аналитика 21 января 2028 По состоянию на 21 января 2028

Какие меры защиты помогают избежать ч. 13

Ч. 13 ст. 13.11 КоАП — штраф 5–10 млн ₽ за утечку ПДн от 10 000 до 100 000 субъектов. Повторное нарушение переводит в оборотный состав: 1–3% выручки, минимум 20 млн ₽.

С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024. Суды рассматривают дела у мировых судей (ФЗ-508 от 28.12.2025). Регулятор накапливает практику: шесть штрафов назначено в 2025 году, следующие дела — уже по новым ставкам.

Если вы CEO и задаётесь вопросом, какие меры защиты помогают избежать ч. 13, — эта статья даёт конкретный ответ: организационный пакет, технический стек и арбитражные инструменты снижения санкций.

Штраф в 5–10 млн ₽ по ч. 13 ст. 13.11 КоАП применяется к оператору, допустившему утечку от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 уникальных идентификаторов. При повторности — ч. 15, оборотный штраф до 500 млн ₽. Ниже — последовательность мер, которая позволяет либо предотвратить событие, либо минимизировать санкцию, если оно произошло.

Что именно карает ч. 13 ст. 13.11 КоАП и почему это касается CEO?

Состав ч. 13 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 фиксирует утечку как самостоятельное основание ответственности — независимо от того, было ли у оператора уведомление в реестре РКН и каков был умысел. Сумма штрафа для юридического лица — 5–10 млн ₽. Обязательный элемент состава — масштаб: от 10 000 до 100 000 субъектов (либо от 100 000 до 1 000 000 идентификаторов).

«Ст. 13.11 ч. 13 КоАП (ред. с 30.05.2025) — утечка ПДн от 10 000 до 100 000 субъектов или 100 000–1 000 000 идентификаторов: штраф для юрлица 5 000 000–10 000 000 ₽.»

Генеральный директор несёт ответственность не только как руководитель, подписывающий документы, но и как лицо, утверждающее бюджет на ИБ. Если инвестиции в защиту данных не достигают 0,1% совокупной выручки за три предшествующих года — на смягчение по ст. 4.1 КоАП рассчитывать не стоит. Этот порог прямо закреплён в примечании к ст. 4.1 КоАП (введено ФЗ-420): при его соблюдении оборотный штраф по ч. 15 снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

Ключевой риск для CEO — повторность. Если компания уже привлекалась по ч. 12–14, следующая утечка автоматически переходит в ч. 15 (оборотный). Размер: 1–3% совокупной годовой выручки за прошлый календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотным составам не применяется.

Какие организационные меры снижают риск по ч. 13 до проверки?

Роскомнадзор при плановой проверке и при рассмотрении дела об утечке смотрит прежде всего на документальную основу. Отсутствие документов не заменяется устными объяснениями. Минимально необходимый организационный пакет включает несколько обязательных элементов.

Что подготовить до проверки РКН

Уведомление в реестре операторов ПДн (ст. 22 ФЗ-152) — актуальное, с корректным перечнем обрабатываемых категорий и целей.
Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте, содержит все обязательные разделы.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 — с должностной инструкцией и подписью.
Регламент реагирования на инциденты — с обязанностью уведомления РКН за 24 часа (ч. 3.1 ст. 21 ФЗ-152) и отчёта за 72 часа (Приказ РКН №187).
Журнал учёта обращений субъектов и журнал инцидентов — заполненные, не пустые формы.

Помимо пакета документов, организационные меры включают разграничение доступа к базам ПДн по принципу минимальных привилегий, ежегодное обучение сотрудников нормам ФЗ-152 с фиксацией в ведомостях и регулярный внутренний аудит соответствия — минимум один раз в год. По данным СерчИнформ за 2025 год, 55% уголовных дел об утечках связаны с действиями сотрудников телекомпаний — инсайдерская угроза остаётся основной. Организационный контроль здесь работает наравне с техническим.

Ваша компания обрабатывает данные десятков тысяч клиентов?

Если вы CEO и объём обрабатываемых ПДн превышает 10 000 субъектов — ваша компания уже попадает в диапазон ч. 13 ст. 13.11 КоАП при любой утечке. Документальный пакет и технические меры должны быть готовы до инцидента, а не после. Промедление сужает пространство для смягчения санкции.

Защитить от штрафа по 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие технические меры снижают вероятность утечки и её масштаб?

Технические меры защиты регулируются двумя документами: ПП РФ №1119 от 01.11.2012 (уровни защищённости УЗ-1...УЗ-4) и Приказом ФСТЭК №21 от 18.02.2013 (109 мер в 15 группах). Для большинства коммерческих операторов с обычными категориями ПДн и типом угрозы 3 применяется УЗ-3 или УЗ-4 — в зависимости от числа субъектов. При превышении 100 000 субъектов — УЗ-3 как минимум.

«ПП РФ №1119 — при обработке общих ПДн, типе угрозы 3 и числе субъектов более 100 000 устанавливается уровень защищённости УЗ-3. Базовый набор мер ФСТЭК — по Приказу №21.»

Приоритетные технические меры, влияющие на масштаб утечки:

Сегментация сети и изоляция баз ПДн — ограничивает распространение при компрометации одного сегмента.
Шифрование хранимых данных и резервных копий — делает утечку зашифрованных данных менее опасной с точки зрения фактического вреда субъектам.
Системы предотвращения утечек (DLP) — фиксируют попытки несанкционированного извлечения данных, обеспечивают доказательную базу для расследования.
Централизованное логирование и SIEM — сокращает время обнаружения инцидента: чем раньше зафиксирован факт, тем больше шансов уложиться в 24-часовой срок уведомления РКН.
Псевдонимизация и обезличивание в аналитических системах — снижает число субъектов, чьи идентифицируемые данные реально пострадали; это влияет на квалификацию по ч. 12, 13 или 14.

Практическое значение имеет не просто наличие средств защиты, а их документированное внедрение. При рассмотрении дела оператор вправе представить в суд акты ввода в эксплуатацию, отчёты сканирования уязвимостей, протоколы пентестов — как доказательства реальных инвестиций в ИБ. Это прямо влияет на применение ст. 4.1 КоАП при назначении санкции.

Как реагирование за 24/72 часа влияет на размер штрафа по ч. 13?

Ч. 3.1 ст. 21 ФЗ-152 обязывает оператора уведомить РКН о выявленном инциденте в течение 24 часов с момента обнаружения, а через 72 часа — представить результаты внутреннего расследования (Приказ РКН №187 от 14.11.2022). Неуведомление или просрочка — отдельный состав по ч. 11 ст. 13.11 КоАП: штраф 1–3 млн ₽ дополнительно к штрафу за саму утечку.

Своевременное уведомление само по себе не снимает ответственность по ч. 12–14. Однако оно создаёт условия для применения смягчающих обстоятельств по ст. 4.1 КоАП: добровольное сообщение о правонарушении, содействие расследованию, принятие мер по устранению последствий. Совокупность этих обстоятельств позволяет суду снизить штраф до нижней границы диапазона (5 млн ₽ по ч. 13) или применить минимум по ч. 15 с учётом инвестиционного порога.

Отдельный инструмент — ст. 4.1.1 КоАП. Она позволяет заменить штраф предупреждением для микропредприятий и малых предприятий при отсутствии причинённого вреда и первичности нарушения. К оборотным составам (ч. 15, ч. 18) эта замена не применяется. Для ч. 13 при соответствии критериям — применима.

Если инцидент уже произошёл — 24 часа на первичное уведомление РКН не восстанавливаются. Каждый час без уведомления добавляет риск штрафа 1–3 млн ₽ по ч. 11 ст. 13.11 поверх санкции по ч. 13. Юристы DATUM возьмут реагирование: уведомление, координация расследования, 72-часовой отчёт.

Защитить от штрафа по 13.11

Как выглядит практика применения ч. 13 ст. 13.11 КоАП в 2025–2026 годах?

Кейс 1. В деле крупного регионального ретейлера (Поволжский ФО, осень 2025) утечка затронула около 60 000 записей клиентов через уязвимость в CRM. Оператор уведомил РКН в течение 20 часов, представил 72-часовой отчёт, приложил документацию по внедрённым мерам защиты. Мировой суд квалифицировал нарушение по ч. 13 ст. 13.11 и назначил штраф в нижней части диапазона — 5 млн ₽ — с учётом смягчающих обстоятельств по ст. 4.1 КоАП. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2 (из реестра практики). АС Санкт-Петербурга и Ленинградской области рассмотрел дело цифровой платформы, где утечка затронула около 70 000 субъектов — ФИО, должности, служебные контакты. Нарушение квалифицировано по ч. 14 ст. 13.11 КоАП (более 100 000 субъектов по совокупности идентификаторов). Суд применил смягчающие обстоятельства. Это дело иллюстрирует, что граница между ч. 13 и ч. 14 нередко определяется числом уникальных идентификаторов, а не субъектов — разрыв в 30 000 записей привёл к переходу в более тяжкий состав.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1
Аудит соответствия 152-ФЗ — проверка документов, процессов и технических мер по 38-пунктному чек-листу
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 действует редакция ст. 13.11 КоАП, введённая ФЗ-420 от 30.11.2024. Статья расширена до 18 частей. За утечку от 1 000 до 10 000 субъектов — ч. 12 (3–5 млн ₽), от 10 000 до 100 000 — ч. 13 (5–10 млн ₽), свыше 100 000 — ч. 14 (10–15 млн ₽). Повторное нарушение по ч. 12–14 — ч. 15 (1–3% выручки, минимум 20 млн ₽, максимум 500 млн ₽). Дела с 28.12.2025 рассматривают мировые судьи (ФЗ-508 от 28.12.2025).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП исчисляется как 1–3% совокупной выручки оператора за предшествующий календарный год. Минимум — 20 млн ₽, максимум — 500 млн ₽. Применяется при повторном нарушении: если компания ранее привлекалась по ч. 12, 13, 14, 15, 16, 17 или 18 той же статьи. Скидка 50% за досрочную уплату (ст. 32.2 КоАП) к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется в случае, если 1% совокупной выручки оказывается ниже этой суммы. Для компаний с годовой выручкой до 2 млрд ₽ реальный штраф будет именно 20 млн ₽ — потолок в 3% и максимум 500 млн ₽ при этом значения не имеют. Если же оператор инвестировал в ИБ не менее 0,1% совокупной выручки за три года, штраф может быть снижен до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽ (ст. 4.1 КоАП, примечание ФЗ-420).

4. Можно ли заменить штраф на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов малого предпринимательства при первичности нарушения и отсутствии реального вреда субъектам ПДн. Для ч. 13 ст. 13.11 эта замена применима. Для оборотных составов — ч. 15 и ч. 18 — замена на предупреждение законом исключена. В 2025 году зафиксирован как минимум один случай применения ст. 4.1.1 по схожему составу для микропредприятия.

5. Какая подсудность дел после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела об административных правонарушениях по ст. 13.11 КоАП вновь переданы мировым судьям (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 такие дела рассматривали арбитражные суды. Практическое значение: сроки рассмотрения, порядок обжалования и правила представления доказательств различаются между мировыми судьями и арбитражными судами — это влияет на выбор тактики защиты.

Итог

Избежать ч. 13 ст. 13.11 КоАП позволяет комбинация трёх слоёв: полный пакет ОРД с актуальными документами, технические меры по уровню защищённости (УЗ-3 или УЗ-4) и отлаженный процесс реагирования за 24/72 часа. Ни один из слоёв по отдельности не даёт достаточной защиты. Если утечка произошла — своевременное уведомление РКН и документально подтверждённые инвестиции в ИБ становятся главными инструментами снижения санкции.

Юристы DATUM сопровождают операторов ПДн по вопросам соответствия 152-ФЗ с 2014 года в составе сети «Ветров и партнёры» — от превентивного аудита до арбитражной защиты по ст. 13.11 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.