Перейти к содержанию
аналитика 14 января 2028 По состоянию на 14 января 2028

Кейс штрафа по ч. 11 ст. 13.11: разбор практики

Часть 11 ст. 13.11 КоАП — штраф 1–3 млн ₽ за неуведомление или несвоевременное уведомление РКН об инциденте с персональными данными.
С 30.05.2025 каждый оператор обязан направить первичное уведомление об утечке в течение 24 часов, а через 72 часа — отчёт о результатах расследования. Невыполнение этого требования фиксируется отдельным составом, не поглощается основным делом по ч. 12–14.
→ Если компания уже получила протокол по ч. 11 или пропустила 24-часовой срок — есть основания для снижения или замены штрафа. Ниже разбираем, как именно.

С 30.05.2025 в России действует новая редакция ст. 13.11 КоАП, введённая ФЗ-420 от 30.11.2024. Часть 11 выделена в самостоятельный состав: неуведомление РКН об инциденте с персональными данными влечёт штраф для юридического лица от 1 до 3 млн ₽. Для генерального директора это означает, что процедура 24/72 часов превратилась из рекомендации в финансовый риск с конкретным минимумом. Ниже — разбор трёх типичных ситуаций, механика состава, аргументы защиты и опыт первых дел.

Что такое состав по ч. 11 ст. 13.11 и чем он отличается от ч. 12–14?

Часть 11 ст. 13.11 КоАП охватывает нарушение порядка уведомления РКН об инциденте с персональными данными, установленного ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН № 187 от 14.11.2022. Состав формальный: он наступает вне зависимости от масштаба утечки. Даже если данные не были реально скомпрометированы — пропуск срока уведомления образует самостоятельное правонарушение.

Части 12–14 ст. 13.11 КоАП квалифицируют само событие утечки по числу затронутых субъектов: от 1 000 до 10 000 (ч. 12 — 3–5 млн ₽), от 10 000 до 100 000 (ч. 13 — 5–10 млн ₽), более 100 000 (ч. 14 — 10–15 млн ₽). Ч. 11 к ним не поглощается — протоколы составляются отдельно. Итоговая санкция при одном инциденте может включать одновременно ч. 11 и ч. 12, что в сумме даёт 4–8 млн ₽.

«Ч. 11 ст. 13.11 КоАП (ред. с 30.05.2025) — штраф для юридического лица 1 000 000 – 3 000 000 ₽ за неуведомление или несвоевременное уведомление РКН об инциденте с ПДн. Срок уведомления по ч. 3.1 ст. 21 ФЗ-152: первичное — 24 часа с момента обнаружения, отчёт — 72 часа. Порядок — Приказ РКН № 187 от 14.11.2022.»

Ключевой вопрос в доказывании по ч. 11 — момент «обнаружения» инцидента. РКН трактует его широко: как только сотрудник компании зафиксировал признаки неправомерного доступа или утечки — отсчёт начался. Отсутствие внутреннего регламента реагирования делает этот момент неопределённым, что создаёт риск расширительной трактовки.

Получили протокол по ч. 11 ст. 13.11 или пропустили 24-часовой срок?

Если компания не уведомила РКН об инциденте вовремя — у вас, как у генерального директора, есть 10 рабочих дней с даты вручения протокола на подачу объяснений. Этот срок критичен для выстраивания позиции. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения или замены штрафа.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие фактические обстоятельства влияют на квалификацию по ч. 11?

Практика по делам с 30.05.2025 показывает: регулятор и суды оценивают четыре обстоятельства при квалификации нарушения срока уведомления.

Момент обнаружения. Если в компании есть SOC или SIEM с логами — регулятор использует метки времени первого алерта. При их отсутствии ориентируются на дату первого внутреннего сообщения об инциденте. Разрыв между реальным обнаружением и подачей уведомления сверх 24 часов — прямой элемент объективной стороны состава.

Содержание первичного уведомления. Приказ РКН № 187 устанавливает обязательные поля: наименование оператора, предполагаемая причина, перечень категорий ПДн, число субъектов (ориентировочно), принятые меры. Уведомление, поданное в срок, но без обязательных разделов, суды квалифицируют как ненадлежащее — состав ч. 11 сохраняется.

Наличие регламента реагирования. Оператор, у которого есть утверждённый регламент с порядком эскалации и ответственными, в сравнении с оператором без документации находится в лучшей позиции при доказывании добросовестности. Ст. 4.1 КоАП прямо называет принятые меры по устранению нарушения в качестве смягчающего обстоятельства.

Инвестиции в информационную безопасность. Примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420): если оператор вложил в ИБ не менее 0,1% совокупной выручки за три предшествующих года — штраф по оборотным составам (ч. 15, ч. 18) снижается до 1/10 минимального размера. На ч. 11 этот механизм напрямую не распространяется, но суды учитывают инвестиции в ИБ как смягчающее обстоятельство при назначении штрафа в нижней части диапазона.

Что подготовить при получении протокола по ч. 11

  • Журнал событий ИБ с временными метками первого алерта или записи SIEM/SOC — для оспаривания момента «обнаружения» инцидента.
  • Копию поданного уведомления в РКН через pd.rkn.gov.ru с отметкой о времени подачи — доказательство выполнения или частичного выполнения обязанности.
  • Утверждённый регламент реагирования на инциденты с ПДн (или его отсутствие, зафиксированное как основание для незамедлительного составления) — смягчающий фактор по ст. 4.1 КоАП.
  • Данные о расходах на ИБ за три последних финансовых года в процентах от выручки — для обоснования снижения санкции.
  • Сведения о категории оператора (микропредприятие, МСП) — для проверки применимости ст. 4.1.1 КоАП (замена штрафа предупреждением).

Как суды рассматривают дела по ч. 11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП переданы мировым судьям. Период с 30.05.2025 по 27.12.2025, когда их рассматривали арбитражные суды, дал первую аналитику. Арбитраж системно применял стандарты доказывания, привычные для экономических споров: бремя доказывания момента обнаружения лежало на регуляторе, компании успешно оспаривали квалификацию через экспертизу логов.

Мировые судьи в среднем менее склонны к детальному разбору технических обстоятельств. Это смещает акцент в защите: вместо споров о логах важнее становится документальное подтверждение добросовестности — наличие регламента, факт подачи уведомления (пусть и с опозданием), устранение нарушения до рассмотрения дела.

Важный ориентир — практика по ч. 1 ст. 13.11 до 30.05.2025: суды неоднократно снижали штрафы при наличии смягчающих обстоятельств даже без формальных оснований. Аналогичная логика применима к ч. 11, поскольку диапазон 1–3 млн ₽ оставляет судье пространство для манёвра.

Если компания уже получила постановление по ч. 11 ст. 13.11 — у вас 10 дней на обжалование. Срок не восстанавливается. Юристы DATUM оспорят постановление и добьются применения ст. 4.1 КоАП или замены штрафа на предупреждение через ст. 4.1.1.

Защитить от штрафа 13.11

Как применяется практика: три типичных сценария

Сценарий 1. Инцидент обнаружен, уведомление не подано вовремя.

Ситуация: IT-специалист компании зафиксировал нетипичную активность в системе в пятницу вечером. Руководство решило разбираться в понедельник. К этому моменту с момента обнаружения прошло более 60 часов — срок 24 часов истёк. Уведомление подано во вторник. Доказательства: логи системы, переписка сотрудников, дата регистрации уведомления в pd.rkn.gov.ru. Вероятный исход: протокол по ч. 11, штраф в диапазоне 1–2 млн ₽. Стратегия защиты: доказать, что пятничный алерт не был однозначным индикатором инцидента, и оспорить момент «обнаружения»; параллельно — применить смягчающие по ст. 4.1 КоАП (устранение нарушения, добровольное сотрудничество с РКН).

Сценарий 2. Уведомление подано в срок, но с неполными сведениями.

Ситуация: оператор направил первичное уведомление за 20 часов, однако в форме не указал предполагаемую причину инцидента и категории затронутых ПДн — только факт обнаружения. РКН квалифицировал уведомление как ненадлежащее и составил протокол по ч. 11. Доказательства: распечатка уведомления с временной меткой, переписка с РКН. Вероятный исход: спорная квалификация — суды пока не выработали единого подхода к «неполному» уведомлению. Стратегия защиты: оспаривать расширительное толкование «несвоевременного уведомления» применительно к содержанию формы; ссылаться на буквальный текст Приказа РКН № 187 и факт направления в срок.

Сценарий 3. Утечка через подрядчика — кто уведомляет.

Ситуация: данные клиентов утекли через облачного подрядчика, с которым заключён договор поручения обработки ПДн по п. 3 ст. 6 ФЗ-152. Подрядчик сообщил оператору об инциденте через 30 часов после собственного обнаружения. Оператор подал уведомление в РКН ещё через 10 часов — итого 40 часов с момента, когда подрядчик узнал об инциденте. Доказательства: договор поручения, переписка с подрядчиком, журналы подрядчика. Вероятный исход: протокол по ч. 11 возможен, если РКН установит, что оператор имел возможность узнать об инциденте раньше. Стратегия защиты: доказать, что отсчёт срока начинается с момента, когда оператор получил сведения от подрядчика, а не с момента обнаружения подрядчиком; ссылаться на договорное разграничение ответственности и добросовестность оператора.

Как это применяется на практике

Кейс 1. Торговая компания из Уральского федерального округа (осень 2025) получила протокол по ч. 11 ст. 13.11 за пропуск 24-часового срока уведомления об утечке данных покупателей. Генеральный директор подключил юристов на стадии объяснений к протоколу. Защита представила документированный регламент реагирования, данные о расходах на ИБ и подтвердила, что уведомление было подано через 31 час — нарушение срока на 7 часов. Мировой суд назначил штраф в нижней части диапазона, применив ст. 4.1 КоАП. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. В деле арбитражного суда по ч. 14 ст. 13.11 (утечка более 100 000 субъектов, Северо-Западный ФО, 2026 год; см. кейс case_S2_pkr_analitika в реестре) компания одновременно получила протокол по ч. 11 за запоздалое уведомление. Суд рассмотрел оба состава раздельно. По ч. 11 штраф был назначен в минимальном размере с учётом того, что нарушение срока составило менее 6 часов и оператор добровольно представил РКН все запрошенные материалы. По совокупности двух составов итоговая санкция значительно превысила штраф по одной части. ⚠️ Точные суммы — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 статья 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 содержит 18 частей. Ч. 11 — неуведомление об инциденте с ПДн: 1–3 млн ₽ для юридического лица. Ч. 12 — утечка 1 000–10 000 субъектов: 3–5 млн ₽. Ч. 13 — 10 000–100 000 субъектов: 5–10 млн ₽. Ч. 14 — более 100 000 субъектов: 10–15 млн ₽. Ч. 15 — оборотный штраф при повторной утечке: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% по ч. 15 ст. 13.11?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушений по ч. 12–14 (или ч. 15–18) лицом, уже привлекавшимся к ответственности за аналогичные составы. Размер — от 1 до 3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Стандартная скидка 50% за добровольную уплату по ст. 32.2 КоАП к этому составу не применяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется, если расчётная сумма 1–3% от выручки окажется ниже этого порога. Например, при выручке 500 млн ₽ 1% составит 5 млн ₽ — к оплате назначат 20 млн ₽. При этом если оператор инвестировал в информационную безопасность не менее 0,1% выручки за три предшествующих года, штраф снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП, введено ФЗ-420).

4. Можно ли заменить штраф по ч. 11 ст. 13.11 на предупреждение?

Замена штрафа предупреждением возможна по ст. 4.1.1 КоАП для микропредприятий и субъектов МСП при первичном нарушении и отсутствии причинённого вреда. К оборотным составам (ч. 15, ч. 18) этот механизм не применяется. По ч. 11 — применяется при соблюдении условий: первое привлечение, отсутствие реального ущерба субъектам, устранение нарушения. В практике 2025–2026 годов арбитражные суды применяли ст. 4.1.1 в схожих ситуациях (см. case_S5 в реестре).

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП переданы мировым судьям (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. Смена подсудности важна для стратегии защиты: мировые судьи, в отличие от арбитражных, реже углубляются в технические обстоятельства, поэтому акцент в позиции смещается на документальное подтверждение добросовестности и смягчающие обстоятельства.

Итог

Часть 11 ст. 13.11 КоАП — самостоятельный состав с санкцией 1–3 млн ₽, который не поглощается составами за саму утечку. При одном инциденте компания может получить протоколы одновременно по ч. 11 и ч. 12–14. Ключевые рычаги защиты — оспаривание момента «обнаружения» инцидента, документальное подтверждение добросовестности, применение ст. 4.1 и ст. 4.1.1 КоАП.

DATUM сопровождает дела по ч. 11 ст. 13.11 с момента составления протокола: выстраивает позицию по моменту обнаружения, формирует доказательную базу о смягчающих обстоятельствах, представляет интересы у мирового судьи и в апелляции.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.