аналитика 17 февраля 2027 По состоянию на 17 февраля 2027

Кейс штрафа по ч. 7 ст. 13.11: разбор практики

Часть 7 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 — это состав об обезличивании ПДн. Он адресован операторам-госорганам, которые обязаны применять утверждённые методы, но не делают этого.

С 30.05.2025 действует расширенная редакция ст. 13.11 КоАП: 18 частей вместо прежних 7. Штрафные диапазоны по большинству составов выросли кратно, а за повторную утечку введён оборотный штраф — до 500 млн ₽ по ч. 15. Понимание того, какой состав применяется в вашем случае, определяет стратегию защиты.

Если вы CEO и компания получила протокол по ст. 13.11 — разберитесь с квалификацией до судебного заседания. Это единственный момент, когда можно повлиять на итог. → Разобраться с составом поможет команда DATUM.

Статья 13.11 КоАП с 30 мая 2025 года — это не прежние 7 частей с максимумом 300 000 ₽, а 18 самостоятельных составов с диапазоном от 30 000 ₽ до 500 млн ₽. Часть 7 в действующей редакции закрепляет ответственность за неисполнение обязанности по обезличиванию ПДн или за несоблюдение утверждённых методов обезличивания. Состав относится к операторам-государственным органам; для частного бизнеса ключевые риски лежат в других частях — 12, 13, 14 и особенно 15. Ниже — разбор практики применения ч. 7, логика расширенной редакции ст. 13.11 в целом и инструменты, которые реально работают при защите от штрафа.

Что изменила ФЗ-420 от 30.11.2024 в составе ст. 13.11 КоАП?

До 30 мая 2025 года ст. 13.11 КоАП содержала 7 частей. Максимальный штраф для юридического лица составлял 300 000 ₽ — по ч. 2 за обработку без письменного согласия. ФЗ-420 от 30.11.2024 радикально пересобрал эту статью: теперь в ней 18 частей, а штрафы по утечкам измеряются миллионами и сотнями миллионов рублей.

«Ст. 13.11 КоАП в редакции с 30.05.2025 — 18 частей, введённых ФЗ-420 от 30.11.2024. Ч. 15 — оборотный штраф за повторную утечку: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.»

Структурно новые части можно разбить на три группы. Первая — процедурные нарушения: ч. 1 (незаконная обработка, 150–300 тыс. ₽), ч. 2 (отсутствие письменного согласия, 300–700 тыс. ₽), ч. 3 (нет политики, 30–60 тыс. ₽), ч. 4 (не предоставлена информация субъекту, 40–80 тыс. ₽), ч. 5 (не исполнено требование об уточнении/уничтожении, 50–90 тыс. ₽). Вторая группа — нарушения обезличивания и локализации: ч. 7 (обезличивание для госорганов), ч. 8 (нарушение локализации, 1–6 млн ₽). Третья — инциденты с ПДн: ч. 11 (неуведомление об утечке, 1–3 млн ₽), ч. 12–14 (утечки от 1 000 субъектов и выше, 3–15 млн ₽), ч. 15 (оборотный при повторности).

Нумерация изменилась принципиально. В публичных комментариях и судебных актах до середины 2025 года встречается путаница: протоколы, составленные до вступления ФЗ-420 в силу, квалифицированы по старой редакции. При получении протокола первое, что проверяет юрист, — дата совершения правонарушения и то, какая редакция применялась.

Что представляет собой состав по ч. 7 ст. 13.11 КоАП?

Часть 7 ст. 13.11 КоАП в редакции ФЗ-420 предусматривает ответственность за два связанных нарушения. Первое — невыполнение оператором-государственным органом обязанности по обезличиванию ПДн в предусмотренных законом случаях. Второе — несоблюдение утверждённых требований и методов обезличивания.

«Методы обезличивания ПДн утверждены подзаконным актом Роскомнадзора (2025). Их пять: введение идентификаторов, изменение состава или семантики данных, декомпозиция, перемешивание, обобщение и агрегация.»

Санкция по ч. 7 для должностных лиц составляет от 6 000 до 12 000 ₽. Санкция для юридических лиц в этой части отсутствует — состав адресован именно должностным лицам госорганов. Это принципиальное отличие от большинства других частей ст. 13.11, где юрлица несут основную финансовую нагрузку.

Для частного бизнеса ч. 7 напрямую не применяется. Однако практика применения обезличивания в компаниях, которые используют ПДн для обучения ML-моделей или аналитики, напрямую влияет на то, попадёт ли их деятельность под иные составы — в первую очередь ч. 1 (обработка с нарушением целей) и ч. 12–14 (утечка). Грамотно реализованное обезличивание снижает объём данных, подпадающих под регулирование, и уменьшает потенциальные штрафные базы.

Получили протокол по ст. 13.11 КоАП — что делать прямо сейчас?

Если вы CEO и на стол легло постановление или протокол по ст. 13.11 — ключевое действие: определить, по какой части квалифицировано нарушение и на какую дату. От этого зависит, применяется ли старая редакция (до 30.05.2025) или новая, какой диапазон штрафа реален и есть ли основания для ст. 4.1.1 КоАП. Срок обжалования постановления — 10 дней с момента вручения. После истечения срока варианты сужаются.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как формируется оборотный штраф по ч. 15 ст. 13.11 и когда он применяется?

Часть 15 ст. 13.11 КоАП — самый тяжёлый состав в статье. Оборотный штраф применяется при совокупности двух условий. Первое: компания допустила утечку ПДн от 1 000 субъектов (составы по ч. 12, 13 или 14). Второе: она уже привлекалась к ответственности по ч. 12–15 или по ч. 16–18 той же статьи. Формула расчёта: от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽.

Для компании с выручкой 5 млрд ₽ диапазон составляет от 50 млн до 150 млн ₽, но не менее 20 млн ₽ и не выше 500 млн ₽. Для компании с выручкой 500 млн ₽ расчёт даёт 5–15 млн ₽, но минимум всё равно 20 млн ₽. Таким образом, минимальный оборотный штраф фиксирован независимо от размера выручки.

Скидка 50% за добровольную уплату по ст. 32.2 КоАП к оборотному штрафу не применяется. Это прямо следует из конструкции нормы.

«Ст. 4.1 КоАП, примечание 3.4-2: если оператор вложил в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 и ч. 18 ст. 13.11 рассчитывается как одна десятая от минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

Инвестиции в ИБ — это единственный инструмент, позволяющий снизить оборотный штраф. Компания, документально подтвердившая расходы на средства защиты информации, на аудиты, на DPO-функцию, вправе претендовать на снижение в 10 раз от минимума. Документы готовятся заранее — их нельзя собрать за 10 дней в ходе обжалования.

Когда суды применяют ст. 4.1.1 КоАП и заменяют штраф предупреждением?

Статья 4.1.1 КоАП позволяет заменить административный штраф предупреждением для субъектов МСП и микропредприятий при первичном нарушении, отсутствии ущерба и при соблюдении иных условий. Применительно к ст. 13.11 суды используют её активно — но только для составов, не входящих в перечень исключений.

Прямое исключение из ст. 4.1.1 КоАП: она не применяется к ч. 15 и ч. 18 ст. 13.11 КоАП. То есть к оборотным штрафам замена на предупреждение невозможна в принципе. Для остальных частей — ч. 1, 2, 3, 4, 5, 8, 10, 11, 12, 13, 14 — замена теоретически возможна при соблюдении условий.

На практике (по обзорным данным правоприменения за 2025–2026 годы) замена на предупреждение по ст. 13.11 применялась: в деле о хищении базы данных соискателей компании-микропредприятия суд квалифицировал нарушение по ч. 1 и заменил штраф до 300 000 ₽ на предупреждение, поскольку нарушение было первичным, а оператор не мог предотвратить внешнюю атаку. Это единичная практика — суды неодинаково понимают критерий «отсутствия ущерба» при утечке.

Если против вашей компании возбуждено дело по ст. 13.11 КоАП — критически важно установить наличие оснований для ст. 4.1.1 и собрать доказательства инвестиций в ИБ до заседания. После вынесения постановления окно для этих доводов закрывается.

Защитить от штрафа 13.11

Практические сценарии: как CEO сталкивается с ст. 13.11 КоАП

Сценарий 1. Утечка произошла до 30.05.2025 — дело возбуждено позже.

Ситуация: хакерская атака состоялась в марте 2025 года, РКН уведомлён, дело передано в суд в июле 2025. Суд рассматривает нарушение: по дате совершения (март 2025) применяется старая редакция ст. 13.11 с максимумом 300 000 ₽ по ч. 1. Именно по этой логике дело А40-263126/2025 завершилось штрафом 150 000 ₽ при утечке 26 млн записей — нарушение квалифицировалось по нормам до ФЗ-420. Стратегия: в протоколе и на заседании фиксировать дату инцидента; если она до 30.05.2025 — добиваться применения старой редакции.

Сценарий 2. Повторная утечка — угроза ч. 15.

Ситуация: компания уже привлекалась по ч. 12 ст. 13.11 за утечку 5 000 субъектов. Спустя год произошла новая утечка 15 000 субъектов. Прокуратура инициирует дело по ч. 15 — оборотный штраф. При выручке 2 млрд ₽ диапазон составляет 20–60 млн ₽. Доказательства расходов на ИБ за три предшествующих года позволяют ходатайствовать о снижении до 15 млн ₽ по ст. 4.1 КоАП, примечание 3.4-2. Исход зависит от документации: закупки SIEM, WAF, услуг DPO, результатов аудита — всё должно быть подтверждено договорами и актами. Стратегия: фиксировать расходы на ИБ непрерывно, не ждать инцидента.

Сценарий 3. Неуведомление РКН об утечке — ч. 11 ст. 13.11.

Ситуация: инцидент обнаружен, но первичное уведомление в РКН направлено через 36 часов, а не в течение 24. ИБ-команда собирала данные об объёме утечки. РКН возбуждает дело по ч. 11 — штраф 1–3 млн ₽. Одновременно по факту самой утечки — дело по ч. 12 (3–5 млн ₽ при утечке от 1 000 субъектов). Совокупная санкция — до 8 млн ₽. Стратегия: регламент реагирования на инциденты, утверждённый до инцидента, позволяет доказать, что задержка была вынужденной, и ходатайствовать о снижении по ч. 4.2 ст. 4.1 КоАП. Срок 24 часа по ч. 3.1 ст. 21 ФЗ-152 не восстанавливается, но своевременный неполный отчёт лучше отсутствия уведомления.

Что подготовить CEO для снижения риска по ст. 13.11

Подтверждение включения компании в реестр операторов ПДн на pd.rkn.gov.ru — актуальные сведения об объёме и целях обработки.
Комплект ОРД: политика конфиденциальности, приказ о назначении ответственного по ст. 22.1 ФЗ-152, согласия по новой форме ФЗ-156 (с 01.09.2025).
Документы об инвестициях в ИБ за три последних года: договоры на SIEM, WAF, пентесты, аудиты, DPO-аутсорсинг — для ст. 4.1 КоАП, примечание 3.4-2.
Регламент реагирования на инциденты с ПДн с указанием ответственных, сроков уведомления (24/72 часа по Приказу РКН №187) и формата отчёта.
Журнал обращений субъектов ПДн за последние 12 месяцев — доказательство соблюдения сроков по ст. 20 ФЗ-152.

Какова подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

Подсудность дел по ст. 13.11 КоАП менялась дважды за короткий период. С 30 мая 2025 года (вступление ФЗ-420 в силу) дела рассматривались арбитражными судами. С 28 декабря 2025 года ФЗ-508 вернул подсудность мировым судьям. Это имеет практическое значение: процессуальные правила, состав судей, нагрузка и устоявшиеся подходы к оценке доказательств у мировых судей и арбитражных судов существенно различаются.

Для CEO ключевое следствие: жалобы на постановления мирового судьи рассматривает районный суд, а не арбитражный. Специализированная юридическая защита в мировом суде требует понимания особенностей КАС и КоАП — процессуальных правил, отличных от арбитражного процесса. Срок подачи жалобы — 10 дней с момента вручения копии постановления.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024: 18 частей. Для юридических лиц диапазоны: ч. 1 — 150–300 тыс. ₽, ч. 2 — 300–700 тыс. ₽, ч. 8 (локализация) — 1–6 млн ₽, ч. 11 (неуведомление об утечке) — 1–3 млн ₽, ч. 12 (утечка от 1 000 субъектов) — 3–5 млн ₽, ч. 13 — 5–10 млн ₽, ч. 14 (более 100 000 субъектов) — 10–15 млн ₽, ч. 17 (биометрия) — 15–20 млн ₽. Ч. 15 (оборотный) — 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается как процент от совокупной выручки компании за предшествующий календарный год. Диапазон — от 1 до 3%. Нижний порог — 20 млн ₽, верхний — 500 млн ₽. Применяется только при повторном нарушении: компания уже должна была быть привлечена по ч. 12, 13, 14, 15, 16, 17 или 18 той же статьи. Скидка 50% за добровольную уплату (ст. 32.2 КоАП) к оборотному штрафу не применяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 применяется всегда — он является нижней границей оборотного штрафа независимо от размера выручки. Если расчётная сумма (1–3% выручки) оказывается меньше 20 млн ₽, назначается минимум. Снизить его можно только через ст. 4.1 КоАП, примечание 3.4-2 — при подтверждённых инвестициях в ИБ не менее 0,1% выручки за три года, тогда штраф составит одну десятую от минимума, но не менее 15 млн ₽.

4. Можно ли заменить штраф по ст. 13.11 на предупреждение?

Замена на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии реального ущерба. Это применимо к ч. 1, 2, 3, 4, 5, 8, 10–14 ст. 13.11. Прямое исключение: ст. 4.1.1 КоАП не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11. На практике суды применяли замену по ч. 1 при первичном нарушении микропредприятий.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул им подсудность. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Жалобы на постановления мирового судьи направляются в районный суд. Срок обжалования — 10 дней с момента вручения копии постановления.

Итог

Часть 7 ст. 13.11 КоАП в действующей редакции применяется к операторам-государственным органам за нарушения в сфере обезличивания ПДн. Для частного бизнеса релевантны иные части — прежде всего ч. 12–15, регулирующие ответственность за утечки с прогрессивными санкциями вплоть до оборотного штрафа. Понимание нумерации и логики новой редакции, даты совершения нарушения и наличия инвестиций в ИБ — три фактора, от которых зависит итог дела.

Практика DATUM по арбитражной защите от штрафов ст. 13.11 включает анализ квалификации, подготовку доказательной базы по ст. 4.1 и ст. 4.1.1 КоАП, представление интересов в мировом и районном судах. Сопровождение начинается с момента получения протокола.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП
Аудит соответствия 152-ФЗ — выявление нарушений до проверки РКН
Сопровождение проверок РКН — подготовка и представление интересов

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

17 февраля 2027 года