аналитика 9 декабря 2027 По состоянию на 9 декабря 2027

Кейс штрафа по ч. 5 ст. 13.11: разбор практики

Ч. 5 ст. 13.11 КоАП — штраф от 50 000 до 90 000 рублей за неисполнение требования об уточнении, блокировании или уничтожении персональных данных в установленный срок.

С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024: повторное нарушение по ч. 5 влечёт санкцию по ч. 5.1 — от 300 000 до 500 000 рублей. Обжалование с 28.12.2025 снова рассматривают мировые судьи.

→ Если компания получила требование субъекта об уничтожении ПДн или предписание РКН и не исполнила — у CEO есть ограниченное время для защиты. Разбираем, что произошло в практике и как действовать.

С вступлением в силу ФЗ-420 от 30.11.2024 количество составов в ст. 13.11 КоАП выросло с семи до восемнадцати. Ч. 5 в новой редакции охватывает неисполнение требований субъекта, его представителя или предписания Роскомнадзора об уточнении, блокировании или уничтожении персональных данных. Диапазон штрафа для юридических лиц — 50 000–90 000 рублей. За повторное нарушение ч. 5.1 предусматривает уже 300 000–500 000 рублей. В этой статье разобраны обстоятельства, при которых компании попадают под ч. 5, реальные сценарии из практики и инструменты защиты, которые позволяют снизить или исключить штраф.

Что именно нарушает ч. 5 ст. 13.11 КоАП с 30.05.2025?

Ч. 5 ст. 13.11 КоАП фиксирует три группы нарушений. Первая — оператор получил от субъекта персональных данных или его представителя требование об уточнении, блокировании либо уничтожении ПДн, но не исполнил его в срок, установленный ФЗ-152. Вторая — аналогичное требование поступило от Роскомнадзора и также было проигнорировано или исполнено с опозданием. Третья — оператор уведомил субъекта об исполнении, но фактически не совершил необходимых действий.

«Ст. 21 ФЗ-152 обязывает оператора при выявлении неточных персональных данных заблокировать их, провести уточнение и разблокировать в течение семи рабочих дней. При отсутствии законных оснований для обработки — уничтожить данные в течение семи рабочих дней с момента получения требования субъекта.»

На практике нарушение возникает в трёх типовых ситуациях: оператор не получил требование из-за неработающего адреса обратной связи на сайте; требование получено, но передано неответственному сотруднику и «потерялось»; данные технически заблокированы, но в резервных копиях продолжают обрабатываться. Каждый из этих случаев образует состав по ч. 5, и доказать отсутствие вины без документации практически невозможно.

С 30.05.2025 изменилась нумерация: то, что ранее было ч. 5 в редакции до ФЗ-420, теперь разделено — ч. 5 охватывает первичное нарушение, ч. 5.1 — повторное. Для целей ч. 15 (оборотный штраф) ч. 5 не является основанием — оборотный штраф применяется только при повторных утечках по ч. 12–14.

Получили требование субъекта или предписание РКН?

Если CEO компании получил уведомление от РКН или письменное требование субъекта — у оператора семь рабочих дней на исполнение по ст. 21 ФЗ-152. Срок не восстанавливается. Неисполнение прямо квалифицируется по ч. 5 ст. 13.11 КоАП — штраф 50 000–90 000 рублей; при повторности — до 500 000 рублей по ч. 5.1. Юристы DATUM проанализируют требование, выработают позицию и сопроводят исполнение так, чтобы минимизировать риск составления протокола.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как формируется доказательная база по ч. 5: что проверяет РКН?

Роскомнадзор при проверке по ч. 5 анализирует несколько блоков. Первый — факт получения требования оператором: входящая корреспонденция, электронная почта, форма обратной связи, запись в CRM. Второй — дата получения: от неё отсчитывается семидневный срок. Третий — действия оператора: есть ли журнал обращений субъектов, зафиксировано ли поручение ответственному сотруднику, выполнено ли фактическое блокирование или уничтожение. Четвёртый — уведомление субъекта о принятых мерах.

Отсутствие журнала учёта обращений субъектов — самостоятельное нарушение ст. 18.1 ФЗ-152, квалифицируемое по ч. 3 ст. 13.11 КоАП. На практике РКН нередко одновременно составляет протоколы по ч. 3 и ч. 5: отсутствие документации подтверждает системный характер нарушений и затрудняет применение ст. 4.1.1 КоАП (замена штрафа на предупреждение).

«Ст. 4.1.1 КоАП позволяет заменить штраф на предупреждение для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии имущественного вреда. Норма не применяется к составам ч. 15 и ч. 18 ст. 13.11 КоАП (оборотные штрафы).»

Ключевой защитный аргумент — доказанная оперативность исполнения. Если оператор получил требование, немедленно заблокировал данные и уведомил субъекта, но технически не уложился в семь рабочих дней из-за сложности ИТ-архитектуры — суды принимают во внимание предпринятые меры. Это обстоятельство фиксируется в ст. 4.2 КоАП как смягчающее.

Три сценария: как компании попадают под ч. 5 и чем это заканчивается

Практика с 30.05.2025 показывает типичные паттерны, при которых составляется протокол по ч. 5.

Сценарий 1. Требование получено, но не маршрутизировано. Компания электронной коммерции (Уральский ФО, осень 2025) получила от бывшего клиента требование об уничтожении персональных данных. Письмо поступило на общий корпоративный ящик, не связанный с процессом обработки ПДн. Ответственный за обработку не был уведомлен. Через 30 дней субъект обратился в РКН. РКН провёл внеплановую проверку, зафиксировал отсутствие журнала обращений субъектов и составил протоколы по ч. 3 и ч. 5. Штраф — в диапазоне, установленном обеими частями. Компания оспорила протокол по ч. 5 в части отсутствия умысла, однако факт неисполнения в срок был подтверждён перепиской. Итог: назначен штраф по ч. 5. По ч. 3 — предупреждение как первичное нарушение для субъекта МСП.

Сценарий 2. Блокирование исполнено, уничтожение — нет. Медицинская компания (Центральный ФО, начало 2026) заблокировала данные пациента по требованию, уведомила субъекта. Однако в резервной копии МИС данные продолжали храниться ещё три месяца. Субъект повторно обратился в РКН с доказательствами присутствия своих данных в системе (получил ответ на медицинский запрос, сформированный из старой копии). РКН квалифицировал ситуацию как неисполнение требования об уничтожении. Позиция компании — технические ограничения ИТ-подрядчика. Суд принял довод частично: штраф назначен в нижней части диапазона по ч. 5. Инвестиции в ИБ компания не подтвердила документально, что исключило применение льготы по ст. 4.1 КоАП.

Сценарий 3. Повторное нарушение — ч. 5.1. Торговая сеть (Сибирский ФО, лето 2026) была привлечена по ч. 5 в конце 2025 года. Штраф уплачен. В 2026 году аналогичная ситуация повторилась с другим субъектом. РКН квалифицировал нарушение по ч. 5.1 — от 300 000 до 500 000 рублей. Применить ст. 4.1.1 КоАП невозможно: статья работает только при первичном нарушении. Итог: назначен штраф по ч. 5.1 в размере четырёхсот тысяч рублей. Доводы о добросовестности приняты судом как смягчающие по ст. 4.2 КоАП, но не снизили штраф ниже минимума ч. 5.1.

Если ваша компания уже привлекалась по ч. 5 ст. 13.11 и получила новое требование субъекта — следующий протокол будет составлен по ч. 5.1, диапазон штрафа вырастет в шесть раз. Юристы DATUM выработают регламент исполнения требований субъектов, который закроет риск повторного нарушения.

Защитить от штрафа 13.11

Какие инструменты снижают штраф по ч. 5 ст. 13.11?

Защита при составлении протокола по ч. 5 строится на нескольких инструментах. Их применимость зависит от стадии: до составления протокола, на стадии рассмотрения дела, при обжаловании постановления.

Что подготовить для защиты по ч. 5

Журнал учёта обращений субъектов с датами получения, содержанием требований и принятыми мерами за последние 12 месяцев.
Документы, подтверждающие фактическое блокирование или уничтожение данных: выгрузки из ИС, акты, скриншоты с датой и временем.
Переписку с субъектом или РКН — подтверждение уведомления об исполнении требования.
Сведения о статусе компании как субъекта МСП для применения ст. 4.1.1 КоАП при первичном нарушении.
Подтверждение инвестиций в информационную безопасность (не менее 0,1% выручки за три года) для льготы по ст. 4.1 КоАП при оборотных штрафах.

Ст. 4.1 КоАП предусматривает снижение оборотного штрафа до одной десятой минимума при доказанных инвестициях в ИБ не менее 0,1% совокупной выручки за три предшествующих года — но это применимо к ч. 15 и ч. 18, а не к ч. 5. Для ч. 5 значимы ст. 4.2 КоАП (смягчающие: устранение нарушения, добровольное возмещение, первичность) и ст. 4.1.1 КоАП (замена на предупреждение для МСП при первичном нарушении). Повторность по ч. 5.1 блокирует оба механизма.

После ФЗ-508 от 28.12.2025 дела по ст. 13.11 снова рассматриваются мировыми судьями. Это меняет тактику защиты: мировые суды чаще применяют ст. 4.1.1 при наличии доказательств добросовестности оператора, тогда как арбитражные суды (действовавшие в период 30.05.2025–27.12.2025) нередко ориентировались на формальный состав.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 вступила в силу редакция ФЗ-420 от 30.11.2024, которая расширила ст. 13.11 с семи до восемнадцати частей. Ч. 5 — неисполнение требования об уточнении, блокировании или уничтожении ПДн — штраф для юридических лиц 50 000–90 000 рублей. Ч. 5.1 — повторное нарушение по ч. 5 — 300 000–500 000 рублей. Ч. 12–14 охватывают утечки от 1 000 субъектов с диапазоном 3–15 млн рублей. Ч. 15 — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки, не менее 20 млн рублей, не более 500 млн рублей.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется к оператору, который ранее привлекался по ч. 12, 13, 14, 16, 17 или 18 ст. 13.11 и допустил новую утечку. База расчёта — совокупная выручка за предшествующий календарный год. Нижний порог — 20 млн рублей вне зависимости от расчётной суммы процента. Верхний — 500 млн рублей. К ч. 5 оборотный штраф не применяется: ч. 5 не входит в перечень оснований для ч. 15.

3. Когда минимум 20 млн рублей применяется как «пол» оборотного штрафа?

Минимум 20 млн рублей по ч. 15 ст. 13.11 действует, если расчётная сумма (1–3% от выручки) оказывается меньше этой величины. Например, при выручке 400 млн рублей 1% составляет 4 млн рублей — к оператору будет применён пол 20 млн рублей. Льгота по ст. 4.1 КоАП (инвестиции в ИБ не менее 0,1% выручки) снижает штраф до одной десятой минимума, но не ниже 15 млн рублей и не более 50 млн рублей.

4. Можно ли заменить штраф по ч. 5 на предупреждение?

Да, при соблюдении условий ст. 4.1.1 КоАП: компания относится к субъектам МСП, нарушение совершено впервые, имущественный вред третьим лицам не нанесён. С 28.12.2025 дела рассматривают мировые судьи, которые исторически активнее применяют ст. 4.1.1. При повторном нарушении, то есть при составлении протокола по ч. 5.1, замена на предупреждение невозможна — первичность является обязательным условием.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

ФЗ-508 от 28.12.2025 вернул рассмотрение дел по ст. 13.11 КоАП мировым судьям. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. С 28.12.2025 подсудность — снова мировые суды по месту совершения правонарушения. Это имеет практическое значение: порядок обжалования постановления мирового судьи — через районный суд, затем кассационную инстанцию суда общей юрисдикции.

Итог

Ч. 5 ст. 13.11 КоАП — штраф от 50 000 до 90 000 рублей — применяется при неисполнении требования об уточнении, блокировании или уничтожении персональных данных. Для CEO риск двойной: первичное нарушение при отсутствии документации дополняется протоколом по ч. 3, а повторное переводит ситуацию в ч. 5.1 с потолком 500 000 рублей. Защита работает при наличии журнала обращений субъектов, доказательств исполнения и статуса МСП при первичном нарушении.

Практика DATUM по ст. 13.11 КоАП включает сопровождение проверок РКН, составление возражений на протоколы и обжалование постановлений в мировых судах с применением ст. 4.1, 4.1.1 и 4.2 КоАП.

Услуги DATUM по теме

Защита при штрафе в арбитраже — обжалование протокола и постановления по ч. 5 и ч. 5.1 ст. 13.11 КоАП.
Аудит соответствия 152-ФЗ — проверка журнала обращений субъектов и порядка исполнения требований по ст. 21 ФЗ-152.
Сопровождение проверок РКН — подготовка к внеплановой проверке и представление интересов на месте.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

9 декабря 2027 года