Перейти к содержанию
аналитика 9 января 2028 По состоянию на 9 января 2028

Как доказать законность обработки против ч. 1 ст. 13.11

Часть 1 ст. 13.11 КоАП в редакции с 30.05.2025 — штраф для юрлица от 150 000 до 300 000 ₽ за обработку персональных данных без надлежащего правового основания или в целях, несовместимых с заявленными.
С введением ФЗ-420 от 30.11.2024 повторное нарушение по ч. 1.1 грозит уже 300 000–500 000 ₽. Если параллельно выявлена утечка — подключаются ч. 12–15 с оборотным штрафом до 500 млн ₽.
Если вы CEO и ваша компания получила протокол РКН по ч. 1 ст. 13.11 — у вас есть стратегия защиты, но её нужно выстроить до суда. → Оценим позицию за 24 часа.

Роскомнадзор проверяет не только факт наличия политики конфиденциальности, но и то, есть ли у каждой операции с персональными данными конкретное правовое основание из ст. 6 ФЗ-152. Отсутствие такого основания — самостоятельный состав нарушения по ч. 1 ст. 13.11 КоАП. В 2025 году регулятор возбудил по этой части существенную долю дел, при этом суды всё чаще отказывают в замене штрафа на предупреждение крупным операторам. В этом материале — алгоритм доказывания законности обработки и стратегия защиты для генерального директора.

Что именно нарушает ч. 1 ст. 13.11 и почему CEO несёт риск лично?

Часть 1 ст. 13.11 КоАП в редакции с 30.05.2025 охватывает два самостоятельных состава. Первый — обработка персональных данных в случаях, прямо не предусмотренных законом. Второй — обработка в целях, несовместимых с теми, ради которых данные были собраны (принцип ограничения цели по ст. 5 ФЗ-152).

Для генерального директора риск не ограничивается штрафом на юрлицо. Должностное лицо по той же части получает отдельный штраф (конкретный диапазон — верифицировать перед публикацией по полному тексту КоАП). При повторном нарушении по ч. 1.1 штраф на юрлицо вырастает до 300 000–500 000 ₽. Если обработка без оснований сопряжена с утечкой данных — квалификация переходит в ч. 12–14 ст. 13.11, а при повторности — в оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 1 КоАП (ред. с 30.05.2025) — обработка ПДн в случаях, не предусмотренных законом, или несовместимая с целями: штраф для юрлица 150 000–300 000 ₽; ч. 1.1 — повторное нарушение: 300 000–500 000 ₽; ч. 15 — оборотный за повторную утечку: 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.»

С декабря 2024 года действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024): незаконное использование, передача или хранение компьютерной информации с персональными данными. По ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Это означает, что необоснованная обработка, квалифицированная как умышленная, создаёт уголовный риск для конкретных физических лиц, включая руководителя.

Получили протокол по ч. 1 ст. 13.11 — что делать в первые 48 часов?

Если РКН составил протокол, позиция защиты формируется до первого заседания. Срок на подачу объяснений и доказательств ограничен. Юристы DATUM оценят основания привлечения, выявят процессуальные нарушения при проведении проверки и подготовят правовую позицию — включая возможность применения ст. 4.1 и ст. 4.1.1 КоАП.

Защитить от штрафа по 13.11

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие правовые основания ст. 6 ФЗ-152 реально работают в суде?

Статья 6 ФЗ-152 устанавливает 11 оснований для законной обработки персональных данных. На практике в спорах по ч. 1 ст. 13.11 суды и РКН проверяют три ключевых вопроса: есть ли основание, зафиксировано ли оно документально и соответствует ли объём обрабатываемых данных заявленной цели.

Наиболее распространённые основания в корпоративной практике:

  • Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152) — требует письменного оформления с обязательными реквизитами по ст. 9. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом — не может быть встроено в договор или политику конфиденциальности.
  • Исполнение договора с субъектом (п. 5 ч. 1 ст. 6) — применимо только к данным, необходимым для исполнения конкретного договора. Сбор «на перспективу» этим основанием не покрывается.
  • Исполнение обязанности, предусмотренной законом (п. 2 ч. 1 ст. 6) — требует ссылки на конкретную норму закона, возлагающую обязанность на оператора. Расплывчатая формулировка «в соответствии с законодательством» не принимается.
  • Законный интерес оператора (п. 7 ч. 1 ст. 6) — применяется при соблюдении баланса интересов: интерес оператора не должен подавлять права субъекта. На практике РКН оспаривает этот пункт чаще других — доказывание требует развёрнутого обоснования.

Для целей доказывания в суде критично следующее: основание должно существовать до начала обработки, а не быть подобрано ретроспективно после проверки. Документальное подтверждение — приказы, регламенты, соглашения с субъектами — должно быть датировано раньше момента, который РКН квалифицирует как нарушение.

«Ст. 5 ФЗ-152 — принцип соответствия: обработка допускается только в объёме, совместимом с целями, указанными при сборе данных. Объединение баз с несовместимыми целями — самостоятельное нарушение.»

Как выстроить доказательную базу до суда?

Доказывание законности обработки в делах по ч. 1 ст. 13.11 строится на четырёх элементах: наличие правового основания, документальное подтверждение, соответствие объёма цели и надлежащее уведомление РКН по ст. 22 ФЗ-152.

Что подготовить для защиты по ч. 1 ст. 13.11

  • Актуальное уведомление в реестре РКН (pd.rkn.gov.ru) с перечнем оснований обработки по каждой цели — проверить соответствие фактической обработке.
  • Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152 — цели, основания, категории, сроки хранения по каждому виду обработки.
  • Пакет действующих согласий субъектов (для оснований по п. 1 ст. 6) — отдельные документы по требованиям ФЗ-156 с 01.09.2025.
  • Перечень договоров, на исполнение которых ссылается оператор (основание п. 5 ст. 6) — с указанием, какие данные нужны для каждого договора.
  • Журнал учёта обработки ПДн и приказ о назначении ответственного по ст. 22.1 ФЗ-152 — датированный до момента нарушения.

Отдельного внимания требует вопрос поручения обработки третьим лицам (п. 3 ст. 6 ФЗ-152). Если данные передавались подрядчику — маркетинговому агентству, IT-поставщику, аутсорсеру расчёта зарплат — без надлежащего соглашения об обработке данных, это самостоятельное основание по ч. 1 ст. 13.11 дополнительно к нарушению по основной цели. По сложившейся практике оператор отвечает за действия подрядчика как за собственные.

Если вы CEO и ваша компания работает с подрядчиками, обрабатывающими ПДн клиентов или сотрудников, — проверьте, есть ли договоры поручения по п. 3 ст. 6 ФЗ-152. Отсутствие каждого такого соглашения — отдельный состав нарушения.

Заказать аудит 152-ФЗ

Как применяются ст. 4.1 и ст. 4.1.1 КоАП при защите от штрафа?

Статья 4.1 КоАП предусматривает механизм снижения оборотного штрафа для операторов, которые инвестируют в информационную безопасность. Согласно примечанию 3.4-2 к ст. 4.1 КоАП, при документально подтверждённых инвестициях в ИБ не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15 и ч. 18 ст. 13.11) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.

Это означает, что для крупного оператора с выручкой 10 млрд ₽ оборотный штраф минимум 20 млн ₽ при выполнении условия по инвестициям снижается до 15 млн ₽. Документировать инвестиции нужно заблаговременно — суды не принимают ретроспективные расчёты без первичной документации.

Статья 4.1.1 КоАП допускает замену штрафа на предупреждение для микропредприятий и субъектов МСП при первичном нарушении и отсутствии имущественного вреда. Однако эта норма не применяется к оборотным составам (ч. 15 и ч. 18). По ч. 1 ст. 13.11 замена возможна, но суды отказывают в ней, если оператор не доказал, что нарушение было случайным и устранено.

«Ст. 4.1 КоАП, примечание 3.4-2 — при инвестициях в ИБ не менее 0,1% выручки за 3 года оборотный штраф по ч. 15 и ч. 18 ст. 13.11 снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.»

Три типовых сценария: как развиваются дела по ч. 1 ст. 13.11

Сценарий 1. Плановая проверка — уведомление устарело. Компания стоит в реестре операторов РКН, но за два года расширила продуктовую линейку: добавила мобильное приложение с геолокацией и сервис рассылок. В реестр изменения не вносились. РКН при плановой проверке устанавливает расхождение между заявленными основаниями обработки и фактической. Итог — протокол по ч. 1 ст. 13.11 (150 000–300 000 ₽). Стратегия: подать уведомление об изменении сведений в РКН до заседания суда, представить доказательства добросовестности и устранения. Это позволяет применить ст. 4.1.1 КоАП для замены на предупреждение либо снизить штраф до минимума.

Сценарий 2. Жалоба субъекта — нет правового основания для маркетинговой рассылки. Клиент получал рекламные письма и подал жалобу в РКН, указав, что согласия на рассылку не давал. РКН возбуждает дело по ч. 1 ст. 13.11 (обработка — отправка рекламы — без основания) и по ч. 2 (обработка без согласия, если оно требуется). Параллельная квалификация по двум частям не исключена. Стратегия: доказать наличие согласия на дату отправки (скриншоты формы, лог базы данных с датой подписки), либо обосновать законный интерес по п. 7 ч. 1 ст. 6 ФЗ-152 с документом об оценке баланса интересов.

Сценарий 3. Внеплановая проверка после публичной утечки. СМИ сообщают об утечке клиентской базы. РКН инициирует внеплановую проверку. При проверке выясняется: данные обрабатывались без обновлённого уведомления в реестре. Квалификация: ч. 1 ст. 13.11 (обработка без основания) + ч. 12 или ч. 13 ст. 13.11 (утечка). При наличии предыдущего дела по ч. 12–14 — риск оборотного штрафа по ч. 15. Стратегия: разграничить составы процессуально, минимизировать доказанный объём утечки, зафиксировать инвестиции в ИБ для применения льготы по ст. 4.1 КоАП, оспорить соразмерность штрафа.

Что говорит практика 2025–2026 годов?

Кейс 1. В деле Арбитражного суда Москвы (дело № А40-263126/2025) оператор получил штраф в размере 150 000 ₽ при утечке 26 миллионов записей. Причина минимального штрафа — утечка произошла до 30.05.2025, поэтому применялись нормы ст. 13.11 в редакции до ФЗ-420. Это дело показывает: переходный период завершился, и с 30.05.2025 те же обстоятельства влекут принципиально иные суммы по новым частям статьи.

Кейс 2. В деле о повторной проверке торговой компании (Центральный ФО, начало 2026 года) генеральный директор представил в суд расчёт инвестиций в ИБ за три года с подтверждающими договорами и актами. Суд применил льготу по ст. 4.1 КоАП и снизил размер штрафа по оборотному составу до порогового значения в 15 млн ₽ вместо расчётного 40 млн ₽. Доказательная база была подготовлена заблаговременно — за шесть месяцев до проверки.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 вступила в силу редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024. Статья расширена с 7 до 18 частей. По ч. 1 (обработка без основания или несовместимая с целями) — штраф для юрлица 150 000–300 000 ₽; по ч. 1.1 (повторно) — 300 000–500 000 ₽. Утечка от 1 000 субъектов — ч. 12, от 10 000 — ч. 13, свыше 100 000 — ч. 14 (до 15 млн ₽). Неуведомление об утечке за 24 часа — ч. 11 (1–3 млн ₽).

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушений по ч. 12–14 (крупные утечки) лицом, ранее уже привлекавшимся по этим частям. Размер — 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 1 млрд ₽ это означает 10–30 млн ₽, но применяется нижний порог в 20 млн ₽. Стандартная скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ срабатывает, когда расчётный штраф (1–3% выручки) оказывается ниже этой суммы. Например, при выручке 500 млн ₽ расчётный минимум составит 5 млн ₽ — но применяется порог 20 млн ₽. Снизить его можно только через механизм ст. 4.1 КоАП: при инвестициях в ИБ не менее 0,1% выручки за три года штраф снижается до 1/10 минимума, но не менее 15 млн ₽. Иных оснований для выхода ниже 20 млн ₽ по ч. 15 ст. 13.11 нет.

4. Можно ли заменить штраф по ст. 13.11 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП допустима для микропредприятий и субъектов МСП при первичном нарушении и отсутствии имущественного вреда. Она возможна по ч. 1–7 ст. 13.11, но не применяется к оборотным составам ч. 15 и ч. 18. На практике суды удовлетворяют такие ходатайства при наличии устраненного нарушения и добросовестного поведения оператора. Крупным компаниям, не относящимся к МСП, эта норма недоступна.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

До 28.12.2025 дела по ст. 13.11 КоАП (в новой редакции с 30.05.2025) рассматривали арбитражные суды. С принятием ФЗ-508 от 28.12.2025 подсудность возвращена мировым судьям. Это практически важно: срок обжалования, процессуальный порядок и возможности представления доказательств у мировых судей отличаются от арбитражного процесса. Жалобы на постановления мировых судей подаются в районный суд.

Итог

Доказывание законности обработки по ч. 1 ст. 13.11 КоАП — это не разовое действие перед проверкой, а система: актуальное уведомление в реестре РКН, документированные правовые основания по каждой цели обработки, согласия в форме отдельных документов с 01.09.2025, договоры поручения с подрядчиками. С 30.05.2025 цена несистемного подхода выросла многократно: повторное нарушение при крупной утечке — это оборотный штраф минимум 20 млн ₽ без права на скидку.

DATUM сопровождает операторов в делах по ст. 13.11 КоАП с момента получения протокола до вступления постановления в силу — включая применение льгот по ст. 4.1 и ст. 4.1.1 КоАП и оспаривание в судах общей юрисдикции после ФЗ-508.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.

9 января 2028 года