аналитика 22 января 2028 По состоянию на 22 января 2028

Доказательная база утечки именно биометрии

Биометрические персональные данные — это отдельная категория со специальным режимом защиты по ст. 11 152-ФЗ. Утечка биометрии влечёт штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП, а при повторности — оборотный штраф от 1% до 3% годовой выручки по ч. 18, но не менее 20 млн ₽ и не более 500 млн ₽.

С 30.05.2025 состав ст. 13.11 КоАП расширен до 18 частей (ФЗ-420 от 30.11.2024). Ч. 17 и ч. 18 выделены специально под биометрию. Если РКН квалифицирует инцидент как утечку биометрических ПДн — доказательная база определяет, получите ли вы штраф по ч. 17, оборотный по ч. 18, или дело будет переквалифицировано или прекращено.

→ Если вам вынесен протокол по ч. 17 или ч. 18 ст. 13.11 КоАП: позиция по доказательствам формируется в первые 10 дней. Юристы DATUM разбирают доказательную базу и строят защиту от штрафа.

Генеральный директор несёт репутационные и финансовые последствия, когда РКН предъявляет претензии именно по биометрии. Разница между штрафом 15–20 млн ₽ и оборотным взысканием в 1–3% выручки нередко зависит от одного вопроса: доказано ли, что утекли биометрические данные, а не иные категории ПДн. В этом материале — как строится доказательная база по таким делам в 2026 году, какие аргументы работают в пользу оператора и где суды находят слабые места позиции РКН.

Что считается биометрическими персональными данными по ст. 11 152-ФЗ?

Биометрические персональные данные — это физиологические и биологические характеристики человека, на основании которых можно установить его личность. Ст. 11 152-ФЗ относит к ним изображение лица и голос в случае, когда они используются для идентификации. Кроме того, к биометрии относятся дактилоскопические данные, радужная оболочка глаза, ДНК и иные характеристики, применяемые в целях установления личности субъекта.

Ключевой критерий — функциональный: данные являются биометрическими, если оператор использует их именно для идентификации конкретного лица. Обычная фотография в личном деле сотрудника или скан паспорта — не биометрия, если компания не применяет систему распознавания лиц. Это разграничение принципиально для доказательной базы: сторона обвинения обязана доказать, что данные использовались или предназначались для идентификации, а не просто хранились.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия субъекта, за исключением случаев, прямо установленных законом. При этом размещение биометрии в ЕБС регулируется отдельно — ФЗ-572 от 29.12.2022.»

На практике ошибочная квалификация данных как биометрических встречается в двух ситуациях. Во-первых, когда оператор хранит фотографии для целей, не связанных с идентификацией (кадровый учёт, визовые документы). Во-вторых, когда видеозаписи с камер наблюдения попадают в категорию биометрии только из-за наличия изображений лиц. В обоих случаях грамотно выстроенная доказательная позиция позволяет оспорить квалификацию по ч. 17 ст. 13.11 КоАП.

Как РКН формирует доказательную базу утечки биометрии?

Роскомнадзор возбуждает дело по ч. 17 ст. 13.11 КоАП при наличии нескольких элементов. Первый — факт утечки: неправомерный доступ, распространение или иное несанкционированное действие с данными, зафиксированное через жалобы субъектов, данные из даркнета, сообщения СМИ или собственный мониторинг РКН. Второй — принадлежность данных конкретному оператору: технические метаданные, структура базы, наличие уникальных идентификаторов. Третий — биометрический характер данных: содержание файлов, формат хранения, назначение системы.

В качестве доказательств регулятор использует: образцы данных из выявленных баз, технические заключения экспертов, документацию оператора об используемых системах, уведомление оператора по Приказу РКН №187, результаты внеплановой проверки. Уязвимое место позиции РКН — доказательство именно биометрической природы данных. Если в утечке оказались файлы изображений без подтверждения факта их применения для идентификации — квалификация по ч. 17 оспорима.

Получили протокол по ч. 17 ст. 13.11 КоАП?

Для генерального директора протокол по ч. 17 означает минимум 15 млн ₽ штрафа для компании. Срок на подготовку возражений — 10 дней с момента вручения. Если доказательная база РКН неполна или квалификация данных как биометрических вызывает сомнения — это основание для оспаривания. Позиция, выстроенная после вступления постановления в силу, менее эффективна, чем возражения на стадии протокола.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие контраргументы работают при оспаривании квалификации по ч. 17?

Защитная позиция строится по нескольким направлениям. Первое — оспаривание биометрического характера данных. Если оператор докажет, что изображения лиц хранились исключительно для кадровых или документальных целей без применения систем идентификации — состав ч. 17 отсутствует. Требуется техническая документация: регламент системы видеонаблюдения или СКУД, отсутствие модуля распознавания лиц, приказ об ограниченном использовании данных.

Второе направление — оспаривание принадлежности базы данному оператору. На практике данные из крупных утечек агрегируются из разных источников. Если в базе из даркнета содержатся данные, которые технически не могли появиться из систем оператора — это необходимо доказать через лог-анализ, аудит систем хранения, заключение специалиста по ИБ. Третье — доказательство достаточности мер защиты. Ст. 19 152-ФЗ обязывает принять организационные и технические меры защиты. Если оператор соответствовал УЗ-3 или УЗ-2 по ПП РФ №1119 и применял меры по Приказу ФСТЭК №21 — это смягчающее обстоятельство по ст. 4.1 КоАП.

Что подготовить для защиты по ч. 17 ст. 13.11 КоАП

Техническая документация информационных систем: назначение, состав обрабатываемых данных, наличие или отсутствие функции биометрической идентификации.
Журналы доступа к биометрическим данным за период, предшествующий инциденту: кто, когда, с каких IP-адресов обращался к системе.
Уведомление РКН об инциденте по Приказу №187 с фиксацией времени отправки (24 и 72 часа).
Документы об уровне защищённости ИСПДн: акт классификации по ПП РФ №1119, отчёт о выполнении мер по Приказу ФСТЭК №21.
Согласия субъектов на обработку биометрических ПДн по ст. 11 152-ФЗ с подтверждением письменной формы.

Когда применяется оборотный штраф по ч. 18 ст. 13.11 КоАП?

Оборотный штраф по ч. 18 применяется при повторном нарушении по ч. 16 или ч. 17 ст. 13.11 КоАП. Размер — от 1% до 3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Для крупного бизнеса с выручкой от 5 млрд ₽ это означает штраф от 50 млн до 150 млн ₽ при 1% — и до 500 млн ₽ при 3%. Расчёт ведётся от совокупной выручки по всем видам деятельности, а не только от оборота направления, связанного с биометрией.

«Ч. 18 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — оборотный штраф за повторное нарушение при обработке биометрии: 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.»

Важный инструмент снижения: примечание 3.4-2 к ст. 4.1 КоАП. При подтверждённых инвестициях в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для компании с выручкой 3 млрд ₽ это разница между 30 млн и 15 млн ₽. Расходы на ИБ необходимо документировать заблаговременно: в момент проверки реестр расходов восстановить значительно сложнее.

Если компания уже привлекалась к ответственности по ч. 17 ст. 13.11 КоАП и возник повторный инцидент — оборотный штраф по ч. 18 применяется автоматически при доказанности повторности. Позиция по расходам на ИБ за три года — ключевой аргумент снижения суммы до 15–50 млн ₽ по ст. 4.1 КоАП.

Защитить от штрафа 13.11

Как выглядит доказательная база в реальных делах?

Кейс 1. В деле торговой сети (Центральный ФО, лето 2025) из утечки следовало, что оператор хранил файлы изображений лиц из системы СКУД. РКН квалифицировал данные как биометрические и возбудил дело по ч. 17 ст. 13.11. Защита представила документацию производителя оборудования, подтверждающую, что система использовала PIN-коды и proximity-карты как основной метод идентификации, а изображения хранились как вспомогательные записи без функции автоматического распознавания. Арбитражный суд региона переквалифицировал дело по ч. 13 ст. 13.11 (утечка от 10 000 до 100 000 субъектов без биометрии) — штраф снизился с диапазона 15–20 млн ₽ до диапазона 5–10 млн ₽. Технические документы на систему стали ключевым доказательством.

Кейс 2. В деле финансовой организации (Северо-Западный ФО, осень 2025), работавшей с биометрией для дистанционной верификации клиентов, утечка содержала фотографии лиц, использовавшиеся в системе ЕБС и собственном решении верификации. Протокол по ч. 17 ст. 13.11 оспорить не удалось — биометрический характер данных подтверждался внутренней документацией оператора. Однако юристы представили доказательства расходов на ИБ за три года в размере, превышающем 0,1% выручки, и добились применения примечания к ст. 4.1 КоАП — штраф снизился до минимума в 15 млн ₽ вместо расчётных 60 млн ₽.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1, снижение оборотного штрафа.
Аудит соответствия 152-ФЗ — проверка классификации ПДн, документирование мер защиты, формирование доказательной базы до проверки РКН.
Сопровождение проверок РКН — подготовка к внеплановой проверке, представление интересов в регуляторе, ответы на запросы.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. За утечку биометрических ПДн — ч. 17: штраф для юрлица 15–20 млн ₽. За утечку общих ПДн в зависимости от масштаба: от 1 000 до 10 000 субъектов (ч. 12) — 3–5 млн ₽; от 10 000 до 100 000 субъектов (ч. 13) — 5–10 млн ₽; более 100 000 субъектов (ч. 14) — 10–15 млн ₽. За неуведомление РКН об утечке в 24 часа (ч. 11) — 1–3 млн ₽. Подсудность с 28.12.2025 — мировые судьи (ФЗ-508).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке общих ПДн (ч. 12–14), по ч. 18 — при повторной утечке биометрии (ч. 16–17). Размер — 1% до 3% совокупной годовой выручки оператора за предшествующий календарный год. Минимум — 20 млн ₽, максимум — 500 млн ₽. Повторность определяется как совершение нарушения лицом, ранее привлекавшимся к ответственности по соответствующим частям ст. 13.11 КоАП.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ установлен для оборотных составов — ч. 15 и ч. 18 ст. 13.11 КоАП. Он применяется, когда расчётный штраф в 1–3% от выручки оказывается ниже этой суммы. Например, при выручке 500 млн ₽ и ставке 1% расчёт даст 5 млн ₽, но назначат не менее 20 млн ₽. Снижение до 15 млн ₽ возможно через примечание к ст. 4.1 КоАП при подтверждённых инвестициях в ИБ не менее 0,1% выручки за три года — итоговая сумма не менее 15 млн ₽ и не более 50 млн ₽.

4. Можно ли заменить штраф на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда. Однако к оборотным составам — ч. 15 и ч. 18 ст. 13.11 КоАП — эта норма не применяется. При первичном нарушении по ч. 17 (утечка биометрии, штраф 15–20 млн ₽) замена на предупреждение для МСП теоретически возможна, но практика формируется. По делам без статуса МСП единственный путь снижения — ст. 4.1 КоАП (инвестиции в ИБ) или переквалификация состава.

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 подсудность была передана арбитражным судам, что создавало процессуальную неопределённость для ряда дел. Дела, возбуждённые в переходный период и не завершённые до 28.12.2025, продолжают рассматриваться в том суде, который принял их к производству. Обжалование постановлений мировых судей — в районный суд.

Итог

Доказательная база по утечке биометрических ПДн определяет квалификацию нарушения и размер штрафа. Разница между штрафом по ч. 13 ст. 13.11 (5–10 млн ₽) и штрафом по ч. 17 (15–20 млн ₽) или оборотным по ч. 18 (от 20 млн ₽) зависит от того, доказан ли биометрический характер данных и применяла ли компания их для идентификации.

Юристы DATUM сопровождают споры по ст. 13.11 КоАП на стадии протокола, постановления и обжалования в мировом суде. Документирование мер защиты и расходов на ИБ — часть подготовки к возможной проверке задолго до инцидента.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.