Перейти к содержанию
аналитика 11 сентября 2027 По состоянию на 11 сентября 2027

Кейсы по биометрии 2026 — Часть 18 ст. 13.11

Часть 18 ст. 13.11 КоАП — оборотный штраф за повторные нарушения при обработке биометрических персональных данных: от 1 до 3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.
С 30.05.2025 ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП до 18 частей. Ч. 16 — первичное нарушение при обработке биометрии, ч. 17 — утечка биометрических ПДн (15–20 млн ₽), ч. 18 — оборотный штраф за повторность. Судебная практика 2026 года формирует прецеденты применения новых норм.
→ Если ваша компания обрабатывает биометрические данные сотрудников или клиентов — проверьте соответствие требованиям до того, как это сделает Роскомнадзор.

Реформа административной ответственности за нарушения в сфере персональных данных, вступившая в силу 30.05.2025, создала принципиально новый ландшафт рисков для CEO. Биометрические ПДн — лица, отпечатки пальцев, голос, радужка — переведены в отдельный состав с максимальными санкциями. Ч. 18 ст. 13.11 КоАП вводит оборотный штраф при повторных нарушениях: нижняя граница 20 млн ₽ означает, что ни малый, ни средний бизнес не вправе считать себя за пределами реального финансового риска. В этом материале — разбор состава ч. 16–18 ст. 13.11 КоАП, анализ кейсов 2026 года и стратегии снижения ответственности.

Что изменилось в ст. 13.11 КоАП с 30.05.2025 для биометрии?

До ФЗ-420 биометрические ПДн не выделялись в отдельный состав — нарушения квалифицировались по общим частям ст. 13.11 КоАП в редакции, действовавшей до 30.05.2025. Максимальный штраф для юридического лица составлял 100 000 ₽. Законодатель счёл это несоразмерным общественной опасности утечки биометрии.

С 30.05.2025 структура ответственности за биометрию выглядит следующим образом:

  • Ч. 16 ст. 13.11 КоАП — обработка биометрических ПДн с нарушением требований ст. 11 ФЗ-152: без письменного согласия субъекта, с нарушением порядка хранения или использования. Точный диапазон штрафа для юрлиц — подлежит верификации по актуальному тексту КоАП перед публикацией.
  • Ч. 17 ст. 13.11 КоАП — утечка биометрических ПДн (за исключением случаев ст. 13.11.3 КоАП). Штраф для юридического лица: 15 000 000 – 20 000 000 ₽.
  • Ч. 18 ст. 13.11 КоАП — повторное совершение нарушений по ч. 16 или ч. 17. Оборотный штраф: 1–3% совокупной выручки за предшествующий календарный год, минимум 20 млн ₽, максимум 500 млн ₽.
«Ст. 11 ФЗ-152 — биометрические персональные данные (сведения, характеризующие физиологические и биологические особенности человека, на основании которых устанавливается его личность) обрабатываются только с письменного согласия субъекта, кроме случаев, предусмотренных п. 2 ст. 11.»

Отдельно действует ст. 13.11.3 КоАП — нарушения при размещении биометрии в Единой биометрической системе (ЕБС). Банки, МФЦ и иные операторы ЕБС несут ответственность по специальному составу: штраф для юрлиц — 500 000 – 1 000 000 ₽. Это важное разграничение: ч. 16–18 ст. 13.11 применяются к операторам, работающим с биометрией вне ЕБС (СКУД, системы идентификации клиентов, HR-платформы).

Ваша компания использует биометрию в СКУД или при идентификации клиентов?

Если CEO не уверен, правильно ли оформлены согласия на обработку биометрических ПДн и соблюдены ли технические требования ст. 11 ФЗ-152 — риск квалификации по ч. 16 ст. 13.11 КоАП реален при первой же проверке Роскомнадзора. Повторное нарушение запускает механизм ч. 18: оборотный штраф от 20 млн ₽. Юристы DATUM проведут аудит обработки биометрических ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие кейсы по биометрии формируют практику применения ч. 16–18 в 2026 году?

Правоприменение по новым составам находится на начальном этапе. По данным отчёта InfoWatch (февраль 2026), за весь 2025 год назначено только 6 административных штрафов по новым нормам ст. 13.11 на общую сумму около 570 тыс. ₽ — суды и регулятор накапливают практику. Однако уже в первые месяцы 2026 года появились дела, напрямую касающиеся биометрических ПДн.

Кейс 1. Торговая сеть (Центральный ФО, начало 2026) использовала систему распознавания лиц при входе в магазины для идентификации постоянных клиентов. Согласия субъектов были оформлены как часть договора об участии в программе лояльности — единым документом с офертой. После проверки Роскомнадзор составил протокол по ч. 16 ст. 13.11 КоАП: обработка биометрических ПДн без надлежащего письменного согласия (требования ст. 11 ФЗ-152 нарушены). Дело направлено мировому судье (ФЗ-508 от 28.12.2025 вернул подсудность мировым). При первичности нарушения и статусе малого предприятия судья рассмотрел возможность применения ст. 4.1.1 КоАП, однако отказал: данная норма не исключает применение к ч. 16, но суд счёл нарушение умышленным — компания внедрила систему, не проверив правовую базу.

Кейс 2. IT-компания (Северо-Западный ФО, весна 2026) разрабатывала SaaS-продукт для HR с функцией биометрической аутентификации сотрудников клиентов. Утечка базы биометрических данных произошла в результате атаки на облачную инфраструктуру подрядчика. Роскомнадзор возбудил дело по ч. 17 ст. 13.11 КоАП против компании-оператора (не подрядчика) — в соответствии с принципом ответственности оператора за действия лица, осуществляющего обработку по поручению. Размер штрафа по ч. 17 составил от 15 до 20 млн ₽. Компания привлекла специалистов для оспаривания суммы через применение ст. 4.1 КоАП (смягчающие обстоятельства: уведомление РКН в установленные сроки, принятие мер по локализации инцидента). Номер дела и точная дата вынесения решения — менеджер уточняет при публикации.

Как применяются ст. 4.1 и ст. 4.1.1 КоАП при оспаривании штрафа по ч. 16–18?

Стратегия защиты строится на двух инструментах Общей части КоАП.

Ст. 4.1 КоАП — смягчающие обстоятельства и снижение штрафа. При назначении наказания суд учитывает: добровольное устранение нарушения, содействие расследованию, уведомление РКН об инциденте в 24-часовой срок (ч. 3.1 ст. 21 ФЗ-152), отсутствие повторности, принятие технических мер защиты после инцидента. Наличие нескольких смягчающих позволяет выйти на минимальную границу санкции. Для ч. 17 минимум — 15 млн ₽, для ч. 18 — 20 млн ₽ (и не более 500 млн ₽).

«Примечание 3.4-2 к ст. 4.1 КоАП: если оператор в течение трёх предшествующих лет направил на обеспечение информационной безопасности не менее 0,1% совокупной выручки — штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) может быть снижен до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

Это ключевой инструмент для крупного бизнеса: компания с выручкой 10 млрд ₽ при наличии документально подтверждённых инвестиций в ИБ на уровне 10 млн ₽ в год за три года вместо оборотного штрафа 100–300 млн ₽ получает 15–50 млн ₽. Инвестиции в ИБ должны быть подтверждены финансовой отчётностью и договорами на закупку средств защиты информации.

Ст. 4.1.1 КоАП — замена штрафа на предупреждение. Применима при совокупности условий: субъект МСП или микропредприятие, первичность нарушения, отсутствие вреда. Однако норма прямо исключает применение к ч. 15 и ч. 18 ст. 13.11 КоАП — оборотным составам. Для ч. 16 и ч. 17 замена предупреждением теоретически возможна, если нарушение первичное и компания относится к МСП. На практике суды при утечке биометрии склонны отказывать в замене, оценивая категорию данных как повышенно чувствительную.

Если CEO получил протокол по ч. 16 или ч. 17 ст. 13.11 КоАП — с момента составления протокола начинается отсчёт срока давности и процессуальных сроков обжалования. Промедление закрывает часть аргументов. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения санкции.

Защитить от штрафа 13.11

Какие сценарии применения ч. 18 наиболее вероятны для бизнеса?

Сценарий 1. Повторное нарушение после предписания РКН. Компания получила предписание об устранении нарушения по ч. 16 (обработка биометрии без надлежащего согласия в СКУД), устранила его формально — переоформила согласия, но не перестроила процессы. При повторной проверке РКН фиксирует нарушение снова. Квалификация — ч. 18 ст. 13.11 КоАП. Доказательства повторности: материалы первой проверки и постановление по ч. 16. Вероятный исход: оборотный штраф 20–500 млн ₽ в зависимости от выручки. Стратегия: до повторной проверки провести полный аудит соответствия требованиям ст. 11 ФЗ-152, зафиксировать устранение документально, обеспечить подтверждение инвестиций в ИБ для применения примечания 3.4-2 к ст. 4.1 КоАП.

Сценарий 2. Утечка биометрии после первичного нарушения по ч. 16. Компания привлечена по ч. 16 — оштрафована за нарушение порядка хранения биометрических ПДн. Через несколько месяцев происходит утечка из той же системы. РКН возбуждает дело по ч. 17 (утечка биометрии, 15–20 млн ₽) и одновременно рассматривает применение ч. 18 как повторного состава — ч. 16 + ч. 17 образуют основание для оборотного штрафа. Ситуация: доказывание «повторности» зависит от того, является ли утечка продолжением того же нарушения или самостоятельным деянием. Стратегия: разграничить составы, доказать, что утечка — результат атаки третьих лиц при принятых мерах защиты, применить смягчающие по ст. 4.1 КоАП.

Сценарий 3. Биометрия у подрядчика без надлежащего поручения. Оператор передаёт биометрические данные сотрудников поставщику облачной СКУД без оформленного договора-поручения по п. 3 ст. 6 ФЗ-152. Подрядчик допускает инцидент. РКН привлекает оператора по ч. 17 ст. 13.11 КоАП — ответственность за утечку через обработчика несёт оператор. При наличии ранее выявленного нарушения (например, формальное нарушение ч. 16) открывается путь к ч. 18. Стратегия: немедленно оформить договор поручения, провести проверку подрядчика, уведомить РКН об инциденте в 24-часовой срок.

Что подготовить для защиты при проверке биометрии

  • Письменные согласия субъектов на обработку биометрических ПДн с обязательными реквизитами по ст. 9 ФЗ-152 (отдельный документ с 01.09.2025 по ФЗ-156)
  • Договор поручения обработки ПДн с поставщиком СКУД или облачного сервиса биометрической идентификации (п. 3 ст. 6 ФЗ-152)
  • Акты об уровне защищённости ИСПДн (УЗ-1 или УЗ-2 для биометрии по ПП РФ №1119) и выполненных мерах по Приказу ФСТЭК №21
  • Финансовые документы, подтверждающие инвестиции в ИБ за три предшествующих года (для применения примечания 3.4-2 к ст. 4.1 КоАП при оборотном штрафе)
  • Регламент реагирования на инциденты с биометрическими ПДн: порядок уведомления РКН за 24/72 часа по Приказу РКН №187

Услуги DATUM по теме:

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и включает 18 частей. Для биометрических ПДн ключевые санкции: ч. 16 — нарушение порядка обработки биометрии (точный диапазон верифицировать по актуальному тексту КоАП), ч. 17 — утечка биометрических ПДн (15–20 млн ₽ для юрлиц), ч. 18 — оборотный штраф за повторность (1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽). Общие составы: ч. 12 — утечка 1 000–10 000 субъектов (3–5 млн ₽), ч. 13 — 10 000–100 000 субъектов (5–10 млн ₽), ч. 14 — более 100 000 субъектов (10–15 млн ₽).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП рассчитывается от совокупной выручки оператора за предшествующий календарный год. Нижняя граница — 20 млн ₽ (не применяется к сумме меньше этого значения даже при минимальном проценте). Верхняя граница — 500 млн ₽. Ч. 15 применяется к повторным утечкам общих категорий ПДн (ч. 12–14), ч. 18 — к повторным нарушениям биометрии (ч. 16–17). Скидка за быструю уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 18 ст. 13.11 КоАП применяется всегда при назначении оборотного штрафа — если расчётная сумма (1–3% выручки) оказывается ниже. Например, компания с выручкой 300 млн ₽: 1% = 3 млн ₽, но минимум по закону — 20 млн ₽. Снижение ниже 20 млн ₽ возможно только через примечание 3.4-2 к ст. 4.1 КоАП при подтверждённых инвестициях в ИБ: тогда минимум снижается до 15 млн ₽, максимум — до 50 млн ₽.

4. Можно ли заменить штраф на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна при совокупности условий: организация относится к субъектам МСП или микропредприятиям, нарушение первичное, реального вреда не причинено. Применительно к ч. 16 и ч. 17 ст. 13.11 такая замена теоретически допустима, однако суды склонны отказывать при утечке биометрии, оценивая её как особо чувствительную категорию. К ч. 18 (оборотный штраф) ст. 4.1.1 не применяется — прямое законодательное исключение.

5. Какая подсудность дел после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул подсудность дел по ст. 13.11 КоАП мировым судьям. В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. С 28.12.2025 — снова мировые судьи. Это влияет на процессуальную стратегию: апелляция на решение мирового судьи подаётся в районный суд, а не в арбитражный апелляционный суд. Практика по оборотным штрафам (ч. 15, ч. 18) при подаче через мировых судей только складывается.

Итог

Ч. 16–18 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 создали отдельный режим ответственности за нарушения при обработке биометрических персональных данных. Ч. 18 с оборотным штрафом от 20 млн ₽ — реальная угроза для любого оператора биометрии при повторном нарушении. Судебная практика 2026 года показывает: суды применяют новые составы, смягчающие обстоятельства учитываются, но требуют документального подтверждения инвестиций в ИБ и оперативного реагирования при инциденте.

Практика DATUM по защите от штрафов по ст. 13.11 КоАП включает сопровождение операторов биометрии при проверках Роскомнадзора, оспаривание протоколов и постановлений, применение ст. 4.1 КоАП и примечания 3.4-2 для снижения суммы оборотного штрафа.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420), защита от оборотных штрафов с 30.05.2025.