аналитика 21 сентября 2027 По состоянию на 21 сентября 2027

Кейс штрафа по ч. 3 ст. 13.11: разбор практики

Часть 3 ст. 13.11 КоАП — штраф 30 000–60 000 ₽ за отсутствие или ненадлежащую публикацию политики обработки персональных данных. С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024, и основание для протокола — любая неопубликованная или неполная политика.

Сумма по ч. 3 невелика, но протокол по этой части открывает РКН дверь к проверке всего комплаенса: следом идут ч. 1, ч. 2, а при выявленной утечке — ч. 12–14. Для компании с выручкой от 500 млн ₽ повторное нарушение превращается в оборотный штраф по ч. 15 с минимумом 20 млн ₽.

→ Если у вашей компании нет актуальной политики или она опубликована с нарушением ст. 18.1 ФЗ-152 — это первый риск, который фиксирует инспектор РКН при любой проверке.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей вместо прежних семи. Ч. 3 в новой редакции сохранила состав — невыполнение обязанности по публикации политики обработки ПДн по ст. 18.1 ФЗ-152, — но теперь она встроена в систему, где повторность или сопутствующая утечка резко поднимают ставки. Этот материал разбирает типовой кейс штрафа по ч. 3: как возникает нарушение, как его фиксирует РКН, какова позиция судов и как выстроить защиту.

Что нарушает ч. 3 ст. 13.11 КоАП и почему это важно для CEO?

Статья 18.1 ФЗ-152 обязывает оператора персональных данных опубликовать политику обработки ПДн — документ, доступный неограниченному кругу лиц. Закон указывает на конкретные разделы: цели и правовые основания обработки, перечень обрабатываемых ПДн, порядок и условия их обработки, права субъектов, сведения об ответственном лице. Публикация означает размещение на сайте оператора или предоставление иным способом без ограничений доступа.

Нарушение по ч. 3 фиксируется в трёх типовых ситуациях:

политика отсутствует полностью — сайт принимает данные пользователей, документа нет;
политика есть, но в ней отсутствуют обязательные разделы (например, нет правовых оснований или порядка реализации прав субъектов);
политика опубликована, но недоступна — скрыта за авторизацией, ссылка не работает, документ не обновлён после смены обрабатываемых категорий ПДн.

«Ч. 3 ст. 13.11 КоАП в редакции с 30.05.2025 — штраф для юридических лиц от 30 000 до 60 000 ₽ за невыполнение обязанности по публикации политики обработки ПДн согласно ст. 18.1 ФЗ-152.»

Для CEO важно понимать: протокол по ч. 3 — это не самостоятельный финал истории. По данным судебной практики 2025–2026 годов, в большинстве случаев ч. 3 сопровождается протоколами по ч. 1 или ч. 2, поскольку инспектор РКН при проверке смотрит на всю систему обработки, а не на один документ. Если компания не опубликовала политику — с высокой вероятностью она не выполнила и другие требования ст. 18.1.

Получили протокол по ч. 3 ст. 13.11 или ждёте проверку РКН?

Штраф по ч. 3 в среднем составляет 30 000–60 000 ₽, но если инспектор выявит смежные нарушения — совокупные санкции вырастут кратно. CEO, который получил уведомление о проверке, имеет от нескольких дней до нескольких недель для устранения критических замечаний. Юристы DATUM оценят, какие части ст. 13.11 грозят вашей компании, и подготовят позицию для РКН или суда.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН выявляет нарушение и составляет протокол?

Роскомнадзор выявляет нарушения по ч. 3 двумя способами: в рамках плановых или внеплановых проверок оператора и через системы мониторинга сайтов. Автоматизированный мониторинг позволяет фиксировать отсутствие политики или её недоступность без выезда инспектора.

Порядок составления протокола по ч. 3 следующий. Инспектор РКН фиксирует факт нарушения: делает скриншоты сайта, проверяет наличие ссылки на политику, скачивает документ и сверяет его содержание с требованиями ч. 2 ст. 18.1 ФЗ-152. Составляется акт проверки. Затем направляется уведомление оператору о составлении протокола — у компании есть возможность представить письменные объяснения. Протокол передаётся в суд (с 28.12.2025 — мировому судье по ФЗ-508 от 28.12.2025).

Ключевая особенность: при выявлении нарушения по ч. 3 инспектор, как правило, проводит расширенную проверку. Если обнаруживаются иные нарушения — обработка ПДн без согласия (ч. 2), обработка в целях, не указанных в уведомлении (ч. 1), — составляются отдельные протоколы по каждой части. Совокупный штраф по нескольким частям ст. 13.11 для юрлица может составить сотни тысяч рублей даже без утечки.

Что подготовить для защиты при протоколе по ч. 3

Актуальная политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликованная и доступная без авторизации.
Скриншоты и архивные копии страниц сайта с датой публикации политики — как доказательство устранения нарушения до вынесения постановления.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
Уведомление РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 — выписка из реестра операторов (pd.rkn.gov.ru).
Письменные объяснения для инспектора с указанием даты выявления нарушения и принятых мер — аргумент для снижения штрафа или замены на предупреждение.

Как суды квалифицируют нарушение по ч. 3 ст. 13.11 на практике?

С момента вступления в силу ФЗ-420 (30.05.2025) судебная практика по новым частям ст. 13.11 только формируется. Тем не менее по делам, возбуждённым после указанной даты, прослеживается несколько устойчивых тенденций.

Кейс 1. Торговая компания (Сибирский ФО, лето 2025). Плановая проверка РКН выявила, что политика конфиденциальности была размещена на сайте, но документ не содержал раздела о правовых основаниях обработки и порядке реализации прав субъектов. Протокол по ч. 3 ст. 13.11. Компания до первого заседания мирового суда обновила документ и представила скриншоты с датой публикации. Мировой судья назначил штраф в минимальном размере — 30 000 ₽, приняв во внимание устранение нарушения и первичность. Совокупные расходы с учётом юридического сопровождения составили около 120 000 ₽. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2 (case_S5_predupr_microbiz). Аналогичная практика зафиксирована применительно к микропредприятиям: при первичном нарушении по ч. 1 ст. 13.11, когда компания оперативно устранила замечания, мировой суд заменил штраф предупреждением по ст. 4.1.1 КоАП. Этот инструмент применим и к ч. 3, если нарушение первичное, вред субъектам не причинён и компания относится к субъектам МСП.

Если вы CEO и протокол по ч. 3 уже составлен — важно действовать до первого заседания. Устранение нарушения до вынесения постановления и правильно поданные объяснения снижают штраф или открывают путь к предупреждению по ст. 4.1.1 КоАП. Срок рассмотрения дела мировым судьёй — обычно 2–4 недели после передачи протокола.

Защитить от штрафа 13.11

Когда ч. 3 влечёт оборотный штраф по ч. 15 — и при чём тут ФЗ-420?

Сама по себе ч. 3 не является основанием для оборотного штрафа. Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется только при повторных нарушениях по ч. 12–14 (утечки), ч. 16–18 (биометрия) или самой ч. 15. Однако ч. 3 становится опасным триггером косвенно.

Типовая цепочка выглядит так: отсутствие актуальной политики (ч. 3) → проверка выявляет незаконную обработку ПДн (ч. 1) и обработку без согласия (ч. 2) → при наличии утечки подключаются ч. 12–14 в зависимости от масштаба. Если компания уже привлекалась по ч. 12–14 — следующее нарушение квалифицируется по ч. 15: от 1 до 3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ч. 15 ст. 13.11 КоАП (ФЗ-420, ред. с 30.05.2025) — оборотный штраф за повторное нарушение по ч. 12–14, 16–18 или ч. 15: от 1 до 3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.»

ФЗ-420 от 30.11.2024 также ввёл механизм снижения оборотного штрафа для тех, кто инвестирует в информационную безопасность. По ч. 3.4-2 ст. 4.1 КоАП, если оператор потратил на ИБ не менее 0,1% совокупной выручки за 3 предшествующих года, штраф по оборотным составам снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это означает, что документирование расходов на ИБ — часть стратегии защиты задолго до любого протокола.

Какие сценарии возникают при протоколе по ч. 3 для CEO?

Сценарий 1. Компания получила предписание по итогам плановой проверки. РКН проверяет сайт в рамках плановой проверки, выявляет отсутствие политики или её неполноту. Составляется протокол по ч. 3 и выдаётся предписание устранить нарушение. CEO имеет возможность устранить нарушение до вынесения постановления — это главный аргумент для снижения до минимального штрафа (30 000 ₽) или замены на предупреждение по ст. 4.1.1 КоАП при условии, что компания относится к МСП и нарушение первичное. Стратегия: опубликовать актуальную политику немедленно, собрать доказательства публикации, подготовить письменные объяснения с акцентом на устранение.

Сценарий 2. Протокол составлен одновременно по ч. 3 и ч. 1. Инспектор выявил, что обработка ПДн ведётся в целях, не отражённых в политике или уведомлении РКН. Два протокола — по ч. 3 (30–60 тыс. ₽) и по ч. 1 (150–300 тыс. ₽). Совокупный штраф до 360 000 ₽. Доказательная база: оператор должен показать, что политика актуализирована, уведомление в реестре приведено в соответствие и обработка ограничена заявленными целями. Если компания — не МСП, ст. 4.1.1 КоАП не применяется, но ст. 4.1 КоАП позволяет снизить штраф ниже минимума при исключительных обстоятельствах.

Сценарий 3. Протокол по ч. 3 — первый сигнал перед крупной проверкой. РКН составил протокол по ч. 3 по результатам мониторинга сайта (без выезда). Одновременно инициирована внеплановая проверка. У CEO есть срок до её начала, чтобы привести в порядок всю систему обработки ПДн. По итогам 2025 года, по данным InfoWatch, РКН зафиксировал 118 случаев компрометации баз — и в большинстве из них нарушения ст. 18.1 присутствовали как один из элементов общей картины несоответствия.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Аудит соответствия 152-ФЗ — проверка всей системы обработки ПДн по чек-листу из 38 пунктов до прихода РКН.
Сопровождение проверок РКН — подготовка к проверке и представление интересов перед инспектором.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024. Статья содержит 18 частей. Ч. 3 — штраф для юрлица 30 000–60 000 ₽ за отсутствие или неполную публикацию политики обработки ПДн. Ч. 1 — 150 000–300 000 ₽ за незаконную обработку. Ч. 2 — 300 000–700 000 ₽ за обработку без письменного согласия. Ч. 12–14 — 3–15 млн ₽ в зависимости от масштаба утечки. Ч. 15 — оборотный штраф 1–3% выручки, не менее 20 млн ₽ при повторных нарушениях по ч. 12–14.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается от совокупной выручки юридического лица за предшествующий календарный год. Минимум — 20 млн ₽, максимум — 500 млн ₽. Применяется только при повторном нарушении: если компания уже привлекалась к ответственности по ч. 12–14, 16–18 или ч. 15 ст. 13.11. Скидка 50% за быструю уплату штрафа по ст. 32.2 КоАП к оборотному составу не применяется.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимум 20 млн ₽ применяется, когда расчётная сумма 1–3% выручки оказывается ниже этого порога. Например, при годовой выручке компании 500 млн ₽ расчёт даёт 5–15 млн ₽ — суд назначит минимум 20 млн ₽. Для сокращения суммы до 15 млн ₽ (но не более 50 млн ₽) компания должна подтвердить инвестиции в ИБ не менее 0,1% выручки за 3 года — по ч. 3.4-2 ст. 4.1 КоАП, введённой ФЗ-420.

4. Можно ли заменить штраф по ч. 3 на предупреждение?

Да, если выполнены условия ст. 4.1.1 КоАП: нарушение первичное, вред субъектам персональных данных не причинён, компания является субъектом МСП (микропредприятием или малым предприятием), угроза охраняемым интересам отсутствует. Замена на предупреждение не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11. По ч. 3 практика замены фиксируется — при устранении нарушения до вынесения постановления шансы существенно выше.

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул им подсудность. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Это влияет на порядок обжалования: постановление мирового судьи обжалуется в районный суд, затем — в вышестоящий суд общей юрисдикции.

Итог

Штраф по ч. 3 ст. 13.11 КоАП — 30 000–60 000 ₽ — остаётся одним из наиболее распространённых и при этом наиболее устранимых нарушений. Проблема не в сумме, а в том, что протокол по ч. 3 запускает цепочку: расширенную проверку, дополнительные протоколы и — при утечке — штрафы по ч. 12–14 с перспективой оборотного состава при повторности.

Юристы DATUM сопровождают операторов ПДн с 2014 года в рамках практики «Ветров и партнёры»: от аудита соответствия до защиты в суде по ст. 13.11 КоАП. Оценим риски конкретной ситуации и предложим план действий до или после составления протокола.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.