Кейс штрафа по ч. 9 ст. 13.11: разбор практики
Ч. 9 ст. 13.11 КоАП в редакции ФЗ-420 действует с 30.05.2025. Первые дела по новой нумерации уже поступают к мировым судьям — подсудность возвращена ФЗ-508 от 28.12.2025. CEO, который не следит за реестром операторов и состоянием ИТ-инфраструктуры, рискует получить постановление на 6–18 млн ₽ без предупреждения. Ниже — разбор состава, практика применения и инструменты защиты.
Что такое ч. 9 ст. 13.11 КоАП и кто под неё попадает?
Ч. 8 ст. 13.11 КоАП фиксирует первичное нарушение требования о локализации: запись, систематизация, накопление, хранение, уточнение или извлечение персональных данных граждан РФ должны осуществляться в базах, размещённых на территории России (ч. 5 ст. 18 ФЗ-152). Нарушение — штраф 1–6 млн ₽ для юридического лица.
Ч. 9 ст. 13.11 КоАП — повторное совершение того же деяния. Повторность означает: оператор уже привлекался к ответственности по ч. 8 в течение одного года до нового нарушения. Штраф для юридического лица: 6 000 000 — 18 000 000 рублей.
Кто попадает под ч. 9: компании, хранящие или обрабатывающие ПДн граждан РФ в зарубежных облаках или CRM-системах (Salesforce, HubSpot, зарубежный AWS), не прошедшие аудит локализации после первого штрафа; операторы, заключившие договоры с иностранными обработчиками без проверки соответствия ч. 5 ст. 18 ФЗ-152; компании, перешедшие на новые SaaS-решения с данными за рубежом после введения ФЗ-420.
Важный нюанс для CEO: субъективная сторона — не умысел, а факт. Достаточно доказать, что база с ПДн граждан РФ физически размещена за рубежом. Незнание о нарушении не освобождает от ответственности.
Получили постановление по ч. 8 ст. 13.11 или запрос РКН?
Если компания уже привлекалась по ч. 8 — следующая проверка автоматически квалифицирует нарушение как повторное по ч. 9. У вас есть 10 дней на обжалование постановления. Юристы DATUM оспорят квалификацию, подготовят позицию и представят интересы у мирового судьи или в районном суде.
Защитить от штрафа 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как квалифицируется повторность и что считается первым нарушением?
Повторность по ч. 9 ст. 13.11 КоАП возникает при соблюдении двух условий. Первое: вынесено вступившее в силу постановление по ч. 8 ст. 13.11. Второе: новое нарушение локализации совершено в течение одного года с даты исполнения или истечения срока исполнения предыдущего постановления.
На практике значима дата «вступления в силу»: если первое постановление обжалуется, срок годичного периода начинает течь с момента вступления апелляционного определения в силу. Это даёт процессуальный инструмент: обжалование первого постановления по ч. 8 сдвигает или прерывает отсчёт, при котором наступает повторность.
Что суды расценивают как «то же деяние»: хранение данных на зарубежном сервере, синхронизация в облако за пределами РФ, резервное копирование на иностранный хостинг, CRM с первичным сбором за рубежом. Недостаточно перенести основную базу в Россию, если резервная копия остаётся на зарубежном S3.
Для CEO принципиально понять: регулятор фиксирует нарушение на уровне технической конфигурации, а не намерений. Если после первого штрафа IT-директор перенёс «основные» данные в РФ, но оставил синхронизацию с Salesforce — это повторное нарушение.
Как снизить штраф по ч. 9 ст. 13.11: три реальных инструмента
Инструмент первый — оспаривание квалификации. Если первое постановление по ч. 8 обжалуется или не вступило в силу, ч. 9 не применяется. Позиция: нарушение не является повторным, поскольку предыдущее дело не завершено. Суды принимают этот аргумент при наличии документального подтверждения обжалования.
Инструмент второй — ст. 4.1 КоАП: учёт смягчающих обстоятельств. Перечень открытый. Суды принимают: добровольное устранение нарушения до вынесения постановления, уведомление РКН о принятых мерах, подтверждённые инвестиции в локализацию инфраструктуры, отсутствие вреда субъектам ПДн.
Инструмент третий — снижение штрафа ниже нижнего предела по ч. 2.2 ст. 4.1 КоАП при исключительных обстоятельствах. Применяется редко, но прецеденты есть: суд снижает до половины минимума при доказанной несоразмерности санкции финансовому положению организации.
Что подготовить для защиты по ч. 9 ст. 13.11
- Копию первого постановления по ч. 8 и документы об обжаловании (если подавалось)
- Технический отчёт о конфигурации баз данных с подтверждением локализации в РФ на дату проверки
- Документы о принятых мерах: приказы, договоры с российскими провайдерами, акты переноса данных
- Подтверждение инвестиций в информационную безопасность (для применения примечания 3.4-2 к ст. 4.1 КоАП)
- Юридический анализ роли каждого иностранного сервиса — оператор или обработчик по поручению
Примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420): если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам рассчитывается как 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это не касается ч. 9 напрямую, но применяется к ч. 15 — если повторная утечка сочетается с нарушением локализации.
Как это выглядит в практике: разбор сценариев для CEO
Сценарий 1. Зарубежный CRM-сервис после первого предписания. Компания получила постановление по ч. 8 — хранение данных клиентов в HubSpot (серверы ЕС). Оплатила штраф в размере 2 млн ₽, перенесла основную CRM в российское облако. Однако маркетинговые сегменты и история коммуникаций остались синхронизированы с HubSpot. Через семь месяцев — повторная проверка. Квалификация: ч. 9 ст. 13.11, штраф 6–18 млн ₽. Стратегия защиты: оспаривание состава (синхронизация — не «хранение» в смысле ч. 5 ст. 18), применение ст. 4.1 КоАП с учётом частичного устранения. Вероятный исход при квалифицированной защите — снижение до нижней границы диапазона.
Сценарий 2. Резервное копирование на зарубежный S3 после устранения первичного нарушения. IT-директор перенёс основную базу клиентов на российский сервер после первого штрафа. Резервные копии автоматически уходили на AWS S3 (регион eu-west-1). CEO об этом не знал. При проверке РКН обнаружил backup с ПДн граждан РФ. Квалификация: ч. 9. Доказательства для защиты: незамедлительное устранение, уведомление регулятора, документированные приказы о реорганизации хранения. Возможность применения ст. 4.1.1 КоАП (замена на предупреждение) исключена: ч. 9 — повторное нарушение, предупреждение по ст. 4.1.1 не применяется к повторным составам.
Сценарий 3. Нарушение локализации через подрядчика. Разработку мобильного приложения вёл внешний подрядчик. Он использовал тестовую базу с реальными ПДн клиентов в зарубежном GitLab CI/CD. Оператор ранее привлекался по ч. 8 за другой зарубежный сервис. Квалификация: ч. 9 — оператор отвечает за действия подрядчика по общему правилу об ответственности принципала. Стратегия: доказать, что договор с подрядчиком прямо запрещал обработку ПДн за рубежом, и переложить ответственность на субагента. Шансы высоки при наличии надлежащего договора поручения с ограничениями по локализации.
Если компания получила протокол по ч. 9 ст. 13.11 — у вас 10 дней на обжалование постановления мирового судьи. Каждый день без юридической позиции сужает аргументы в суде.
Защитить от штрафа 13.11Как это применяется на практике
Кейс 1. Торговая компания (Центральный ФО, зима 2025–2026) получила постановление по ч. 8 ст. 13.11 за хранение клиентской базы в зарубежной CRM. Штраф — в пределах нижней границы ч. 8. Через восемь месяцев РКН провёл повторную проверку и обнаружил, что резервные копии базы уходят на зарубежный сервер. Дело переквалифицировано на ч. 9. Юристы подготовили позицию: обжалование первичного постановления ещё не завершено, повторность не наступила. Мировой судья снизил штраф до нижней границы ч. 9 с учётом смягчающих обстоятельств по ст. 4.1 КоАП.
Кейс 2. SaaS-компания (Северо-Западный ФО, весна 2026) ранее привлекалась по ч. 8 за обработку ПДн пользователей на серверах в Финляндии. После устранения нарушения один из микросервисов продолжал записывать пользовательские сессии в зарубежное хранилище. При плановой проверке РКН выявил факт — протокол по ч. 9. Компания документально подтвердила инвестиции в переход на российскую облачную инфраструктуру (более 0,1% выручки за три года). Суд принял это как смягчающее и снизил штраф ниже минимума ч. 9 по ч. 2.2 ст. 4.1 КоАП.
Связанные услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1
- Аудит соответствия 152-ФЗ — проверка локализации баз данных и готовности к проверке РКН
- Сопровождение проверок РКН — представление интересов при плановых и внеплановых проверках
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30.05.2025 в силу вступил ФЗ-420 от 30.11.2024, расширивший ст. 13.11 КоАП с 7 до 18 частей. Для нарушений локализации: ч. 8 — первичное нарушение, штраф для юрлица 1–6 млн ₽; ч. 9 — повторное нарушение, штраф 6–18 млн ₽. Оборотный штраф по ч. 15 (повторная утечка данных) — 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Подсудность с 28.12.2025 — мировые судьи (ФЗ-508 от 28.12.2025).
2. Что такое оборотный штраф 1–3% и как он связан с ч. 9?
Оборотный штраф по ч. 15 ст. 13.11 КоАП — это отдельный состав за повторную утечку персональных данных (при наличии предыдущего постановления по ч. 12–14 или ч. 15). Он не является автоматическим следствием ч. 9. Однако если нарушение локализации привело к утечке, составы могут конкурировать. Минимум оборотного штрафа — 20 млн ₽, максимум — 500 млн ₽. Ч. 9 сама по себе оборотной санкцией не является: её диапазон фиксированный — 6–18 млн ₽.
3. Когда применяется минимум 20 млн ₽ по оборотному составу?
Минимум 20 млн ₽ применяется по ч. 15 ст. 13.11 КоАП, когда оператор повторно допустил утечку данных в масштабе 1 000 и более субъектов (ч. 12–14) и ранее уже привлекался по тем же частям или по ч. 15–18. Расчёт: 1–3% от совокупной выручки за предшествующий календарный год. Если 1% от выручки даёт сумму ниже 20 млн ₽ — применяется минимальный порог 20 млн ₽. Верхний предел — 500 млн ₽.
4. Можно ли заменить штраф по ч. 9 ст. 13.11 на предупреждение?
Нет. Замена административного штрафа на предупреждение по ст. 4.1.1 КоАП применяется только при первичном нарушении для субъектов малого и среднего предпринимательства. Ч. 9 — повторное нарушение по определению, поэтому ст. 4.1.1 к ней не применяется. Возможные инструменты смягчения: учёт обстоятельств по ст. 4.1 КоАП (устранение нарушения, отсутствие вреда), снижение ниже нижнего предела по ч. 2.2 ст. 4.1 при исключительных обстоятельствах, оспаривание самой квалификации как повторного нарушения.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508?
С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). До этого — с 30.05.2025 по 27.12.2025 — подсудность была передана арбитражным судам. Апелляция на постановление мирового судьи подаётся в районный суд в течение 10 суток. Для компаний это означает: защищать интересы нужно у мирового судьи по месту совершения правонарушения или по месту нахождения юридического лица.
Итог
Ч. 9 ст. 13.11 КоАП — это 6–18 млн рублей за повторное нарушение требования о локализации. Состав возникает автоматически, если после первого постановления по ч. 8 компания не устранила все точки обработки ПДн граждан РФ за рубежом: резервные копии, синхронизацию с зарубежными SaaS, тестовые среды подрядчиков. Инструменты защиты существуют: оспаривание квалификации повторности, применение ст. 4.1 КоАП, снижение ниже минимума при исключительных обстоятельствах.
Практика DATUM по защите от штрафов по ст. 13.11 КоАП накоплена с 2014 года в рамках сети «Ветров и партнёры». Мы сопровождали дела по ч. 8 и ч. 9 на стадии протокола, постановления и апелляции у мировых судей и в районных судах.