аналитика 21 января 2028 По состоянию на 21 января 2028

Доказательства мер защиты: что приобщить в дело

Доказательства мер защиты по ст. 19 ФЗ-152 — это документы, которые подтверждают: оператор принял организационные и технические меры до инцидента, а не после получения протокола.

С 30.05.2025 по ФЗ-420 штраф за утечку от 100 000 субъектов составляет 10–15 млн ₽, а повторный — 1–3% выручки, но не менее 20 млн ₽. Неподготовленная доказательная база лишает компанию доступа к смягчающим обстоятельствам по ст. 4.1 КоАП.

→ Если вы CEO и получили протокол по ст. 13.11 КоАП — собрать доказательства нужно до первого заседания, а не в день слушания.

С 30.05.2025 судебная и административная практика по ст. 13.11 КоАП формируется заново: ФЗ-420 от 30.11.2024 расширил состав с 7 до 18 частей и ввёл оборотный штраф. Подсудность дел с 28.12.2025 вернулась к мировым судьям (ФЗ-508). В этих условиях CEO, получивший протокол, сталкивается с задачей, которую нельзя решить в последний момент: доказать, что меры защиты существовали до инцидента. В этой статье — конкретный перечень документов, логика их представления и сценарии применения по составам ст. 13.11 КоАП.

Что понимается под мерами защиты в контексте ст. 13.11 КоАП?

Обязанность принимать меры защиты установлена ст. 19 ФЗ-152. Норма требует от оператора организационных и технических мер, обеспечивающих защиту персональных данных от несанкционированного доступа, уничтожения, изменения и распространения. Конкретный состав мер зависит от уровня защищённости, который определяется по ПП РФ №1119 от 01.11.2012, а технические требования установлены Приказом ФСТЭК №21 от 18.02.2013.

В административном производстве меры защиты имеют значение по двум основаниям. Первое — доказательство отсутствия умысла или грубой небрежности (влияет на квалификацию нарушения). Второе — смягчающие обстоятельства по ч. 2 ст. 4.1 КоАП: принятие мер по устранению вреда, добросовестность оператора. При повторном нарушении, когда применяется ч. 15 ст. 13.11 КоАП, доказательства инвестиций в ИБ позволяют применить Примечание 3.4-2 к ст. 4.1 КоАП: штраф снижается до 1/10 минимума, если расходы на информационную безопасность составляют не менее 0,1% совокупной выручки за три предшествующих года.

«Ст. 19 ФЗ-152 обязывает оператора применять правовые, организационные и технические меры или обеспечивать их применение для защиты ПДн. Перечень мер в зависимости от актуальных угроз и уровня защищённости — ПП РФ №1119 и Приказ ФСТЭК №21.»

На практике суды разграничивают два состояния: меры приняты до инцидента и зафиксированы документально — и меры «имелись», но подтвердить это нечем. Второй вариант при рассмотрении дел по ч. 12–15 ст. 13.11 КоАП равнозначен их отсутствию.

Получили протокол по ст. 13.11 — когда начинать готовить доказательную базу?

Доказательства мер защиты принимаются судом только если они относятся к периоду до инцидента. Документы, оформленные после вручения протокола, снижают доверие и не засчитываются как смягчающие. Если вы CEO и компания получила протокол — у вас 10–15 дней до первого заседания у мирового судьи. Юристы DATUM оценят ситуацию, отберут относимые доказательства и подготовят позицию для суда.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие документы составляют доказательную базу мер защиты?

Доказательная база делится на три группы: организационно-распорядительная документация, технические документы и финансовые подтверждения расходов на ИБ. Каждая группа закрывает отдельный элемент состава либо смягчающее обстоятельство.

Организационно-распорядительная документация (ОРД):

Политика обработки персональных данных с датой утверждения и подписью руководителя — закрывает ч. 3 ст. 13.11 КоАП и подтверждает наличие системного подхода.
Приказ о назначении лица, ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152), — устанавливает, что в компании существовал субъект ответственности до инцидента.
Инструкции и регламенты для сотрудников, имеющих доступ к ИСПДн, с листами ознакомления и датами подписания.
Журнал учёта обращений субъектов ПДн — подтверждает, что процессы соблюдения прав субъектов функционировали.
Акты о проведении внутренних проверок или самооценки соответствия требованиям ст. 18.1 ФЗ-152.

Технические документы:

Акт классификации информационной системы персональных данных (ИСПДн) с определением уровня защищённости по ПП РФ №1119 — устанавливает, что оператор осознавал масштаб обязательств.
Технический паспорт или описание ИСПДн с перечнем применённых мер защиты по Приказу ФСТЭК №21.
Договоры с подрядчиками по ИБ (пентест, SOC, SIEM) с актами выполненных работ — датированные до инцидента.
Отчёты по результатам тестирования на проникновение с датами и перечнем устранённых уязвимостей.
Лицензии на средства защиты информации (антивирус, межсетевой экран, DLP) и документы на их сертификацию.
Журналы событий безопасности и логи систем мониторинга за период до инцидента — при условии, что они свидетельствуют об активном мониторинге, а не только о факте инцидента.

Финансовые подтверждения:

Платёжные поручения, счета-фактуры, акты по расходам на ИБ за три предшествующих календарных года — для расчёта 0,1% порога по Примечанию 3.4-2 к ст. 4.1 КоАП.
Бюджетные планы с выделенной статьёй «информационная безопасность» — подтверждают системность, а не разовые затраты.
Договоры на страхование киберрисков (при наличии) — дополнительный сигнал о добросовестности.

Что подготовить до первого заседания

Политика обработки ПДн с датой утверждения до инцидента и подписью руководителя
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 и акт классификации ИСПДн
Договоры с ИБ-подрядчиками и акты выполненных работ, датированные до инцидента
Платёжные поручения по расходам на ИБ за три года (для применения Примечания 3.4-2 к ст. 4.1 КоАП)
Журналы мониторинга и логи с подтверждением активной работы системы защиты

Как работают смягчающие обстоятельства по ст. 4.1 и ст. 4.1.1 КоАП?

Статья 4.1 КоАП устанавливает общие правила назначения административного наказания. При наличии смягчающих обстоятельств судья вправе снизить штраф до минимума по части. Применительно к ст. 13.11 КоАП значимы три группы смягчающих: предотвращение вредных последствий, добровольное устранение нарушения и возмещение ущерба.

Примечание 3.4-2 к ст. 4.1 КоАП, введённое ФЗ-420, действует только для оборотных составов — ч. 15 и ч. 18 ст. 13.11 КоАП. Условие: расходы на ИБ за три предшествующих календарных года составляют не менее 0,1% совокупной выручки за тот же период. При выполнении условия штраф рассчитывается как 1/10 от минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для компании с выручкой 5 млрд ₽ разница между стандартным минимумом (20 млн ₽) и применением Примечания (15 млн ₽ при подтверждённых инвестициях) — 5 млн ₽. При выручке 30 млрд ₽ и стандартном штрафе в 900 млн ₽ (3% × 30 млрд, но не более 500 млн) — применение Примечания снижает сумму до 50 млн ₽.

«Примечание 3.4-2 к ст. 4.1 КоАП: при подтверждённых инвестициях в ИБ не менее 0,1% выручки за три года штраф по ч. 15 и ч. 18 ст. 13.11 снижается до 1/10 минимума — не менее 15 млн ₽ и не более 50 млн ₽. Верифицировано по ФЗ-420 от 30.11.2024.»

Статья 4.1.1 КоАП допускает замену штрафа предупреждением для микропредприятий и субъектов МСП при совокупности условий: отсутствие вреда жизни и здоровью, первичность нарушения, отсутствие угрозы ЧС. К составам ч. 15 и ч. 18 ст. 13.11 (оборотные) это правило не применяется. По остальным частям — возможно. Публичный кейс подтверждает: по делу о хищении базы работников менее 1 000 субъектов микропредприятие получило предупреждение вместо штрафа (обзор практики, апрель 2026).

Если вы CEO и хотите применить Примечание 3.4-2 к ст. 4.1 КоАП — нужно подтвердить расходы на ИБ за три года финансовыми документами до заседания. Юристы DATUM подготовят расчёт и соберут доказательную базу под конкретный состав.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. Торговая компания (Сибирский ФО, осень 2025) получила протокол по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов, штраф 3–5 млн ₽). Генеральный директор инициировал сбор доказательной базы за 12 дней до заседания. В дело были приобщены: политика обработки ПДн (утверждена за два года до инцидента), акт классификации ИСПДн по ПП РФ №1119, договор с ИБ-подрядчиком на проведение пентеста (акт приёмки за семь месяцев до инцидента), платёжные поручения за три года. Мировой судья назначил штраф на уровне минимума части, ниже стандартного расчёта. Применение ст. 4.1.1 было отклонено, поскольку компания не квалифицировалась как МСП. Тем не менее наличие полного пакета ОРД и финансовых подтверждений позволило избежать штрафа выше минимума.

Кейс 2. Технологическая компания (Северо-Западный ФО, начало 2026) столкнулась с протоколом по ч. 14 ст. 13.11 КоАП (утечка свыше 100 000 субъектов, штраф 10–15 млн ₽). Специализация компании предполагала значительные расходы на ИБ: SIEM, SOC-аутсорсинг, ежегодный пентест. Финансовые документы за три года подтвердили расходы выше 0,1% выручки. Через Примечание 3.4-2 к ст. 4.1 КоАП базовый штраф был заменён расчётом по 1/10 минимума. Итоговая сумма составила 15 млн ₽ — минимально допустимый уровень по Примечанию — вместо 10 млн ₽ по ч. 14, которые в данном случае оказались ниже. ⚠️ Номер дела и точная дата — менеджер уточняет при публикации.

Три сценария, в которых доказательная база определяет исход

Сценарий 1. Протокол по ч. 1 ст. 13.11 КоАП (незаконная обработка, 150–300 тыс. ₽). Ситуация: РКН установил обработку ПДн работников без надлежащего правового основания. Оператор утверждает, что основание было — договор с работником. Доказательства: трудовые договоры с перечнем передаваемых данных, политика обработки с перечнем оснований по ст. 6 ФЗ-152, согласия по форме ст. 9 ФЗ-152. Без документов суд квалифицирует ссылку на договор как голословную. Стратегия: сформировать пакет ОРД до заседания; при первичности и статусе МСП — ходатайствовать о применении ст. 4.1.1 КоАП.

Сценарий 2. Протокол по ч. 12–14 ст. 13.11 КоАП (утечка, от 3 до 15 млн ₽). Ситуация: утечка произошла через подрядчика по обработке данных. Оператор ссылается на вину подрядчика. Доказательства: договор поручения с перечнем обязанностей подрядчика по ст. 6 ч. 3 ФЗ-152, акты проверки подрядчика, переписка с требованиями об устранении уязвимостей. Вероятный исход при отсутствии договора поручения: ответственность оператора в полном объёме (принцип ВС РФ об ответственности за подрядчика). Стратегия: договор поручения — обязательный элемент пакета доказательств; подтвердить, что меры контроля за подрядчиком применялись.

Сценарий 3. Протокол по ч. 15 ст. 13.11 КоАП (оборотный, минимум 20 млн ₽). Ситуация: повторная утечка или повторный состав, квалифицированный по ч. 15. Доказательства инвестиций в ИБ позволяют применить Примечание 3.4-2. Расчёт: совокупная выручка за три года × 0,1% = пороговая сумма расходов на ИБ. Если расходы выше порога — штраф снижается до 1/10 минимума (15–50 млн ₽). Стратегия: собрать все платёжные документы по ИБ за три года, составить сводный расчёт, приобщить как отдельное доказательное приложение.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола, применение ст. 4.1 и 4.1.1 КоАП, подготовка доказательной базы
Аудит соответствия 152-ФЗ — проверка полноты ОРД и технических мер до инцидента или проверки РКН
Сопровождение проверок РКН — представление интересов при проверке, подготовка ответов на запросы инспектора

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей в редакции ФЗ-420 от 30.11.2024. Диапазоны для юридических лиц: ч. 1 — 150–300 тыс. ₽ (незаконная обработка), ч. 2 — 300–700 тыс. ₽ (отсутствие или ненадлежащее согласие), ч. 12 — 3–5 млн ₽ (утечка 1 000–10 000 субъектов), ч. 13 — 5–10 млн ₽ (утечка 10 000–100 000), ч. 14 — 10–15 млн ₽ (утечка свыше 100 000), ч. 15 — оборотный штраф (см. вопрос 2). Подсудность с 28.12.2025 — мировые судьи (ФЗ-508).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушения по ч. 12–14 лицом, ранее привлекавшимся по этим или смежным составам. Размер: 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка за досрочную уплату по ст. 32.2 КоАП к оборотному штрафу не применяется. Ч. 18 предусматривает аналогичный оборотный штраф для повторных нарушений по биометрическим составам (ч. 16–17).

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется, когда расчётная сумма 1–3% выручки оказывается ниже этого порога. Например, при выручке 500 млн ₽ и 1% сумма составит 5 млн ₽ — суд назначит минимум 20 млн ₽. При подтверждённых инвестициях в ИБ по Примечанию 3.4-2 к ст. 4.1 КоАП минимум снижается до 15 млн ₽.

4. Можно ли заменить штраф по ст. 13.11 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичности нарушения и отсутствии вреда. К оборотным составам — ч. 15 и ч. 18 ст. 13.11 — замена не применяется. По остальным частям — допустима при соблюдении всех условий. Публичная практика 2026 года подтверждает случаи замены по ч. 1 ст. 13.11 для микропредприятий.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Это важно для выбора процессуальной стратегии: апелляционная инстанция, сроки обжалования и требования к оформлению доказательств у мирового судьи и в арбитраже различаются.

Итог

Доказательства мер защиты — это не формальность, а условие доступа к смягчающим обстоятельствам по ст. 4.1 КоАП и к Примечанию 3.4-2 при оборотном штрафе. Документы, оформленные после вручения протокола, суд оценивает критически. Пакет ОРД, технические акты и финансовые подтверждения расходов на ИБ должны существовать до инцидента.

Практика DATUM по защите операторов ПДн от штрафов по ст. 13.11 КоАП охватывает составы от ч. 1 до ч. 15 — включая формирование доказательной базы, расчёт применимости Примечания 3.4-2 и представление интересов у мирового судьи.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр DATUM по взаимодействию с РКН и арбитражной защите. Специализация — обжалование протоколов и постановлений по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов. Подсудность после ФЗ-508 — мировые судьи.

21 января 2028 года