аналитика 12 января 2027 По состоянию на 12 января 2027

Кейсы 2026 года по ч. 12 ст. 13.11

Часть 12 ст. 13.11 КоАП — штраф 3–5 млн ₽ за утечку от 1 000 до 10 000 субъектов персональных данных. Действует с 30.05.2025 по ФЗ-420 от 30.11.2024.

По итогам 2025 года суды назначили лишь 6 штрафов по новым нормам на общую сумму около 570 тыс. ₽ — практика только формируется, но прецеденты 2026 года уже обозначают стратегию защиты.

→ Если компания получила протокол по ч. 12 ст. 13.11 или ожидает проверки РКН после инцидента — разберите кейсы ниже: они показывают, где суды снижают штраф и на каком основании.

С 30.05.2025 утечка персональных данных от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов влечёт штраф 3–5 млн ₽ для юридического лица по ч. 12 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. Для CEO это не абстрактный риск: первые дела 2026 года демонстрируют, что суды применяют норму к компаниям любого масштаба — от регионального ритейлера до федерального EdTech-оператора. Ниже — разбор механики нормы, анализ первых кейсов и стратегия защиты, которую можно применить до получения постановления.

Что изменилось с 30.05.2025 и как работает ч. 12 ст. 13.11?

До вступления в силу ФЗ-420 ответственность за утечку ПДн укладывалась в ч. 1 ст. 13.11 КоАП со штрафом до 150–300 тыс. ₽ для юридического лица. Нового деления по масштабу утечки не существовало. Дело АС Москвы № А40-263126/2025, где суд назначил 150 тыс. ₽ за утечку 26 миллионов записей, наглядно показало: старые нормы не создавали реального сдерживания.

ФЗ-420 пересобрал ст. 13.11 КоАП с 7 до 18 частей. Ключевая шкала по масштабу утечки:

«Ч. 12 ст. 13.11 КоАП — утечка от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов: штраф для юрлица 3 000 000 — 5 000 000 ₽. Ч. 13 — от 10 000 до 100 000 субъектов: 5 000 000 — 10 000 000 ₽. Ч. 14 — свыше 100 000 субъектов: 10 000 000 — 15 000 000 ₽. Ч. 15 — оборотный штраф при повторности: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.»

Подсудность дел по ст. 13.11 КоАП менялась дважды. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. С 28.12.2025 — по ФЗ-508 от 28.12.2025 — подсудность возвращена мировым судьям. Это влияет на тактику защиты: стандарты доказывания и процессуальные права в мировом суде отличаются от арбитражного.

Параллельно с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024) — уголовная ответственность за незаконное использование, передачу, сбор или хранение компьютерной информации с ПДн. Максимум по ч. 5 — лишение свободы до 10 лет. Для CEO это означает: административный штраф и уголовное преследование — не взаимоисключающие риски.

Ваша компания получила протокол по ч. 12 ст. 13.11 или идёт проверка РКН?

Первые 72 часа после составления протокола критичны: именно тогда фиксируются смягчающие обстоятельства и выстраивается позиция по ст. 4.1 КоАП. Промедление сужает инструменты защиты. Юристы DATUM оспорят протокол и постановление в арбитраже и у мирового судьи, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения или замены штрафа.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие кейсы по ч. 12 ст. 13.11 КоАП уже рассматривались в 2026 году?

Практика по новым нормам накапливается медленно: регулятор и суды проходят стадию адаптации. Тем не менее дела 2026 года дают первые ориентиры.

Кейс по ч. 14 ст. 13.11 с применением правил для микропредприятий (АС Москвы, дело № А40-351064/2025). Российская электронная школа (РЭШ) допустила утечку более 100 000 субъектов — квалификация по ч. 14 ст. 13.11 (штраф для юрлица 10–15 млн ₽). Однако суд применил правила ч. 1 ст. 4.1.2 КоАП для микропредприятий и расчёт по нормам для индивидуальных предпринимателей — итоговый штраф составил 400 000 ₽. Кейс принципиален: суд использовал организационно-правовой статус оператора как основание для радикального снижения санкции даже при крупной утечке.

Кейс с применением смягчающих по ст. 4.1 КоАП (АС Санкт-Петербурга и Ленинградской области, дело № А56-4733/2026 от 10.03.2026). Цифровая платформа «ПКР Аналитика» допустила утечку около 70 000 субъектов (ФИО, должность, служебный email, телефон) после хакерской атаки — квалификация по ч. 14 ст. 13.11. Суд применил смягчающие обстоятельства по ст. 4.1 КоАП. Итоговая сумма штрафа снижена относительно минимального порога части 14. Кейс подтверждает: факт внешней атаки и оперативное взаимодействие с РКН учитываются при назначении наказания.

Оба дела рассматривались по ч. 14 ст. 13.11, а не по ч. 12 — масштаб утечек превышал порог 100 000 субъектов. Применительно к ч. 12 (1 000–10 000 субъектов) логика аналогична, но минимальный порог штрафа ниже — 3 млн ₽. Стратегия защиты через ст. 4.1 и ст. 4.1.2 КоАП работает для любой части шкалы ч. 12–15.

Что подготовить при получении протокола по ч. 12 ст. 13.11

Документы о факте хакерской атаки или внешнего воздействия — акт инцидента, логи, заключение ИБ-подразделения
Подтверждение уведомления РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152) и отчёта за 72 часа по Приказу РКН №187
Документы об инвестициях в информационную безопасность за 3 предшествующих года (для применения Примечания 3.4-2 ст. 4.1 КоАП — снижение до 1/10 минимума)
Сведения об организационно-правовом статусе (микропредприятие, СМП) для применения ст. 4.1.1 или ст. 4.1.2 КоАП
Политика обработки ПДн, актуальный пакет ОРД, приказ о назначении ответственного по ст. 22.1 ФЗ-152

Когда суд снижает штраф по ч. 12 ст. 13.11 — механика ст. 4.1 КоАП?

Статья 4.1 КоАП позволяет суду назначить штраф ниже минимального предела при наличии исключительных обстоятельств. Для дел по ч. 12–15 ст. 13.11 практика 2026 года выделила три устойчивых основания.

Основание 1 — внешняя атака как форс-мажорное обстоятельство. Суды разграничивают утечку по вине оператора (отсутствие технических мер) и утечку вследствие целенаправленной атаки при наличии разумной защиты. Второй сценарий учитывается как смягчающее обстоятельство. Доказательная база: акт криминалистической экспертизы, логи атаки, сведения об уровне защищённости ИСПДн по ПП РФ № 1119.

Основание 2 — инвестиции в ИБ. Примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420): если оператор за 3 предшествующих года инвестировал в информационную безопасность не менее 0,1% совокупной выручки, штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) назначается в размере 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽. По ч. 12 это правило напрямую не применяется, однако инвестиции в ИБ учитываются как смягчающее обстоятельство в порядке ст. 4.1 КоАП при любом составе.

Основание 3 — статус субъекта малого/среднего предпринимательства. Статья 4.1.2 КоАП для микропредприятий и МСП: штраф назначается по правилам для ИП, что при расчёте может дать значительное снижение. Кейс РЭШ (А40-351064/2025) подтвердил применимость механизма даже к ч. 14 ст. 13.11 — для ч. 12 логика идентична.

Если CEO уже знает о протоколе по ч. 12 ст. 13.11 — срок на обжалование ограничен. Инвестиции в ИБ за 3 года и факт внешней атаки нужно зафиксировать документально до заседания суда, иначе эти аргументы теряют силу.

Защитить от штрафа 13.11

Матрица сценариев: что происходит на практике в роли CEO?

Сценарий 1. Утечка обнаружена — уведомление РКН не подано в срок. Хакерская атака на e-commerce-платформу привела к компрометации 4 500 учётных записей клиентов (ФИО, email, телефон). IT-директор уведомил генерального директора через 30 часов после обнаружения — 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152 истёк. РКН составил протоколы по двум составам: ч. 12 ст. 13.11 (утечка 1 000–10 000 субъектов, штраф 3–5 млн ₽) и ч. 11 ст. 13.11 (неуведомление об инциденте в срок, штраф 1–3 млн ₽). Доказательства для защиты: факт внешней атаки, наличие политики обработки ПДн и акта об уровне защищённости. Вероятный исход: при наличии документации и первичности нарушения — снижение по ч. 12 до минимума 3 млн ₽ через ст. 4.1 КоАП. Стратегия: параллельное обжалование обоих постановлений; акцент на форс-мажорный характер атаки и устранение нарушений до рассмотрения дела.

Сценарий 2. Утечка через подрядчика — оператор отрицает причастность. Маркетинговое агентство, которому передана база контактов клиентов (7 200 субъектов) по договору поручения обработки ПДн (п. 3 ст. 6 ФЗ-152), допустило утечку через собственную инфраструктуру. Оператор настаивает: «мы ничего не нарушали — виноват подрядчик». Позиция судов по принципу, закреплённому в практике ВС РФ: оператор несёт ответственность за действия обработчика, если договор поручения не содержит требований к уровню защищённости и контролю. Квалификация — ч. 12 ст. 13.11. Доказательства для защиты: договор с обработчиком с детальными требованиями к техническим мерам, акты проверки подрядчика. Стратегия: добиться снижения штрафа через ст. 4.1 КоАП, одновременно предъявить регрессный иск к подрядчику.

Сценарий 3. Повторная утечка — риск оборотного штрафа по ч. 15 ст. 13.11. Компания уже привлекалась к ответственности по ч. 13 ст. 13.11 в 2025 году. В 2026 году произошла новая утечка от 2 000 субъектов — квалифицированная по ч. 12 ст. 13.11. Поскольку предыдущее постановление вступило в силу, у РКН появляется основание для квалификации по ч. 15 ст. 13.11 (оборотный штраф 1–3% выручки, не менее 20 млн ₽). Для компании с выручкой 500 млн ₽ это 5–15 млн ₽. Стратегия: обжалование квалификации по ч. 15 через доказательство отсутствия юридической повторности; применение Примечания 3.4-2 ст. 4.1 КоАП (инвестиции в ИБ) для снижения до 1/10 минимума — не менее 15 млн ₽, но не более 50 млн ₽.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспорить протокол и постановление по ст. 13.11, применить ст. 4.1 и 4.1.1 КоАП
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания
Аудит соответствия 152-ФЗ — проверка ОРД, уровня защищённости и готовности к инциденту по чек-листу 38 пунктов

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 7. Для юридического лица ключевые санкции по масштабу утечки: ч. 12 — 3–5 млн ₽ (утечка 1 000–10 000 субъектов), ч. 13 — 5–10 млн ₽ (10 000–100 000), ч. 14 — 10–15 млн ₽ (свыше 100 000), ч. 15 — оборотный штраф 1–3% выручки при повторности (не менее 20 млн ₽, не более 500 млн ₽). Старые нормы применяются к нарушениям, совершённым до 30.05.2025.

2. Что такое оборотный штраф 1–3% по ч. 15 ст. 13.11?

Часть 15 ст. 13.11 КоАП — оборотный штраф, который назначается при повторном нарушении по ч. 12–14, 16–18 или самой ч. 15. Размер — 1–3% совокупной годовой выручки за предшествующий календарный год. Нижняя граница — 20 млн ₽, верхняя — 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотному штрафу не применяется. При инвестициях в ИБ от 0,1% выручки за 3 года (Примечание 3.4-2 ст. 4.1 КоАП) штраф может быть снижен до 1/10 минимума, но не менее 15 млн ₽.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 применяется всегда, когда расчётная сумма (1–3% выручки) оказывается ниже этой отметки. Например, компания с выручкой 400 млн ₽ при ставке 3% получит расчётную сумму 12 млн ₽ — но штраф всё равно составит не менее 20 млн ₽. Исключение — Примечание 3.4-2 ст. 4.1 КоАП при подтверждённых инвестициях в ИБ, тогда минимум снижается до 15 млн ₽.

4. Можно ли заменить штраф по ч. 12 ст. 13.11 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении без причинения вреда. К ч. 15 и ч. 18 ст. 13.11 (оборотные составы) ст. 4.1.1 КоАП не применяется. По ч. 12 при первичности нарушения и статусе микропредприятия — применима. Кейс из практики 2026 года: компания с базой работников и соискателей менее 1 000 субъектов получила предупреждение по аналогичному основанию вместо штрафа до 300 тыс. ₽.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 вернул прежнюю подсудность. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Смена подсудности влияет на тактику защиты: стандарты доказывания и процессуальные права у мирового судьи и в арбитражном суде различаются. Обжалование постановлений мирового суда идёт в районный суд, а не в апелляционную инстанцию арбитража.

Итог

Часть 12 ст. 13.11 КоАП с 30.05.2025 формирует реальную санкцию 3–5 млн ₽ за утечку от 1 000 до 10 000 субъектов. Первые кейсы 2026 года показывают: суды применяют снижение через ст. 4.1 и ст. 4.1.2 КоАП при наличии документальной базы — факта внешней атаки, инвестиций в ИБ, оперативного взаимодействия с РКН. Без этой базы минимальный штраф 3 млн ₽ назначается по умолчанию, а при повторности включается оборотный механизм ч. 15 — от 20 млн ₽.

Практика DATUM по защите операторов ПДн в делах по ст. 13.11 КоАП охватывает составление позиций по ст. 4.1, оспаривание протоколов у мировых судей и в арбитраже, а также превентивный аудит перед проверкой РКН, позволяющий устранить нарушения до составления протокола.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с РКН и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.