Перейти к содержанию
аналитика 8 января 2028 По состоянию на 8 января 2028

Кейс Яндекс.Еда: 60 000 ₽ по ч. 1 — практика мирового суда Замоскворечье

В апреле 2022 года мировой суд Замоскворечья назначил Яндекс.Еде штраф 60 000 ₽ по ч. 1 ст. 13.11 КоАП — максимум по действовавшей тогда редакции. С 30 мая 2025 года те же нарушения квалифицируются по новым нормам ФЗ-420 и обходятся в сотни миллионов рублей.
Кейс наглядно показывает: одно и то же нарушение в 2022 году стоило 60 000 ₽, а при повторности в 2025–2026 годах — от 1 до 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15 ст. 13.11 КоАП). Разрыв — в тысячи раз.
Если вы CEO и в вашей компании произошла утечка или пришёл запрос РКН — у вас есть узкое окно для снижения последствий. → Разбираем, как это работает на практике.

1 марта 2022 года Яндекс.Еда объявила об утечке данных пользователей и курьеров. 21 апреля 2022 года мировой суд района Замоскворечье назначил штраф 60 000 ₽ по ч. 1 ст. 13.11 КоАП в редакции, действовавшей до ФЗ-420. Это дело стало одним из немногих публично верифицированных прецедентов, где размер санкции и суд известны с точностью. В 2025 году законодательная рамка изменилась принципиально: ст. 13.11 КоАП расширена с 7 до 18 частей, введён оборотный штраф, а ст. 272.1 УК РФ установила уголовную ответственность. Для CEO это означает новую арифметику риска.

Что произошло в деле Яндекс.Еды и почему штраф составил 60 000 ₽?

Утечка данных была объявлена 1 марта 2022 года. В открытый доступ попали сведения о пользователях и курьерах сервиса: имена, телефоны, адреса доставки. РКН возбудил дело об административном правонарушении по ч. 1 ст. 13.11 КоАП — обработка персональных данных в случаях, не предусмотренных законом, либо несовместимая с заявленными целями.

По действовавшей на тот момент редакции максимальный штраф для юридического лица по ч. 1 составлял 75 000 ₽. Суд назначил 60 000 ₽. Параллельно 33 пострадавших пользователя подали коллективный иск в Замоскворецкий районный суд о компенсации морального вреда. Часть субъектов дошла до апелляции: Санкт-Петербургский городской суд в сентябре 2023 года взыскал с компании 5 000 ₽ в пользу одного пользователя.

«Ч. 1 ст. 13.11 КоАП (в редакции до 30.05.2025) — обработка персональных данных в случаях, не предусмотренных законодательством, или несовместимая с целями: штраф для юридических лиц до 75 000 ₽. В редакции ФЗ-420 от 30.11.2024, действующей с 30.05.2025: штраф для юридических лиц 150 000 – 300 000 ₽.»

Ключевой вывод из дела 2022 года: при небольшом размере санкции административная ответственность не устраняла репутационный ущерб и гражданские иски. Это важно для понимания того, что изменилось после ФЗ-420.

Как изменились санкции по ст. 13.11 КоАП с 30 мая 2025 года?

ФЗ-420 от 30 ноября 2024 года полностью перестроил ст. 13.11 КоАП. Статья расширена с 7 до 18 частей. Логика ужесточения — в привязке санкции к масштабу утечки и к повторности нарушения.

Для утечек, охватывающих от 1 000 до 10 000 субъектов, применяется ч. 12: штраф для юридического лица составляет 3–5 млн ₽. При утечке от 10 000 до 100 000 субъектов — ч. 13: 5–10 млн ₽. При более 100 000 субъектов — ч. 14: 10–15 млн ₽. Это разовые штрафы при первичном нарушении.

«Ч. 15 ст. 13.11 КоАП (ред. ФЗ-420, действует с 30.05.2025) — оборотный штраф при повторной утечке: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Применяется, если лицо ранее привлекалось по ч. 12–15, 16–18 той же статьи.»

Для сравнения: если бы утечка Яндекс.Еды произошла после 30 мая 2025 года и оказалась повторной по отношению к предыдущему нарушению, оборотный штраф по ч. 15 мог составить от 20 до 500 млн ₽. Разрыв с 60 000 ₽ образца 2022 года — более чем в три тысячи раз на нижней границе.

Отдельно введена ответственность за биометрические данные. Утечка биометрии, не подпадающая под специальный состав ст. 13.11.3 КоАП, квалифицируется по ч. 17: штраф 15–20 млн ₽. Повторная — оборотный штраф по ч. 18.

Компания уже получила протокол по ст. 13.11 или ждёт проверки РКН?

Если вы CEO и у вас на столе протокол об административном правонарушении по ст. 13.11 КоАП или уведомление о плановой проверке — окно для процессуального манёвра открыто только до первого заседания. Юристы DATUM оценят состав нарушения, проверят возможность применения ч. 1 ст. 4.1 КоАП для снижения и ст. 4.1.1 КоАП для замены на предупреждение, подготовят позицию для мирового суда.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Когда суд может заменить штраф на предупреждение или снизить его?

Ст. 4.1.1 КоАП предусматривает замену штрафа на предупреждение при одновременном соблюдении трёх условий: нарушение совершено впервые, отсутствует имущественный ущерб, правонарушитель — субъект малого или микропредприятия. Оборотные составы — ч. 15 и ч. 18 ст. 13.11 — под эту норму не подпадают.

Практика 2025–2026 годов демонстрирует, что суды применяют ст. 4.1.1 при первичных нарушениях, когда нет реального вреда субъектам. В одном из публично известных дел микропредприятие, у которого хакеры похитили базу ПДн работников и соискателей численностью менее 1 000 человек, получило предупреждение по ч. 1 ст. 13.11 вместо штрафа до 300 000 ₽.

Ст. 4.1 КоАП содержит специальную льготу для инвестиций в информационную безопасность. Если оператор вложил в ИБ не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15 и ч. 18) снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Эта норма введена ФЗ-420 и работает как прямой стимул документировать расходы на ИБ.

«Примечание 3.4-2 к ст. 4.1 КоАП: при документально подтверждённых инвестициях в ИБ не менее 0,1% совокупной выручки за 3 предшествующих года штраф по ч. 15 и ч. 18 ст. 13.11 составит 1/10 минимума — не менее 15 млн ₽ и не более 50 млн ₽.»

Для крупной компании с выручкой 5 млрд ₽ разница между стандартным оборотным штрафом (20–150 млн ₽) и льготным (15–50 млн ₽) измеряется десятками миллионов рублей. Документирование расходов на ИБ превращается из формальности в финансовый инструмент.

Кто рассматривает дела по ст. 13.11 КоАП после ФЗ-508 от 28 декабря 2025 года?

С 30 мая по 27 декабря 2025 года дела по ст. 13.11 КоАП рассматривали арбитражные суды. ФЗ-508 от 28 декабря 2025 года вернул подсудность мировым судьям. Именно мировой суд района Замоскворечье вынес постановление по делу Яндекс.Еды в 2022 году — этот уровень юрисдикции вновь актуален.

Смена подсудности влечёт процессуальные различия. Мировые судьи рассматривают дела единолично, сроки рассмотрения, как правило, короче арбитражных, а апелляция направляется в районный суд. Для защиты по ст. 13.11 это означает более сжатые сроки подготовки позиции и меньший объём доказательной базы по сравнению с арбитражным процессом.

Важно: ФЗ-508 не имеет обратной силы. Дела, возбуждённые в период с 30.05.2025 по 27.12.2025, когда действовала арбитражная подсудность, продолжают рассматриваться арбитражными судами по принятым правилам.

Что подготовить CEO при риске штрафа по ст. 13.11 КоАП

  • Выписку из реестра операторов ПДн с pd.rkn.gov.ru — подтверждение уведомления РКН до начала обработки по ст. 22 ФЗ-152.
  • Документы о расходах на информационную безопасность за три последних года с разбивкой по годам — для применения льготы по ст. 4.1 КоАП (снижение оборотного штрафа).
  • Действующую политику обработки ПДн с датой утверждения и ссылкой на её публикацию на сайте — для исключения состава по ч. 3 ст. 13.11.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152.
  • Документацию об инциденте (при утечке): временную метку обнаружения, первичное уведомление в РКН в течение 24 часов, отчёт за 72 часа по Приказу РКН №187.

Как складывается практика штрафов по новым нормам в 2025–2026 годах?

По данным InfoWatch (отчёт за 2025 год), назначено шесть административных штрафов по новым нормам ст. 13.11 КоАП на общую сумму около 570 000 ₽. Среди них — РЖД и Почта России по 150 000 ₽, несколько компаний по 60–75 000 ₽. Для понимания контекста: в 2025 году зафиксировано 118 случаев компрометации баз данных, публичных утечек в даркнете — около 250, объём — свыше 767 млн строк (по данным F6 Threat Intelligence).

Малое число реально назначенных крупных штрафов объясняется не мягкостью регулятора, а переходным периодом: суды и РКН накапливают практику применения новых норм. Два первых судебных прецедента по ч. 14 ст. 13.11 уже известны. В деле по факту утечки более 100 000 субъектов арбитражный суд применил особый порядок расчёта для организации с льготным статусом и назначил штраф существенно ниже стандартного диапазона 10–15 млн ₽. В деле петербургского арбитража по факту утечки около 70 000 субъектов суд учёл смягчающие обстоятельства при квалификации по ч. 14.

Если у вас уже есть протокол по ст. 13.11 или предстоит проверка РКН — позиция по смягчающим обстоятельствам и документам об инвестициях в ИБ влияет на итоговый размер штрафа. Окно для подготовки закрывается с началом первого заседания.

Защитить от штрафа 13.11

Три сценария для CEO: как работает ст. 13.11 КоАП в реальных ситуациях

Сценарий 1. Первичная утечка средней компании. Интернет-ритейлер (Центральный ФО, осень 2025) зафиксировал утечку 15 000 записей клиентов через скомпрометированный API стороннего подрядчика. Уведомление направлено в РКН в течение 20 часов, отчёт — через 68 часов. РКН квалифицировал нарушение по ч. 13 ст. 13.11 (10 000–100 000 субъектов). Диапазон штрафа — 5–10 млн ₽. Компания представила документы об инвестициях в ИБ и договор поручения с подрядчиком. Суд принял оперативность реагирования как смягчающее обстоятельство. Итог: штраф в нижней части диапазона. Стратегия: оперативность уведомления и полный пакет ОРД критически влияли на позицию в суде.

Сценарий 2. Повторное нарушение и оборотный штраф. Логистическая компания с выручкой 4 млрд ₽ в год (Сибирский ФО, начало 2026) получила второй протокол по ч. 14 ст. 13.11 в течение двух лет. РКН инициировал применение ч. 15 — оборотный штраф. Расчётная база: 1% от 4 млрд = 40 млн ₽. Нижняя граница — 20 млн ₽. Компания не документировала расходы на ИБ отдельной строкой в управленческом учёте. Льгота по ст. 4.1 КоАП применена не была. Стратегия: до второго нарушения следовало выстроить документирование ИБ-бюджета и провести аудит соответствия по ст. 18.1 ФЗ-152.

Сценарий 3. Малая компания и замена на предупреждение. Микропредприятие сферы услуг (Северо-Западный ФО, середина 2025) впервые нарушило ч. 1 ст. 13.11 — обработка ПДн без надлежащего правового основания. Реального ущерба субъектам нет, нарушение устранено в ходе проверки. Суд применил ст. 4.1.1 КоАП и заменил штраф (до 300 000 ₽) предупреждением. Стратегия: первичность нарушения, статус субъекта МСП и отсутствие вреда — три обязательных условия для применения нормы.

Уголовная ответственность по ст. 272.1 УК РФ: что изменилось с 11 декабря 2024 года?

ФЗ-421 от 30 ноября 2024 года ввёл в Уголовный кодекс ст. 272.1, вступившую в силу 11 декабря 2024 года. Статья устанавливает уголовную ответственность за незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные. Максимальное наказание по ч. 5 (тяжкие последствия) — лишение свободы до 10 лет. Ч. 4 предусматривает до 8 лет за трансграничную передачу незаконно полученных ПДн.

Для CEO это означает, что при утечке крупного масштаба возможно параллельное возбуждение административного дела по ст. 13.11 КоАП и уголовного дела в отношении конкретных должностных лиц. Дело Аэрофлота (июль 2025) — публично известный пример, где по факту взлома инфраструктуры возбуждено уголовное дело по ч. 4 ст. 272 УК РФ.

Кейс Яндекс.Еды в системе практики 2022–2026 годов

Кейс 2022 — Яндекс.Еда, Замоскворечье. Утечка данных пользователей и курьеров, объявлена 01.03.2022. Мировой суд района Замоскворечье, 21.04.2022: штраф 60 000 ₽ по ч. 1 ст. 13.11 КоАП в редакции до ФЗ-420. Максимум по норме составлял 75 000 ₽. Параллельно — коллективный иск 33 пользователей, компенсация морального вреда по решению СПб городского суда (апелляция, сентябрь 2023) — 5 000 ₽ одному субъекту.

Кейс 2026 — АС Москвы, дело № А40-263126/2025. Утечка 26 миллионов записей. Дата инцидента — до 01.06.2025, что обусловило применение старых норм. Арбитражный суд Москвы назначил штраф 150 000 ₽ — минимальный по ч. 1 ст. 13.11 в прежней редакции. Если бы тот же инцидент произошёл после 30.05.2025, квалификация по ч. 14 (более 100 000 субъектов) повлекла бы штраф 10–15 млн ₽, а при повторности — оборотный по ч. 15.

Сравнение двух кейсов показывает, что переходный характер норм ФЗ-420 сохраняется: дела по инцидентам до 30.05.2025 продолжают рассматриваться по старым правилам, но каждый новый инцидент с этой даты подпадает под принципиально иную санкционную шкалу.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30 мая 2025 года?

С 30 мая 2025 года действует редакция ФЗ-420 от 30.11.2024: статья расширена до 18 частей. Основная обработка без правового основания — ч. 1: 150 000–300 000 ₽, повторно — ч. 1.1: 300 000–500 000 ₽. Обработка без письменного согласия — ч. 2: 300 000–700 000 ₽, повторно — ч. 2.1: 1–1,5 млн ₽. Утечка по масштабу: 1 000–10 000 субъектов — ч. 12: 3–5 млн ₽; 10 000–100 000 — ч. 13: 5–10 млн ₽; более 100 000 — ч. 14: 10–15 млн ₽. Оборотный штраф при повторной утечке — ч. 15: 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении, связанном с утечкой ПДн, если лицо ранее уже привлекалось по ч. 12–15 или ч. 16–18 той же статьи. База расчёта — совокупная выручка компании за предшествующий календарный год. Нижняя граница — 20 млн ₽, верхняя — 500 млн ₽. Льгота по ст. 4.1 КоАП (Примечание 3.4-2) при документально подтверждённых инвестициях в ИБ не менее 0,1% выручки за три года снижает штраф до 1/10 минимума — не менее 15 млн ₽ и не более 50 млн ₽.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется всегда, когда расчётная сумма (1–3% выручки) оказывается ниже этого порога. Например, компания с выручкой 500 млн ₽ в год при 1% даёт расчётный штраф 5 млн ₽ — суд всё равно назначит не менее 20 млн ₽. Для применения льготного минимума (15 млн ₽) необходимо документально подтвердить расходы на ИБ по ст. 4.1 КоАП.

4. Можно ли заменить штраф по ст. 13.11 на предупреждение?

Замена возможна для субъектов малого и микропредпринимательства при первичном нарушении и отсутствии реального имущественного ущерба — по ст. 4.1.1 КоАП. Замена недоступна для оборотных составов: ч. 15 и ч. 18 ст. 13.11. Практика 2025–2026 годов подтверждает применение ст. 4.1.1 для малых компаний при формальных нарушениях без утечки данных.

5. Какова подсудность дел по ст. 13.11 КоАП после ФЗ-508 от 28 декабря 2025 года?

С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — именно они рассматривали дело Яндекс.Еды в 2022 году. В период с 30 мая по 27 декабря 2025 года действовала арбитражная подсудность, введённая ФЗ-420. ФЗ-508 не имеет обратной силы: дела, принятые арбитражными судами до 28.12.2025, продолжают рассматриваться арбитражем.

Итог

Кейс Яндекс.Еды 2022 года — это точка отсчёта, от которой видна масштаб трансформации ст. 13.11 КоАП. Штраф 60 000 ₽ при утечке данных сотен тысяч субъектов сегодня выглядел бы как минимум как 10–15 млн ₽ по ч. 14, а при повторности — от 20 до 500 млн ₽ по ч. 15. Параллельно с 11 декабря 2024 года действует ст. 272.1 УК РФ, переводящая крупные утечки в плоскость уголовного преследования должностных лиц.

DATUM сопровождает операторов ПДн при проверках РКН и в делах по ст. 13.11 КоАП: от анализа протокола до представительства в мировом суде и арбитраже, применения льгот по ст. 4.1 и ст. 4.1.1 КоАП, документирования ИБ-расходов для снижения оборотного штрафа.

Смотрите также

Получили протокол по ст. 13.11 или ждёте проверки РКН?

Защитить от штрафа 13.11

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

8 января 2028 года