аналитика 14 января 2028 По состоянию на 14 января 2028

Кейс ПКР Аналитика: АС СПб № А56-4733/2026, ч. 13 или 14

Арбитражный суд Санкт-Петербурга рассмотрел первое дело о крупной утечке ПДн по новым нормам ФЗ-420: компания «ПКР Аналитика» получила штраф по ч. 14 ст. 13.11 КоАП при объёме утечки около 70 000 субъектов.

Дело № А56-4733/2026 разбирает вопрос квалификации: одна и та же утечка может квалифицироваться по ч. 13 (10 000–100 000 субъектов) или по ч. 14 (более 100 000 субъектов) — в зависимости от того, как считать записи и идентификаторы. Разница в санкции — от 5–10 млн ₽ до 10–15 млн ₽.

Если ваша компания получила протокол по ст. 13.11 — квалификация части напрямую влияет на размер штрафа и применимость ст. 4.1.1 КоАП. → Разбираем детали кейса и тактику защиты.

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних семи. Дело АС СПб № А56-4733/2026 стало одним из первых, где суд применил новые нормы к реальной утечке. Для генерального директора это не академический спор: неправильная квалификация части означает штраф в два раза выше допустимого либо, наоборот, потерянную возможность добиться предупреждения по ст. 4.1.1 КоАП.

Что произошло с ПКР Аналитика: факты дела А56-4733/2026

«ПКР Аналитика» — цифровая платформа инвестиционных проектов. В конце 2025 года компания подверглась хакерской атаке. Утечка затронула записи с ФИО, должностями, служебными email-адресами и телефонами участников платформы. По материалам дела объём составил около 70 000 субъектов.

Роскомнадзор возбудил дело и направил дело в арбитражный суд. Ключевой спор при квалификации — по какой части статьи 13.11 привлекать компанию:

Часть 13 — утечка от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов: штраф 5–10 млн ₽ для юридического лица.
Часть 14 — утечка более 100 000 субъектов или более 1 000 000 идентификаторов: штраф 10–15 млн ₽.

70 000 субъектов как будто укладываются в ч. 13. Однако у каждого субъекта фиксировались несколько идентификаторов: email, телефон, внутренний идентификатор платформы. Если считать идентификаторы, а не субъектов, общее число записей пересекало пороговое значение 100 000. РКН квалифицировал нарушение по ч. 14.

«Ст. 13.11 ч. 13 КоАП — утечка ПДн от 10 000 до 100 000 субъектов либо от 100 000 до 1 000 000 идентификаторов: штраф для юридического лица 5 000 000–10 000 000 ₽ (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025). Ст. 13.11 ч. 14 — утечка более 100 000 субъектов или более 1 000 000 идентификаторов: штраф 10 000 000–15 000 000 ₽.»

Как считаются субъекты и идентификаторы по ст. 13.11 КоАП?

Закон не содержит единого расчётного метода для определения числа субъектов и идентификаторов в одном инциденте. Это создаёт пространство для манёвра — и для ошибок.

Субъект — физическое лицо, чьи данные были скомпрометированы. Один человек считается одним субъектом, даже если в утечку попали несколько его записей. Идентификатор — конкретная единица данных, позволяющая идентифицировать или дополнительно охарактеризовать субъекта: номер телефона, email, внутренний ID системы, СНИЛС, ИНН.

В деле ПКР Аналитика РКН применил подход: подсчёт идёт по наибольшему из двух показателей. 70 000 субъектов × 3 идентификатора на каждого = 210 000 идентификаторов. Порог для ч. 14 по идентификаторам — 1 000 000. По этому показателю нарушение укладывалось в ч. 13. Однако регулятор расширил понятие идентификатора, включив в подсчёт технические записи лог-файлов и сессионные токены. Этот аргумент оспаривался компанией.

Суд в итоге поддержал квалификацию по ч. 14, указав на объём скомпрометированных данных в совокупности, а не только на число физических лиц. Применил смягчающие обстоятельства.

Получили протокол по ст. 13.11 — как оспорить квалификацию части?

Если РКН квалифицировал утечку по ч. 14, а фактический объём субъектов ниже 100 000 — есть основания для переквалификации на ч. 13. Разница: минимум штрафа снижается с 10 млн до 5 млн ₽. Юристы DATUM анализируют протокол, методику подсчёта РКН и готовят позицию для арбитражного суда. Срок на обжалование постановления по КоАП — 10 суток с момента вручения.

Защитить от штрафа по 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие смягчающие обстоятельства применил суд?

АС Санкт-Петербурга снизил штраф ниже максимума по ч. 14, опираясь на несколько обстоятельств, которые компания подтвердила документально.

Первое — добровольное уведомление РКН. Компания направила первичное уведомление об инциденте в течение установленных 24 часов по ч. 3.1 ст. 21 ФЗ-152. Отчёт о результатах внутреннего расследования был представлен в 72-часовой срок по Приказу РКН № 187. Суд расценил это как свидетельство добросовестности оператора.

Второе — отсутствие умысла. Утечка произошла вследствие хакерской атаки на инфраструктуру, а не в результате халатных или умышленных действий сотрудников компании. Заключение по результатам расследования подтверждало внешний характер вторжения.

Третье — принятые меры защиты. Компания представила документы об уровне защищённости ИСПДн, наличии политики обработки ПДн и организационно-распорядительной документации. Это не повлекло автоматического снижения штрафа, но исключило отягчающие обстоятельства.

«Ст. 4.1 КоАП — при назначении административного наказания учитываются смягчающие и отягчающие обстоятельства, характер и последствия правонарушения, имущественное положение лица. Примечание 3.4-2 к ст. 4.1: при инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам ч. 15 и ч. 18 ст. 13.11 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

Примечание 3.4-2 в деле ПКР Аналитика напрямую не применялось: ч. 14 — не оборотный состав. Однако документальное подтверждение затрат на ИБ повлияло на общую оценку добросовестности компании.

Что подготовить CEO до получения протокола РКН

Уведомление в реестре операторов ПДн на pd.rkn.gov.ru — актуальные сведения о категориях обрабатываемых данных и числе субъектов.
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована и доступна на сайте.
Документация об уровне защищённости ИСПДн по ПП РФ № 1119: акт классификации, модель угроз, технические меры по Приказу ФСТЭК № 21.
Регламент реагирования на инциденты с ПДн: фиксация момента обнаружения, ответственный за уведомление РКН в 24 часа, форматы первичного уведомления и отчёта по Приказу РКН № 187.
Учёт затрат на информационную безопасность за три предшествующих года — для применения примечания 3.4-2 ст. 4.1 КоАП при оборотных штрафах.

Три сценария для CEO после получения протокола по ст. 13.11

Опыт дела А56-4733/2026 показывает, что исход во многом определяется на этапе подготовки к рассмотрению дела, а не в зале суда.

Сценарий 1. Утечка произошла, уведомление РКН направлено в срок. У компании есть документальное подтверждение: временная метка первичного уведомления в течение 24 часов и отчёт в 72 часа. Суд учитывает это как смягчающее обстоятельство. Стратегия — максимизировать число задокументированных смягчающих обстоятельств, оспорить методику подсчёта субъектов/идентификаторов, добиться нижней границы санкции ч. 13 или ч. 14. Вероятный исход: штраф на уровне минимального диапазона применимой части.

Сценарий 2. Утечка произошла, уведомление РКН пропущено или просрочено. К нарушению по ч. 13 или ч. 14 добавляется самостоятельный состав по ч. 11 — неуведомление об инциденте: штраф 1–3 млн ₽ дополнительно. Суд может рассматривать просрочку как отягчающее обстоятельство при назначении основного штрафа. Стратегия — минимизировать совокупность составов, обосновать объективную невозможность уведомления в срок, представить доказательства принятых мер по устранению последствий.

Сценарий 3. Компания ранее уже привлекалась по ч. 12, 13 или 14 — повторная утечка. Применяется ч. 15 ст. 13.11 — оборотный штраф: 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП не применяется к оборотным составам. Стратегия — проверить, было ли предыдущее постановление вступившим в законную силу на момент нового инцидента, оценить возможность применения примечания 3.4-2 ст. 4.1 КоАП через документирование ИБ-инвестиций.

Если утечка уже произошла и РКН возбудил дело — у вас 10 суток с момента получения постановления на обжалование. Срок не восстанавливается. Юристы DATUM оценят протокол и выстроят позицию для арбитражного суда.

Защитить от штрафа по 13.11

Что изменил ФЗ-420: подсудность и порядок рассмотрения дел

С 30 мая 2025 года дела по ст. 13.11 КоАП рассматривали арбитражные суды — именно в них прошли первые дела по новым нормам, включая А56-4733/2026. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. С 28 декабря 2025 года новые дела по ст. 13.11 поступают к мировым судьям.

Для CEO это меняет практику ведения дел:

Мировые судьи не имеют специализации в корпоративных спорах, что создаёт дополнительный риск непредсказуемости при оценке технических аргументов о методике подсчёта субъектов.
Апелляция на постановление мирового судьи подаётся в районный суд, а не в арбитражный апелляционный суд. Процессуальные правила и сроки различаются.
Дела, возбуждённые в период с 30.05.2025 по 27.12.2025, могут находиться в арбитражных судах на стадии апелляции — по ним продолжают действовать правила АПК.

«ФЗ-508 от 28.12.2025 внёс изменения в КоАП в части подсудности дел по ст. 13.11: с 28.12.2025 дела рассматривают мировые судьи. В период с 30.05.2025 по 27.12.2025 полномочия были переданы арбитражным судам.»

Как это применяется на практике

Кейс 1. Торговая компания (Северо-Западный ФО, осень 2025) получила протокол по ч. 14 ст. 13.11 — в базе данных интернет-магазина было скомпрометировано около 120 000 записей. Компания заблаговременно оформила аудит соответствия 152-ФЗ и располагала полным комплектом ОРД. Юристы оспорили методику подсчёта идентификаторов, доказав, что дублирующиеся технические записи не являются отдельными идентификаторами в смысле ст. 13.11. Суд переквалифицировал состав с ч. 14 на ч. 13. Штраф составил сумму в нижней границе санкции ч. 13.

Кейс 2 (case_S2_pkr_analitika). Дело АС СПб № А56-4733/2026 («ПКР Аналитика»): утечка около 70 000 субъектов — ФИО, должности, служебные email, телефоны — после хакерской атаки. РКН квалифицировал нарушение по ч. 14 ст. 13.11 КоАП, посчитав совокупность идентификаторов. Суд подтвердил квалификацию, однако применил смягчающие обстоятельства: своевременное уведомление РКН в 24/72 часа, отсутствие умысла, документально подтверждённые меры защиты. Штраф назначен с учётом смягчающих обстоятельств.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1.
Аудит соответствия 152-ФЗ — анализ обработки ПДн по чек-листу из 38 пунктов, отчёт с планом устранения нарушений.
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. За утечку от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ (ч. 12). За утечку от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов — 5–10 млн ₽ (ч. 13). За утечку более 100 000 субъектов или более 1 000 000 идентификаторов — 10–15 млн ₽ (ч. 14). Неуведомление РКН об инциденте в 24 часа — дополнительный штраф 1–3 млн ₽ по ч. 11.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушения по ч. 12, 13, 14, 16, 17 или 18, если компания уже привлекалась по этим составам. Размер — 1–3% совокупной выручки за предшествующий календарный год. Минимальный порог — 20 млн ₽, максимальный — 500 млн ₽. При инвестициях в ИБ не менее 0,1% выручки за три года применяется льгота по примечанию 3.4-2 ст. 4.1 КоАП: штраф снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ — нижняя граница оборотного штрафа по ч. 15 ст. 13.11 КоАП. Он применяется только при повторной утечке, то есть когда компания уже была привлечена по составам ч. 12–14 или ч. 15–18 и постановление вступило в законную силу. При первичной утечке оборотный штраф не назначается — применяются фиксированные санкции ч. 12, 13 или 14.

4. Можно ли заменить штраф на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов малого предпринимательства при первичном нарушении и отсутствии вреда. Это не применяется к составам ч. 15 и ч. 18 ст. 13.11 (оборотные штрафы). По делу ПКР Аналитика компания не относилась к категории микропредприятий, поэтому ст. 4.1.1 не применялась. Суд снизил штраф через ст. 4.1 КоАП — учёт смягчающих обстоятельств.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул прежний порядок. В период с 30 мая по 27 декабря 2025 года дела поступали в арбитражные суды. Дело А56-4733/2026 было рассмотрено в арбитражном суде как возбуждённое в переходный период. Апелляция на постановление мирового судьи подаётся в районный суд в течение 10 суток.

Итог

Дело АС СПб № А56-4733/2026 показывает: при одном и том же числе субъектов квалификация может варьироваться между ч. 13 и ч. 14 в зависимости от методики подсчёта идентификаторов, которую применяет РКН. Разница в санкции — 5 млн ₽ на нижней границе. Своевременное уведомление РКН об инциденте в 24/72 часа, документально подтверждённые меры защиты и отсутствие умысла позволяют суду применить смягчающие обстоятельства по ст. 4.1 КоАП.

Практика DATUM по защите операторов ПДн в арбитражных судах и у мировых судей охватывает квалификационные споры по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП, а также оспаривание методики подсчёта субъектов и идентификаторов в протоколах РКН.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025.