборотный штраф. Подсудность с 28.12.2025 — мировые судьи (ФЗ-508 от 28.12.2025).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП — это санкция, рассчитываемая как 1–3% совокупной выручки оператора за предшествующий календарный год. Не менее 20 млн ₽ и не более 500 млн ₽. Применяется только при повторном совершении нарушения по ч. 12, 13, 14, 16, 17, 18 или самой ч. 15. Скидка за досрочную уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется, когда расчётный размер штрафа (1–3% от выручки) оказывается ниже этой суммы. Например, выручка 500 млн ₽: 1% = 5 млн ₽ — применяется минимум 20 млн ₽. Если оператор подтвердил инвестиции в ИБ не менее 0,1% выручки за три года (примечание 3.4-2 к ст. 4.1 КоАП) — штраф исчисляется в 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

4. Можно ли заменить штраф на предупреждение?

Да, при соблюдении условий ст. 4.1.1 КоАП: нарушитель — микропредприятие или субъект МСП, нарушение совершено впервые, не причинён вред жизни и здоровью, отсутствует угроза чрезвычайных ситуаций. Замена возможна по ч. 12 и ч. 13 при первичном нарушении. Ч. 15 (оборотный) и ч. 18 прямо исключены из сферы действия ст. 4.1.1 КоАП.

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи. До этой даты — с 30.05.2025 по 27.12.2025 — подсудность была у арбитражных судов. ФЗ-508 от 28.12.2025 вернул дела в систему мировых судей. Это влияет на процессуальные сроки, порядок обжалования и практику применения смягчающих обстоятельств.

Итог

Разница между ч. 12 и ч. 13 ст. 13.11 КоАП — это прежде всего пороговое число субъектов (10 000) и разрыв в санкции до 7 млн ₽. Правильный подсчёт масштаба утечки, грамотное уведомление РКН в установленные сроки и своевременная работа со смягчающими обстоятельствами определяют, окажется ли компания у нижней или верхней границы санкции — или вовсе получит предупреждение вместо штрафа.

Юристы DATUM сопровождают операторов на всех стадиях: от технического подсчёта масштаба инцидента до обжалования постановления в суде. Практика по ст. 13.11 КоАП ведётся с момента вступления в силу ФЗ-420.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспорить протокол и постановление, применить ст. 4.1 и 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — выявить нарушения до проверки РКН, от 100 000 ₽.
Сопровождение проверок РКН — подготовка, представительство, обжалование предписания.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025, применение ст. 4.1 и 4.1.1 КоАП. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

12 января 2028 года