аналитика 9 февраля 2027 По состоянию на 9 февраля 2027

Кейсы по биометрии 2026 — Часть 17 ст. 13.11

Ч. 17 ст. 13.11 КоАП — штраф 15–20 млн ₽ за утечку биометрических персональных данных. С 30.05.2025 это самостоятельный состав ФЗ-420 от 30.11.2024.

В 2025–2026 годах суды рассмотрели первые дела по ч. 17. Цена ошибки: от 15 млн ₽ за один инцидент. При повторности — оборотный штраф по ч. 18 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

Если ваша компания обрабатывает биометрию — узнайте, какие решения уже есть и как не попасть под ч. 17. → Защитить от штрафа по ст. 13.11

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7. Ч. 17 выделила утечку биометрических персональных данных в отдельный состав с минимальным штрафом для юридических лиц 15 млн ₽. До этого такие случаи квалифицировались по общим нормам об утечках и оборачивались суммами в сотни тысяч рублей. Ниже — разбор того, что изменилось, первые кейсы 2025–2026 годов и стратегия снижения риска для CEO.

Что изменила ч. 17 ст. 13.11 КоАП с 30.05.2025?

До вступления ФЗ-420 в силу утечка биометрии попадала под общие составы об утечках ПДн — ч. 12–14 ст. 13.11 с потолком 15 млн ₽. После реформы законодатель разделил обычные и биометрические данные. Ч. 17 ст. 13.11 устанавливает для юридических лиц штраф 15–20 млн ₽ независимо от количества затронутых субъектов. Это принципиальное отличие: при утечке даже одного биометрического шаблона — изображения лица, отпечатка пальца, записи голоса — начинается отсчёт именно в этом диапазоне.

«Ч. 17 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — утечка биометрических ПДн, за исключением случаев ст. 13.11.3, — штраф для юридических лиц 15 000 000 – 20 000 000 ₽.»

Ч. 18 той же статьи вводит оборотный штраф при повторности: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. При инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года суд вправе применить льготный расчёт по ст. 4.1 КоАП: штраф снижается до одной десятой минимума, но не ниже 15 млн ₽ и не выше 50 млн ₽.

Ст. 13.11.3 КоАП регулирует отдельный состав — нарушения при размещении биометрии в ЕБС банками и МФЦ. Штраф там ниже: 500 тыс. – 1 млн ₽. Если оператор хранит биометрические шаблоны вне ЕБС и произошла утечка — это ч. 17, а не ст. 13.11.3.

Обрабатываете биометрию и не уверены в категории риска?

Ч. 17 ст. 13.11 КоАП не делает исключений для малого и среднего бизнеса. Минимальный штраф — 15 млн ₽ за первое нарушение. Если CEO ещё не проводил аудит обработки биометрии, промедление увеличивает риск. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для смягчения.

Защитить от штрафа по ст. 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие кейсы по ч. 17 ст. 13.11 уже есть в 2025–2026 году?

Правоприменительная практика по ч. 17 находится на начальном этапе: ФЗ-420 вступил в силу 30.05.2025, и первые дела по новым нормам рассматривались начиная с осени 2025 года. Ниже — обобщённые сведения по известным производствам.

Кейс 1. Торговая сеть (Центральный ФО, осень 2025) использовала систему распознавания лиц для контроля доступа. В результате уязвимости в API изображения клиентов и биометрические шаблоны оказались доступны стороннему серверу в течение нескольких суток. РКН возбудил дело по ч. 17 ст. 13.11. Компания не подала первичное уведомление об утечке в 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152, что добавило состав по ч. 11 ст. 13.11 — штраф 1–3 млн ₽. Итоговое постановление по ч. 17 — штраф в нижней части диапазона с учётом смягчающих обстоятельств (отсутствие корыстного умысла, устранение нарушения). ⚠️ Конкретный номер дела и точная сумма — менеджер верифицирует при публикации.

Кейс 2 — РЭШ (дело № А40-351064/2025). Арбитражный суд Москвы рассмотрел дело Российской электронной школы: утечка затронула более 100 000 субъектов. Квалификация — ч. 14 ст. 13.11 КоАП. С учётом статуса организации как микропредприятия и правил расчёта штрафа назначено 400 000 ₽. Дело не касается напрямую биометрии, но демонстрирует: суды готовы применять смягчающие по ст. 4.1.2 КоАП при первичности и статусе плательщика. Тот же механизм применим к ч. 17 при наличии оснований.

Разворачивающаяся практика по ч. 17 показывает: регулятор квалифицирует биометрическую утечку по более жёсткому составу даже если объём данных невелик. Ключевой вопрос для защиты — наличие документально подтверждённых технических мер по ПП РФ №1119 и Приказу ФСТЭК №21, а также соблюдение уведомительной процедуры по Приказу РКН №187.

Если CEO получил протокол по ч. 17 ст. 13.11 — у вас ограниченное процессуальное окно для применения ст. 4.1 КоАП. После ФЗ-508 от 28.12.2025 дела рассматривают мировые судьи. Срок обжалования — 10 суток с даты вручения постановления.

Защитить от штрафа по ст. 13.11

Как применяются смягчающие по ч. 17 — сценарии для CEO?

Три типовых ситуации, с которыми CEO сталкивается после инцидента с биометрией.

Ситуация 1. Утечка через подрядчика СКУД или ИТ-интегратора. Компания передала обработку биометрии (управление СКУД) сторонней организации без заключения договора поручения обработки по п. 3 ст. 6 ФЗ-152. Подрядчик допустил утечку. Доказательства: отсутствие договора, отсутствие в нём требований по ст. 19 ФЗ-152. Исход: оператор несёт ответственность как лицо, осуществляющее обработку. Стратегия: зафиксировать вину подрядчика в расследовании, подать регрессный иск, ходатайствовать о снижении штрафа по ст. 4.1 КоАП с учётом отсутствия умысла и инвестиций в ИБ.

Ситуация 2. Биометрия в мобильном приложении, уведомление РКН не подавалось. Компания использует Face ID для авторизации в приложении. Уведомление в реестр операторов ПДн по ст. 22 ФЗ-152 не подавалось вовсе. После утечки РКН возбуждает дела сразу по двум составам: ч. 10 (неуведомление о намерении обрабатывать, 100–300 тыс. ₽) и ч. 17 (утечка биометрии, 15–20 млн ₽). Исход: совокупность составов. Стратегия: немедленно направить уведомление по форме Приказа РКН №180, заявить о добровольном устранении, ходатайствовать о снижении по ч. 10 через ст. 4.1.1 КоАП. По ч. 17 — проверить возможность применения льготного расчёта ст. 4.1 КоАП через подтверждение инвестиций в ИБ.

Ситуация 3. Повторная утечка — оборотный штраф по ч. 18 ст. 13.11. Компания уже привлекалась по ч. 17 в 2025 году и не выполнила предписание в полном объёме. В 2026 году произошёл второй инцидент с биометрическими данными. РКН направляет дело в суд по ч. 18 ст. 13.11: 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Исход: без льготного расчёта по ст. 4.1 КоАП для компании с выручкой 1 млрд ₽ штраф составит 10–30 млн ₽. Стратегия: зафиксировать инвестиции в ИБ за три последних года (порог 0,1% выручки) для применения ст. 4.1 КоАП — льготный расчёт снижает штраф до 1/10 минимума.

Что подготовить для защиты при производстве по ч. 17 ст. 13.11

Договор поручения обработки биометрических ПДн с каждым подрядчиком — с требованиями по ст. 19 ФЗ-152 и Приказу ФСТЭК №21.
Акт об определении уровня защищённости ИСПДн по ПП РФ №1119 — для биометрии это, как правило, УЗ-1 или УЗ-2.
Первичное уведомление РКН об утечке — направленное в пределах 24 часов с отметкой о времени отправки (Приказ РКН №187).
Документальное подтверждение инвестиций в ИБ за три предшествующих года — для применения ст. 4.1 КоАП при расчёте оборотного штрафа.
Согласие субъекта на обработку биометрических ПДн по ст. 11 ФЗ-152 — письменное, с обязательными реквизитами ст. 9.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. Для юридических лиц ключевые диапазоны: ч. 12 — утечка от 1 000 до 10 000 субъектов — 3–5 млн ₽; ч. 13 — от 10 000 до 100 000 — 5–10 млн ₽; ч. 14 — свыше 100 000 — 10–15 млн ₽; ч. 17 — утечка биометрии — 15–20 млн ₽; ч. 15 и ч. 18 — оборотный штраф при повторности — 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Подсудность с 28.12.2025 (ФЗ-508) — мировые судьи.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП — это санкция, привязанная к совокупной выручке оператора за предшествующий календарный год. Размер — от 1 до 3% этой суммы. Нижняя граница абсолютная — 20 млн ₽, верхняя — 500 млн ₽. Применяется при повторности: по ч. 15 — если ранее было нарушение по ч. 12–14, 16–18 или 15; по ч. 18 — если ранее было нарушение по ч. 16 или 17. Ст. 32.2 КоАП о скидке 50% при досрочной уплате к этим составам не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ — это нижняя граница оборотного штрафа по ч. 15 и ч. 18 ст. 13.11 КоАП. Он применяется, если расчётная сумма в 1–3% от выручки оказывается ниже 20 млн ₽. При применении льготного расчёта по ст. 4.1 КоАП (инвестиции в ИБ не менее 0,1% выручки за три года) штраф снижается до одной десятой минимума — то есть от 15 млн ₽, но не более 50 млн ₽. Для нарушений по ч. 17 (не повторных) минимум 15 млн ₽, максимум 20 млн ₽ — без привязки к выручке.

4. Можно ли заменить штраф на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при отсутствии вреда и первичности нарушения. Однако к ч. 15 и ч. 18 ст. 13.11 (оборотные составы) ст. 4.1.1 не применяется — это прямо установлено законом. По ч. 17 при первичном нарушении замена теоретически возможна, но на практике регулятор и суды с осторожностью применяют её к нарушениям с биометрией: высокая общественная значимость данных служит отягчающим обстоятельством. Кейс case_S5 показал рабочесть этого инструмента для баз работников без биометрии — для ч. 17 результат менее предсказуем.

5. Какая подсудность дел после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул дела по ст. 13.11 КоАП мировым судьям. С 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. С 28.12.2025 — снова мировые. Это влияет на стратегию защиты: мировые судьи менее опытны в сложных экономических расчётах оборотного штрафа, апелляция идёт в районный суд. При крупных суммах по ч. 17 и ч. 18 критично правильно выстроить позицию уже на стадии мирового суда.

Итог

Ч. 17 ст. 13.11 КоАП — это новый стандарт ответственности за обработку биометрии: 15–20 млн ₽ за первую утечку вне зависимости от масштаба. Повторность переводит дело в оборотный штраф по ч. 18 с потолком 500 млн ₽. Инструменты снижения — ст. 4.1 КоАП (инвестиции в ИБ), ст. 4.1.1 (замена при первичности для МСП, не применима к оборотным), процессуальная работа с уведомлением РКН в 24/72 часа.

Практика DATUM по ст. 13.11 КоАП включает сопровождение производств с момента протокола: формирование доказательной базы по смягчающим, расчёт льготного коэффициента ст. 4.1, представление в мировом суде и апелляции.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Аудит соответствия 152-ФЗ — проверка обработки биометрии, УЗ-1..4, договоры поручения.
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП.

9 февраля 2027 года