аналитика 22 декабря 2027 По состоянию на 22 декабря 2027

Кейс штрафа по ч. 10 ст. 13.11: разбор практики

Часть 10 ст. 13.11 КоАП — штраф за неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку персональных данных. Для юридических лиц — от 100 000 до 300 000 рублей.

С 30.05.2025 ФЗ-420 от 30.11.2024 перестроил ст. 13.11 с 7 до 18 частей. Ч. 10 в новой нумерации охватывает именно реестровое уведомление по ст. 22 ФЗ-152 — то, что раньше называлось ч. 1 старой редакции в расширенной трактовке РКН.

Если компания не стоит в реестре операторов или данные в уведомлении устарели — проверка РКН превратится в протокол. Разбираем кейс и способы защиты. →

Для генерального директора ч. 10 ст. 13.11 КоАП — один из первых рисков при плановой или внеплановой проверке Роскомнадзора. Компания обрабатывает персональные данные клиентов и работников, но не подала уведомление или указала в нём устаревшие цели и категории — этого достаточно для протокола. С 30.05.2025 санкция составляет 100 000–300 000 рублей за юридическое лицо. Ниже — разбор состава, судебная практика и конкретные шаги защиты.

Что такое состав по ч. 10 ст. 13.11 КоАП в редакции с 30.05.2025?

Состав охватывает два варианта нарушения: полное неуведомление РКН до начала обработки персональных данных и несвоевременное уведомление — то есть поданное уже после фактического старта обработки. Оба влекут одинаковую санкцию.

«Ст. 22 ФЗ-152 обязывает оператора направить уведомление о намерении осуществлять обработку ПДн до начала такой обработки. Ч. 10 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025) устанавливает за нарушение этого требования штраф для юридических лиц от 100 000 до 300 000 рублей.»

Важна оговорка о перечне исключений. Ст. 22 ФЗ-152 содержит закрытый список ситуаций, при которых уведомление не подаётся: обработка в рамках трудовых отношений, обработка для заключения и исполнения договора с субъектом, исключительно публично доступные данные и ряд других. Если компания ошибочно считала себя подпадающей под исключение — это не освобождает от ответственности, но влияет на оценку вины при назначении наказания.

Ещё один элемент состава — актуальность уведомления. Если оператор подал уведомление, но затем расширил перечень обрабатываемых категорий, добавил новых третьих лиц или изменил цели — он обязан уведомить РКН об изменениях. Неисполнение этой обязанности также трактуется как состав ч. 10. Форма уведомлений об изменении сведений утверждена Приказом РКН № 180 от 28.10.2022.

Как складывается практика по ч. 10 ст. 13.11 после 30.05.2025?

До вступления в силу ФЗ-420 дела о неуведомлении РКН рассматривались мировыми судьями. С 30.05.2025 по 27.12.2025 подсудность перешла к арбитражным судам. С 28.12.2025 — после ФЗ-508 — снова вернулась к мировым. Это принципиально: у мировых судей нет наработанной практики по новым санкциям ФЗ-420, что создаёт как риски, так и возможности для защиты.

По данным РКН, в 2025 году зафиксировано 118 случаев компрометации баз данных и значительное число протоколов по различным частям ст. 13.11. Шесть административных штрафов по новым нормам назначены на общую сумму около 570 тысяч рублей — практика только формируется. Дела по ч. 10, как правило, не становятся публичными: суммы относительно небольшие, компании предпочитают урегулировать вопрос быстро.

Ключевой вывод из анализа имеющейся практики: суды при назначении наказания по ч. 10 оценивают три фактора — длительность нарушения (месяц или три года), объём данных, которые обрабатывались без уведомления, и поведение оператора после обнаружения нарушения (подал ли уведомление до рассмотрения дела). Оператор, подавший уведомление после получения предписания РКН, но до вынесения постановления, регулярно получает минимальный штраф — 100 000 рублей.

Получили уведомление о проверке РКН или уже составлен протокол?

Для генерального директора протокол по ч. 10 ст. 13.11 — это не финал, а стартовая позиция. Штраф 100 000–300 000 рублей можно минимизировать или оспорить, если действовать правильно с первого дня. Каждый шаг после вручения протокола влияет на итоговое постановление — и на возможность применения ст. 4.1 или ст. 4.1.1 КоАП.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Разбор кейса: неуведомление РКН в торговой сети

Приведём типичную конструкцию дела по ч. 10, характерную для практики 2025–2026 годов.

Кейс 1. Торговая компания (Сибирский ФО, лето 2025) обрабатывала персональные данные клиентов программы лояльности — имена, телефоны, email, историю покупок — с 2021 года. Уведомление в РКН не подавалось: юрист компании ошибочно считал, что обработка в рамках договора освобождает от уведомления. При плановой проверке РКН установил факт обработки без уведомления. Протокол составлен по ч. 10 ст. 13.11 КоАП. До рассмотрения дела генеральный директор подписал уведомление и направил его через личный кабинет pd.rkn.gov.ru. Мировой суд назначил штраф на уровне минимального — 100 000 рублей — с учётом устранения нарушения и отсутствия предшествующих протоколов по ст. 13.11.

Кейс 2 (из реестра практики DATUM). IT-компания (Центральный ФО, начало 2026) работала по модели SaaS: обрабатывала ПДн пользователей своего продукта. Уведомление в РКН не подавалось с момента основания в 2019 году. При внеплановой проверке по жалобе субъекта РКН составил протокол по ч. 10. Параллельно выявлено нарушение политики конфиденциальности — протокол по ч. 3 ст. 13.11. Обе санкции рассматривались отдельно. По ч. 10 назначен штраф 150 000 рублей — выше минимума, поскольку нарушение длилось более пяти лет. По ч. 3 — 30 000 рублей. Уведомление подано в ходе проверки; это учтено как смягчающее обстоятельство. Общая нагрузка составила штраф в сотни тысяч рублей вместо потенциального максимума по совокупности.

Что подготовить при получении протокола по ч. 10

Подать или обновить уведомление через pd.rkn.gov.ru до первого заседания суда
Собрать документы, подтверждающие дату фактического начала обработки ПДн
Подготовить объяснения о причинах неуведомления и добросовестном заблуждении
Проверить, подпадает ли компания под исключения ст. 22 ФЗ-152 (закрытый перечень)
Оценить применимость ст. 4.1.1 КоАП (замена штрафа предупреждением для микропредприятий при первом нарушении)

Как работают смягчающие инструменты по ст. 4.1 и ст. 4.1.1 КоАП?

Ст. 4.1 КоАП предусматривает учёт смягчающих обстоятельств при назначении наказания в пределах санкции. Для ч. 10 ст. 13.11 это означает возможность выйти на минимум в 100 000 рублей. Смягчающими суды признают: устранение нарушения до рассмотрения дела, содействие проверке, отсутствие предшествующих протоколов по ст. 13.11, незначительный объём обрабатываемых данных.

Ст. 4.1.1 КоАП позволяет заменить штраф предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении, если нарушение не повлекло имущественного вреда третьим лицам. Для ч. 10 ст. 13.11 — неуведомление само по себе не причиняет прямого вреда субъектам данных, что открывает аргумент для замены. Однако суды трактуют это неодинаково: часть считает, что сам факт нарушения закона создаёт потенциальный вред, что блокирует ст. 4.1.1. Необходима проработанная позиция с юридической поддержкой.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф — применяется только при повторности по ч. 12–14, 16–18 или 15. К ч. 10 оборотный механизм не применяется. Минимум 20 млн ₽ и максимум 500 млн ₽ — это параметры именно оборотной санкции за повторную утечку, а не за неуведомление.»

Отдельного внимания заслуживает примечание к ст. 4.1 КоАП, введённое ФЗ-420: при подтверждённых инвестициях в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15, ч. 18) снижается до одной десятой минимального размера. К ч. 10 этот механизм напрямую не относится, но документирование инвестиций в ИБ усиливает общую позицию компании перед РКН и судом.

Какие сценарии проверки по ч. 10 ст. 13.11 наиболее типичны?

Сценарий 1 — плановая проверка без уведомления. Ситуация: компания работает с 2018 года, данные клиентов обрабатывает в CRM, уведомления не подавала. Инспектор РКН устанавливает факт при плановой проверке по графику. Доказательства нарушения: скриншоты CRM с ПДн, выгрузка из реестра с нулевым результатом по ИНН. Вероятный исход: протокол по ч. 10, штраф 100 000–200 000 рублей. Стратегия: подать уведомление в первый же день проверки, предоставить объяснения о добросовестном заблуждении, ходатайствовать о минимальном штрафе.

Сценарий 2 — реестр есть, но устарел. Ситуация: уведомление подано в 2020 году, с тех пор компания добавила обработку биометрии через СКУД и передачу данных в облачный сервис — третьему лицу. Сведения в реестре не обновлялись. Инспектор квалифицирует это как несвоевременное уведомление об изменении. Исход: протокол по ч. 10, суд учтёт длительность расхождения при назначении санкции. Стратегия: обновить уведомление немедленно, оформить поручение на обработку с облачным сервисом по ст. 6 ФЗ-152, подготовить пакет ОРД.

Сценарий 3 — жалоба субъекта как триггер. Ситуация: бывший работник направил жалобу в РКН о незаконной обработке его данных после увольнения. РКН в ходе рассмотрения жалобы запросил сведения из реестра и выявил отсутствие уведомления. Генеральный директор получает уведомление о внеплановой проверке. Исход: протокол по ч. 10 плюс возможный протокол по существу жалобы (ч. 1 или ч. 5 ст. 13.11). Стратегия: разделить защиту по двум составам, устранить нарушение до первого заседания, обеспечить юридическое сопровождение на всех стадиях.

Если РКН уже запросил документы или составлен протокол — каждый ответ на запрос формирует доказательную базу. Неточное объяснение от генерального директора сложнее исправить, чем не дать вовсе. Юристы DATUM сопроводят взаимодействие с РКН с первого контакта.

Защитить от штрафа 13.11

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

Ст. 13.11 в редакции ФЗ-420 от 30.11.2024 содержит 18 частей. Ч. 10 — неуведомление о намерении обрабатывать: 100 000–300 000 рублей для юрлиц. Ч. 12–14 — утечки от 1 000 субъектов и выше: 3–5 млн, 5–10 млн, 10–15 млн рублей соответственно. Ч. 15 — оборотный штраф при повторной крупной утечке: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и к кому он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП назначается только при повторном нарушении — когда компания ранее уже привлекалась по ч. 12–14, 16–18 или 15. Речь идёт о крупных утечках персональных данных. Минимальный порог — 20 млн рублей, максимальный — 500 млн рублей. К нарушению по ч. 10 (неуведомление) оборотный механизм не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн рублей — это нижняя граница именно оборотного штрафа по ч. 15 ст. 13.11. Он применяется, если 1% от годовой выручки окажется меньше 20 млн. Для компаний с выручкой до 2 млрд рублей минимум всегда равен 20 млн — расчётная сумма не достигает этого порога.

4. Можно ли заменить штраф по ч. 10 на предупреждение?

Замена штрафа предупреждением по ст. 4.1.1 КоАП возможна для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии имущественного вреда третьим лицам. Ч. 10 под прямой запрет на замену не подпадает (в отличие от ч. 15 и ч. 18). Практика по новым нормам только формируется: часть судов применяет ст. 4.1.1, часть отказывает. Решение зависит от подготовки позиции.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025 на основании ФЗ-508 дела по ст. 13.11 КоАП рассматривают мировые судьи — как это было до 30.05.2025. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Подсудность важна: порядок обжалования, сроки и процессуальные правила различаются. При обжаловании постановления мирового судьи следующая инстанция — районный суд.

Итог

Ч. 10 ст. 13.11 КоАП — один из самых распространённых составов при проверках РКН. Штраф в 100 000–300 000 рублей невелик по сравнению с оборотными санкциями, но служит маркером системных нарушений: если обнаружено неуведомление, инспектор проверяет весь комплекс документации. Одна проверка часто даёт несколько протоколов одновременно.

Юристы DATUM сопровождают проверки РКН, составляют возражения на протоколы по ч. 10 и смежным составам, добиваются минимальных санкций через применение ст. 4.1 и ст. 4.1.1 КоАП. Практика по 152-ФЗ — с 2014 года.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение смягчающих норм КоАП
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний
Аудит соответствия 152-ФЗ — выявление оснований для протоколов до прихода инспектора

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов. Подсудность после ФЗ-508 — мировые судьи.

22 декабря 2027 года