Кейсы по биометрии 2026 — Часть 16 ст. 13.11
С 30.05.2025 обработка биометрических персональных данных без письменного согласия или с нарушением требований к его содержанию образует отдельный состав по ч. 16 ст. 13.11 КоАП. До этой даты подобные нарушения квалифицировались по общим частям, что занижало санкции. Теперь для компаний, использующих биометрию в СКУД, при онлайн-идентификации, в программах лояльности или при передаче в ЕБС, риски материализованы в конкретные цифры. Настоящий разбор охватывает состав ч. 16, кейсы 2026 года и стратегии защиты, актуальные для CEO и юридических служб.
Что образует нарушение по ч. 16 ст. 13.11 КоАП — состав и разграничение с ч. 17 и 18?
Часть 16 ст. 13.11 КоАП охватывает обработку биометрических персональных данных с нарушением требований ст. 11 ФЗ-152, если это нарушение не подпадает под специальный состав ст. 13.11.3 КоАП. Ключевые случаи применения ч. 16 на практике: обработка биометрии без письменного согласия субъекта, нарушение обязательных реквизитов такого согласия, сбор биометрии сверх целей, указанных в согласии, а также хранение исходных биометрических шаблонов вне разрешённых систем.
Разграничение с ч. 17 принципиально: ч. 16 — это нарушение порядка обработки, ч. 17 — факт утечки биометрических данных (штраф 15–20 млн ₽). Часть 18 — повторное нарушение по ч. 16 или ч. 17, оборотный штраф 1–3% выручки. Ст. 13.11.3 КоАП выделена в отдельный состав для банков, МФЦ и иных организаций, обязанных размещать биометрию в ЕБС: за нарушения при размещении в ЕБС применяется 13.11.3 (для юрлиц — 500 тыс. — 1 млн ₽), а не ч. 16.
На практике РКН квалифицирует по ч. 16 случаи, когда компания использует камеры с функцией распознавания лиц для учёта рабочего времени без письменного согласия сотрудников, или когда согласие оформлено как часть трудового договора или корпоративной политики — без выделения в отдельный документ. После 01.09.2025 требование отдельного документа закреплено ФЗ-156 от 24.06.2025, что создаёт дополнительный состав при совмещении согласия с иными документами.
Получили протокол по ч. 16 ст. 13.11 или предписание РКН по биометрии?
Если генеральный директор столкнулся с протоколом об административном правонарушении по ч. 16 ст. 13.11 КоАП — срок давности привлечения составляет 1 год с момента нарушения (ст. 4.5 КоАП). До вынесения постановления есть возможность представить объяснения и смягчающие обстоятельства. После вступления постановления в силу — обжалование в мировом суде, затем в районном. Каждая стадия требует отдельной стратегии.
Защитить от штрафа по ст. 13.11+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие кейсы по биометрии в 2026 году уже формируют практику применения ч. 16?
Практика применения ч. 16 ст. 13.11 КоАП в 2026 году только складывается: по данным обзоров судебной практики, первые постановления по новым биометрическим составам начали поступать в арбитраж и к мировым судьям со второй половины 2025 года. До 30.05.2025 все дела рассматривались по старой редакции ст. 13.11, поэтому диапазоны штрафов были принципиально иными.
Кейс 1. Компания в Центральном федеральном округе (осень 2025) использовала систему распознавания лиц для контроля доступа на производственный объект. Согласия сотрудников были включены в приложение к трудовому договору. РКН при плановой проверке квалифицировал это как нарушение ч. 16 ст. 13.11 — согласие на обработку биометрии не выделено в отдельный документ. Протокол составлен; до вынесения постановления юристы компании представили доказательства немедленного переоформления согласий — это учтено как смягчающее обстоятельство.
Кейс 2. Торговая сеть в Сибирском федеральном округе (начало 2026) применяла видеоаналитику с распознаванием лиц покупателей для персонализации предложений. Письменные согласия у покупателей отсутствовали. Мировой судья района зафиксировал нарушение ч. 16 ст. 13.11 КоАП. Компания заявила ходатайство о применении ст. 4.1.1 КоАП (замена штрафа на предупреждение) — основание: первичность нарушения и статус малого предприятия. Решение о применении ст. 4.1.1 зависит от наличия вреда субъектам. Конкретный номер дела и точная сумма — менеджер уточняет при публикации.
Публичная статистика показывает: по итогам 2025 года РКН зафиксировал 118 случаев компрометации баз данных, из которых назначено лишь 6 административных штрафов на общую сумму около 570 тыс. ₽. Регулятор и суды накапливают практику — применение ФЗ-420 носит пока точечный характер. Однако биометрические составы с 2026 года становятся приоритетом проверок.
Как применяется ст. 4.1 и ст. 4.1.1 КоАП при нарушениях по биометрии?
Два инструмента снижения ответственности по ч. 16 ст. 13.11 — это смягчающие обстоятельства по ст. 4.1 КоАП и замена штрафа на предупреждение по ст. 4.1.1 КоАП.
Ст. 4.1.1 КоАП позволяет заменить штраф на предупреждение для микропредприятий и субъектов малого предпринимательства при первичном нарушении и отсутствии вреда субъектам. К ч. 16 это применимо. К ч. 18 (оборотный) — нет: ч. 15 и ч. 18 прямо исключены из сферы применения ст. 4.1.1. Поэтому для компаний с риском повторного нарушения ключевая задача — устранить состав до второй проверки.
Практика 2025–2026 годов (см. case_S5_predupr_microbiz): в деле о похищении базы ПДн работников хакерами компания-микропредприятие получила предупреждение по ст. 4.1.1 КоАП вместо штрафа по ч. 1 ст. 13.11. Аналогичный механизм применим к ч. 16 при соблюдении условий: первичность, малый бизнес, нет доказанного вреда субъектам.
Если CEO хочет оценить, применима ли ст. 4.1.1 КоАП к текущей ситуации с биометрией, — нужен анализ состава до стадии постановления. Срок: 2 месяца с даты протокола.
Защитить от штрафа по ст. 13.11Матрица сценариев: когда компания получает ч. 16 и как реагировать
Сценарий 1. СКУД с распознаванием лиц без отдельного согласия сотрудников. Ситуация: компания установила турникеты с камерами биометрической идентификации. Согласие включено в трудовой договор или правила внутреннего трудового распорядка. После 01.09.2025 такое согласие не соответствует требованиям ФЗ-156. Доказательства нарушения: акт проверки РКН, скриншот документа-основания. Вероятный исход: протокол по ч. 16 ст. 13.11. Стратегия: немедленно переоформить согласия в виде отдельных документов по каждому сотруднику, представить их до вынесения постановления как доказательство устранения нарушения, заявить о смягчающих обстоятельствах по ст. 4.1 КоАП.
Сценарий 2. Видеоаналитика в ритейле без согласия покупателей. Ситуация: магазин использует камеры с функцией распознавания лиц для антифрода или персонализации. Информационные таблички есть, но письменное согласие покупателей не получено. Доказательства нарушения: жалоба субъекта, технический акт о наличии биометрической обработки. Вероятный исход: протокол по ч. 16; при массовости — возможна квалификация через ч. 12–14 за утечку, если данные попадут к третьим лицам. Стратегия: если бизнес-процесс без биометрии не работает — оформить согласия у всех субъектов; если это нереализуемо — перейти на анонимные технологии учёта посещаемости без распознавания личности.
Сценарий 3. Передача биометрии подрядчику без надлежащего поручения. Ситуация: оператор передал биометрические данные сотрудников IT-подрядчику для обслуживания СКУД без письменного договора-поручения и без уведомления субъектов. Доказательства: отсутствие договора поручения обработки по п. 3 ст. 6 ФЗ-152, передача данных зафиксирована в логах. Вероятный исход: протокол по ч. 16; при утечке через подрядчика — оператор несёт ответственность как за собственные действия (принцип ВС РФ об ответственности оператора за действия подрядчика). Стратегия: заключить договор поручения обработки, включить в него требования ст. 6 ФЗ-152, обновить согласия с указанием подрядчика как лица, осуществляющего обработку.
Что подготовить для защиты по ч. 16 ст. 13.11
- Отдельные письменные согласия субъектов на обработку биометрии по ст. 11 ФЗ-152 с обязательными реквизитами ст. 9 ФЗ-152 (оформлены после 01.09.2025 по требованиям ФЗ-156)
- Приказ о назначении ответственного за обработку биометрических ПДн и регламент работы с биометрией
- Договор поручения обработки с каждым подрядчиком, имеющим доступ к биометрии (п. 3 ст. 6 ФЗ-152)
- Доказательства инвестиций в ИБ за 3 года (для применения льготы по ст. 4.1 КоАП, примечание 3.4-2)
- Документы о своевременном устранении нарушения: переоформленные согласия, акты уничтожения данных при отказе субъекта
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и включает 18 частей. Для юридических лиц диапазоны установлены по каждой части отдельно: от 30 000 ₽ по ч. 3 (отсутствие политики) до 15–20 млн ₽ по ч. 17 (утечка биометрии). Повторные нарушения по ч. 12–14 и биометрическим составам влекут оборотный штраф по ч. 15 или ч. 18 — 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Точные диапазоны по ч. 16 для юрлиц верифицируйте по актуальному тексту КоАП непосредственно перед принятием процессуальных решений.
2. Что такое оборотный штраф 1–3%?
Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП рассчитывается как процент от совокупной выручки компании за предшествующий календарный год. Нижний предел — 20 млн ₽ (даже если 1% выручки меньше). Верхний предел — 500 млн ₽. Применяется только при повторности: если компания уже привлекалась по ч. 12–14 или биометрическим составам и снова допустила нарушение. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется. При инвестициях в ИБ от 0,1% выручки за 3 года штраф снижается до 1/10 минимума по ст. 4.1 КоАП, но не менее 15 млн ₽.
3. Когда применяется минимум 20 млн ₽?
Минимум 20 млн ₽ по оборотному штрафу (ч. 15, ч. 18 ст. 13.11 КоАП) применяется всегда, когда расчётная сумма 1% выручки оказывается ниже этой отметки. Например, компания с годовой выручкой 1,5 млрд ₽: 1% = 15 млн ₽ — меньше минимума, поэтому штраф составит не менее 20 млн ₽. Для компаний с выручкой выше 2 млрд ₽ расчётная сумма превышает минимум, и штраф определяется как процент от выручки, но не более 500 млн ₽.
4. Можно ли заменить штраф на предупреждение?
Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна при одновременном соблюдении условий: компания относится к микропредприятиям или субъектам малого предпринимательства, нарушение совершено впервые, не причинён вред охраняемым интересам, не создана угроза чрезвычайных ситуаций. Применимо к ч. 16 ст. 13.11 при первичном нарушении. К ч. 18 (оборотный за повторное нарушение по биометрии) не применяется — это прямо исключено законом.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508?
С 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул прежнюю подсудность. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Обжалование постановлений мировых судей — в районный суд, затем в региональный суд общей юрисдикции. Это важно для выбора стратегии защиты: арбитражная практика и практика судов общей юрисдикции по применению ст. 4.1.1 КоАП различаются.
Итог
Часть 16 ст. 13.11 КоАП — новый состав, выделенный ФЗ-420 от 30.11.2024 и действующий с 30.05.2025. Он охватывает нарушения порядка обработки биометрии по ст. 11 ФЗ-152 вне специальных составов ст. 13.11.3. Судебная практика 2026 года показывает: РКН приоритизирует проверки биометрических систем; отсутствие отдельного письменного согласия и передача биометрии подрядчику без надлежащего поручения — наиболее частые основания протоколов.
Практика DATUM по защите операторов от штрафов по ст. 13.11 КоАП включает сопровождение проверок РКН, обжалование протоколов и постановлений, применение ст. 4.1 и ст. 4.1.1 КоАП для снижения или замены санкции, а также превентивный аудит обработки биометрических данных.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспорим протокол и постановление, применим ст. 4.1 и ст. 4.1.1 КоАП
- Аудит соответствия 152-ФЗ — проверим обработку биометрии по чек-листу из 38 пунктов
- Сопровождение проверок РКН — подготовим к проверке и представим интересы перед инспектором