аналитика 4 февраля 2027 По состоянию на 4 февраля 2027

Кейс штрафа по ч. 8 ст. 13.11: разбор практики

Часть 8 ст. 13.11 КоАП — нарушение локализации персональных данных граждан РФ. Штраф для юрлица: от 1 до 6 млн ₽ при первичном нарушении, от 6 до 18 млн ₽ при повторном (ч. 9).

С 30.05.2025 ФЗ-420 от 30.11.2024 кардинально пересобрал ст. 13.11 КоАП: нарушение требования ч. 5 ст. 18 ФЗ-152 о хранении ПДн россиян в базах на территории РФ стало самостоятельным и тяжёлым составом. Повторная утечка на фоне не устранённого нарушения локализации — это уже оборотный штраф по ч. 15 до 500 млн ₽.

Если вы CEO и у вас облачная CRM или аналитика за рубежом — проверьте позицию компании до того, как это сделает РКН. → разбор ниже.

С 30 мая 2025 года ч. 8 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024. Нарушение требования локализации больше не поглощается общим составом ч. 1 — это отдельная статья с диапазоном штрафа от 1 до 6 млн ₽ и повторным составом по ч. 9 (6–18 млн ₽). Ниже — разбор того, как норма работает на практике, какие компании попадают под риск и что реально помогает снизить санкцию.

Что нарушает ч. 8 ст. 13.11 КоАП: состав и элементы

Часть 5 ст. 18 ФЗ-152 обязывает операторов: при сборе персональных данных граждан РФ первичные операции — запись, систематизацию, накопление, хранение, уточнение и извлечение — проводить в базах, физически расположенных на территории России. Это требование действует с 1 сентября 2015 года. Часть 8 ст. 13.11 КоАП в редакции с 30.05.2025 устанавливает административную ответственность именно за нарушение этой нормы.

«Ч. 8 ст. 13.11 КоАП (ред. с 30.05.2025) — нарушение требования об обеспечении записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации: штраф для юрлица — 1 000 000 – 6 000 000 ₽.»

Состав нарушения охватывает несколько типовых ситуаций. Первая — CRM-система, ERP или платформа лояльности размещены в облаке зарубежного провайдера (AWS, Azure, GCP, европейские дата-центры), а первичный сбор ведётся оттуда. Вторая — данные изначально собираются в российской базе, но затем синхронизируются с зарубежным мастер-хранилищем, которое используется как основное. Третья — HR-система, содержащая ПДн работников-граждан РФ, хранится на серверах головной компании за рубежом. Ни одна из этих ситуаций не является нарушением сама по себе — запрет касается именно первичных операций по ч. 5 ст. 18 ФЗ-152, а не любого факта наличия данных за рубежом. Но РКН трактует норму широко, и практика последних проверок это подтверждает.

Субъект правонарушения — оператор персональных данных, то есть юридическое или физическое лицо, самостоятельно или совместно с другими определяющее цели и содержание обработки. Ответственность несёт оператор, а не его подрядчик или облачный провайдер. Если обработка передана по договору поручения (ст. 6 ФЗ-152), это не снимает ответственность с основного оператора: он обязан обеспечить выполнение требований закона лицом, которому поручил обработку.

У компании облачная инфраструктура за рубежом?

Если CEO не уверен, где физически хранятся первичные базы с данными клиентов и сотрудников — это и есть риск ч. 8 ст. 13.11. До проверки РКН у вас есть время провести аудит и при необходимости перейти на российскую инфраструктуру. После проверки — только защита от штрафа. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как РКН выявляет нарушения локализации: механика проверок

Роскомнадзор использует несколько каналов для выявления нарушений ч. 5 ст. 18 ФЗ-152. Первый — плановые и внеплановые проверки по утверждённым индикаторам риска. Второй — технический мониторинг: РКН отслеживает, куда направляет трафик сайт, анализирует DNS и заголовки ответов серверов, запрашивает у операторов сведения об используемых системах. Третий — жалобы субъектов и партнёров, которые сообщают, что их данные обрабатываются зарубежной платформой.

После получения признаков нарушения РКН запрашивает у оператора документы: договоры с провайдерами, технические описания инфраструктуры, сведения о местонахождении баз данных. Если оператор не может подтвердить, что первичная запись и хранение ПДн граждан РФ происходят в России, составляется протокол по ч. 8 ст. 13.11. Параллельно могут возбуждаться дела по ч. 10 (неуведомление о намерении обрабатывать) или ч. 11 (неуведомление об инциденте), если есть признаки и этих нарушений.

Важный практический момент: наличие зеркальной копии в России само по себе не освобождает от ответственности. РКН смотрит на то, где происходят первичные операции по ч. 5 ст. 18. Если мастер-база за рубежом, а российский сервер лишь реплика — нарушение есть. Тактика «добавить российское облако для вида» не работает, если логика обработки осталась за рубежом.

Оборотный штраф по ч. 15 ст. 13.11: когда локализация становится катализатором

Часть 15 ст. 13.11 КоАП — оборотный штраф — применяется при повторном совершении нарушений по ч. 12–14 (утечки ПДн по масштабу) лицом, ранее привлекавшимся по ч. 12–14, 15–18. Прямой связи с ч. 8 нет, но на практике нарушение локализации создаёт условия для оборотного штрафа через следующую цепочку: данные хранятся за рубежом → инцидент у зарубежного провайдера → утечка ПДн граждан РФ → квалификация по ч. 12–14 → при повторности или при наличии предшествующего привлечения → ч. 15.

«Ч. 15 ст. 13.11 КоАП (ред. с 30.05.2025) — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 000 000 ₽, не более 500 000 000 ₽. Скидка 50% при добровольной уплате по ст. 32.2 КоАП не применяется к оборотным составам.»

Для компании с выручкой 2 млрд ₽ в год нижний порог оборотного штрафа — 20 млн ₽ (минимум по закону), верхний практический — 60 млн ₽ (3% от 2 млрд). Для компании с выручкой 10 млрд ₽ диапазон уже 100–300 млн ₽. Именно поэтому нарушение локализации — это не отдельный штраф 1–6 млн ₽, а потенциальный вход в оборотную траекторию при любом последующем инциденте.

Смягчение по ст. 4.1 КоАП предусмотрено для оборотных составов при условии, что оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года. В этом случае штраф по ч. 15 снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это существенная скидка, однако она требует документального подтверждения инвестиций задолго до проверки.

Если CEO уже получил протокол по ч. 8 ст. 13.11 или предписание РКН — у вас ограниченное окно для сбора смягчающих. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения санкции.

Защитить от штрафа 13.11

Сценарии нарушений ч. 8 ст. 13.11: типовые ситуации для CEO

Ниже — три практических сценария, которые описывают большинство кейсов по ч. 8 в практике DATUM.

Сценарий 1. CRM в зарубежном облаке. Компания использует Salesforce или HubSpot, данные клиентов записываются непосредственно на серверах в ЕС или США. Ситуация стала нарушением после введения ужесточённого регулирования с 01.07.2025. Доказательная база РКН: технический анализ трафика, ответ провайдера на запрос, договор с SaaS-платформой без условия обработки в РФ. Вероятный исход: протокол по ч. 8, штраф 1–3 млн ₽ при первичном нарушении с учётом смягчающих. Стратегия: миграция на российскую CRM или российский инстанс (если провайдер предоставляет), подача уведомления в РКН об устранении, документирование инвестиций в ИБ по ст. 4.1 КоАП.

Сценарий 2. HR-система иностранной головной компании. Российская «дочка» транснациональной корпорации использует глобальную HR-платформу (SAP SuccessFactors, Workday), данные работников хранятся в центральном дата-центре за рубежом. Ситуация: ч. 5 ст. 18 ФЗ-152 распространяется на всех операторов, включая дочерние структуры иностранных компаний, зарегистрированных в РФ. Доказательная база РКН: реестр операторов ПДн, технический аудит, договор с группой. Вероятный исход: штраф 2–4 млн ₽, предписание об устранении. Стратегия: организация российского хранилища для операций с ПДн сотрудников-граждан РФ, корректировка поручения обработки внутри группы, переоформление ОРД.

Сценарий 3. Нарушение устранено, но РКН не уведомлён. Оператор самостоятельно перенёс данные в Россию, однако не подал обновление в реестр операторов ПДн (ст. 22 ФЗ-152) и не уведомил РКН об устранении предписания. РКН проводит контрольную проверку и фиксирует, что по документам нарушение не закрыто. Дополнительный протокол по ч. 10 (неуведомление о намерении обрабатывать в изменившихся условиях, 100–300 тыс. ₽). Стратегия: немедленная подача актуализированного уведомления через pd.rkn.gov.ru, направление письма в РКН с доказательствами устранения, привлечение юриста до контрольного визита.

Что подготовить для защиты по ч. 8 ст. 13.11

Схему обработки ПДн с указанием физического местонахождения каждой базы данных (включая облако, резервные копии, тестовые среды)
Договоры с облачными и SaaS-провайдерами с указанием дата-центров или подтверждения обработки в РФ
Актуальное уведомление в реестре РКН (pd.rkn.gov.ru) с корректными сведениями о местонахождении баз
Документы, подтверждающие инвестиции в ИБ за три последних года (для применения ст. 4.1 КоАП)
ОРД: политику обработки ПДн, приказ об ответственном по ст. 22.1, договоры поручения обработки по ст. 6 ФЗ-152

Как суды применяют ч. 8 ст. 13.11 на практике: кейсы

Кейс 1. Торговая компания Уральского ФО (лето 2025) использовала польский облачный сервис для хранения базы клиентов интернет-магазина — около 180 000 записей. РКН зафиксировал нарушение ч. 5 ст. 18 ФЗ-152 в ходе внеплановой проверки после жалобы субъекта. Составлен протокол по ч. 8 ст. 13.11. Компания к моменту заседания суда перенесла базу на российский сервер и представила договор с российским провайдером. Мировой суд назначил штраф в нижней части диапазона с учётом устранения нарушения и содействия регулятору. Стратегия: документальное подтверждение устранения до вынесения постановления критически снижает итоговую санкцию.

Кейс 2 (по материалам реестра практики DATUM). IT-компания Северо-Западного ФО (осень 2025) применяла американскую аналитическую платформу для обработки поведенческих данных пользователей. Технический директор указал, что данные обезличены, поэтому локализация не требуется. РКН занял противоположную позицию: обезличивание не подтверждено методами по Приказу РКН, данные содержат идентификаторы, позволяющие восстановить личность субъекта. Протокол по ч. 8 ст. 13.11 плюс по ч. 1 (несовместимая обработка). Компания оспорила протокол в арбитраже, представила заключение о применении методов обезличивания. Арбитражный суд региона снизил штраф по ч. 8 до нижней границы, применив ст. 4.1 КоАП, с учётом инвестиций компании в ИБ. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Общий вывод из практики: суды готовы снижать штрафы по ч. 8 при наличии трёх факторов — устранение нарушения до вынесения постановления, документированные инвестиции в ИБ и отсутствие предшествующих привлечений по этой же части. При повторном нарушении (ч. 9) диапазон уже 6–18 млн ₽ и смягчение применяется значительно реже.

После ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи — подсудность вернулась к ним от арбитражных судов. Это влияет на тактику защиты: процессуальные возможности в мировом суде иные, чем в арбитраже, а сроки рассмотрения, как правило, короче.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП
Аудит соответствия 152-ФЗ — проверка инфраструктуры на соответствие ч. 5 ст. 18 ФЗ-152, выявление рисков локализации
Сопровождение проверок РКН — представление интересов при проверке, обжалование предписания

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. Нарушение локализации (ч. 8) — 1–6 млн ₽ для юрлица, повторное (ч. 9) — 6–18 млн ₽. Утечки квалифицируются по ч. 12–14 в зависимости от числа субъектов: от 1 до 10 тыс. — 3–5 млн ₽, от 10 до 100 тыс. — 5–10 млн ₽, свыше 100 тыс. — 10–15 млн ₽. Неуведомление об утечке за 24 часа (ч. 11) — 1–3 млн ₽. Диапазоны действуют для юридических лиц; для должностных лиц и ИП — отдельные пороги.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке ПДн лицом, ранее привлекавшимся по ч. 12–14, 15–18 той же статьи. Размер — 1–3% совокупной годовой выручки оператора за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% при добровольной уплате по ст. 32.2 КоАП к оборотному составу не применяется. Штраф исчисляется от всей выручки компании, а не от оборота по конкретному направлению, где произошла утечка.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ — нижний предел оборотного штрафа по ч. 15 ст. 13.11 КоАП. Он применяется, когда расчётная сумма 1–3% от выручки оказывается ниже этого порога. Например, если годовая выручка компании 500 млн ₽, то 1% = 5 млн ₽, 3% = 15 млн ₽ — оба значения ниже минимума, поэтому штраф будет 20 млн ₽. При выручке свыше 2 млрд ₽ расчётная сумма превышает минимум и штраф определяется процентом от выручки. Потолок — 500 млн ₽ при любой выручке.

4. Можно ли заменить штраф на предупреждение?

Замена административного штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении, отсутствии вреда охраняемым интересам и при наличии смягчающих обстоятельств. Однако к оборотным составам — ч. 15 и ч. 18 ст. 13.11 КоАП — ст. 4.1.1 не применяется. По ч. 8 (локализация) замена на предупреждение теоретически возможна при первичном нарушении микропредприятием, но регулятор и суды применяют её крайне редко из-за высокой общественной значимости требования локализации.

5. Какая подсудность дел после ФЗ-508?

С 28 декабря 2025 года, после вступления в силу ФЗ-508 от 28.12.2025, дела по ст. 13.11 КоАП снова рассматривают мировые судьи. В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Возврат к мировым судьям влияет на тактику защиты: сроки рассмотрения короче, апелляция идёт в районный суд, а не в арбитражный апелляционный. Для CEO это означает необходимость привлекать юриста сразу после составления протокола — времени на подготовку меньше.

Итог

Часть 8 ст. 13.11 КоАП в редакции с 30.05.2025 — один из немногих составов, где штраф начинается от 1 млн ₽ даже при первичном нарушении. Повторное нарушение (ч. 9) даёт диапазон 6–18 млн ₽, а нарушение локализации, предшествующее утечке, создаёт условия для оборотного штрафа по ч. 15 до 500 млн ₽. Инструменты снижения санкции — ст. 4.1 КоАП (инвестиции в ИБ), устранение нарушения до вынесения постановления и документирование смягчающих обстоятельств — работают, но требуют подготовки задолго до проверки.

Практика DATUM по защите операторов от штрафов по ст. 13.11 КоАП включает дела по ч. 8 (локализация), ч. 1–2 (обработка без оснований и согласия) и ч. 12–14 (утечки). Юристы практики сопровождают как досудебный этап взаимодействия с РКН, так и обжалование постановлений в суде с применением ст. 4.1 и ст. 4.1.1 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.