аналитика 21 января 2028 По состоянию на 21 января 2028

Когда штраф по ч. 12 — 3, а когда 5 млн

Часть 12 ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025) устанавливает штраф 3–5 млн ₽ за утечку от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов.

Разница между нижней и верхней границей — 2 млн ₽ за одно нарушение. Суд выбирает конкретный размер с учётом отягчающих и смягчающих обстоятельств по ст. 4.1 КоАП, а при повторности применяется оборотный штраф по ч. 15 — от 20 млн ₽.

→ Если вы CEO и ваша компания допустила утечку или получила протокол по ч. 12 — у вас есть процессуальные инструменты для снижения суммы до минимума или замены санкции.

С 30.05.2025 года ст. 13.11 КоАП действует в расширенной редакции по ФЗ-420 от 30.11.2024: вместо 7 частей — 18. Утечки данных теперь квалифицируются отдельно в зависимости от числа затронутых субъектов и идентификаторов. Ч. 12 — базовая «средняя» утечка. Ч. 13 и 14 — крупные и массовые. Ч. 15 — оборотный штраф при повторности. Для CEO критично понять, что конкретно влияет на выбор суммы внутри диапазона 3–5 млн ₽ и как этим управлять до вынесения постановления.

Что такое ч. 12 ст. 13.11 КоАП и какой у неё диапазон?

Часть 12 ст. 13.11 КоАП охватывает утечку персональных данных в следующих масштабах: от 1 000 до 10 000 субъектов либо от 10 000 до 100 000 уникальных идентификаторов (телефонов, адресов электронной почты, номеров документов). Диапазон штрафа для юридических лиц — 3 000 000–5 000 000 ₽.

«Ч. 12 ст. 13.11 КоАП РФ (в ред. ФЗ-420 от 30.11.2024): незаконная обработка, повлёкшая распространение (утечку) ПДн от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов — штраф для юридического лица 3 000 000–5 000 000 ₽.»

Важная деталь: закон считает и субъектов, и идентификаторы. Если компания допустила утечку базы с 500 уникальными людьми, но каждому принадлежит по несколько телефонов — итого 12 000 идентификаторов — это уже ч. 12, а не меньший состав. РКН и суды анализируют оба показателя и применяют тот, который даёт более высокую квалификацию.

Ч. 13 начинается с 10 001 субъекта или 100 001 идентификатора (штраф 5–10 млн ₽). Ч. 14 — свыше 100 000 субъектов или 1 000 000 идентификаторов (10–15 млн ₽). Понимание этой иерархии влияет на защитную стратегию: спор об объёме утечки в ряде случаев переводит дело из ч. 13 в ч. 12 или вообще снимает квалификацию по этим частям.

Что влияет на выбор между 3 и 5 млн внутри ч. 12?

Статья 4.1 КоАП устанавливает общие принципы назначения административного наказания. Суд (с 28.12.2025 — мировой судья по ФЗ-508 от 28.12.2025) обязан учесть характер нарушения, имущественное положение лица, смягчающие и отягчающие обстоятельства.

Факторы, которые практически ведут к нижней границе (3 млн ₽):

Первичность нарушения — оператор ранее не привлекался по ч. 12–14 ст. 13.11.
Оперативное уведомление РКН в течение 24 часов с момента обнаружения инцидента (ч. 3.1 ст. 21 ФЗ-152) и отчёт за 72 часа по Приказу РКН №187.
Самостоятельное выявление утечки оператором, а не по жалобе субъекта или сообщению в СМИ.
Немедленное блокирование скомпрометированного доступа и уведомление затронутых субъектов.
Документально подтверждённые вложения в информационную безопасность: SIEM, DLP, пентесты, обучение персонала.
Небольшое число реально пострадавших субъектов (ближе к нижней границе 1 000).
Отсутствие специальных категорий ПДн (ст. 10 ФЗ-152) в составе утечки.

Факторы, толкающие к верхней границе (5 млн ₽) или к переквалификации на ч. 13:

Утечка выявлена не оператором, а обнаружена в открытом доступе или даркнете.
Задержка первичного уведомления РКН свыше 24 часов — автоматически добавляется протокол по ч. 11 ст. 13.11 (штраф 1–3 млн ₽ отдельно).
В составе утечки — медицинские данные, данные о судимости, биометрия.
Утечка произошла через подрядчика, которому данные переданы без надлежащего договора поручения (п. 3 ст. 6 ФЗ-152).
Повторность: если компания ранее получала предписание РКН или штраф по любой части ст. 13.11.

«Ст. 4.1 КоАП РФ: при назначении наказания суд учитывает характер и тяжесть правонарушения, имущественное положение лица, смягчающие и отягчающие обстоятельства. Примечание 3.4-2 к ст. 4.1: при инвестициях в ИБ не менее 0,1% выручки за 3 предшествующих года — штраф по оборотным составам (ч. 15, 18) снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.»

Получили протокол по ч. 12 ст. 13.11?

Протокол составляется до вынесения постановления — это рабочий момент для формирования позиции. Разница между 3 и 5 млн ₽ зависит от того, какие смягчающие обстоятельства зафиксированы в деле до заседания. Промедление сужает возможности.

Юристы DATUM оспорят протокол и постановление по ст. 13.11, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения санкции и защиты в арбитраже.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Когда ч. 12 переходит в оборотный штраф по ч. 15?

Часть 15 ст. 13.11 КоАП — оборотный штраф — применяется при повторном совершении нарушения по ч. 12, 13, 14, 16, 17 или 18. Повторность означает, что оператор уже привлекался к административной ответственности по одному из этих составов, и в течение срока, пока он считается подвергнутым наказанию, допустил новую утечку.

«Ч. 15 ст. 13.11 КоАП РФ (в ред. ФЗ-420): оборотный штраф при повторности по ч. 12–14, 16–18 — от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.»

Для компании с выручкой 1 млрд ₽ оборотный штраф составит от 10 до 30 млн ₽, но фактически не менее 20 млн ₽. При выручке 5 млрд ₽ — 50–150 млн ₽. Верхний предел — 500 млн ₽ вне зависимости от масштаба компании.

Срок, в течение которого лицо считается подвергнутым наказанию, по ст. 4.6 КоАП — 1 год с момента исполнения постановления о назначении штрафа. Именно в этот период повторная утечка переводит дело в ч. 15. Стратегическое следствие: если первый протокол по ч. 12 оспаривается в суде и постановление ещё не исполнено — статус «подвергнутого наказанию» ещё не возник.

Снизить оборотный штраф по ч. 15 до 1/10 минимума (не менее 15 млн ₽, не более 50 млн ₽) возможно при документальном подтверждении инвестиций в информационную безопасность на уровне не ниже 0,1% выручки за три года, предшествующих нарушению (примечание 3.4-2 к ст. 4.1 КоАП, введено ФЗ-420).

Можно ли заменить штраф по ч. 12 на предупреждение?

Статья 4.1.1 КоАП допускает замену административного штрафа предупреждением для субъектов малого и среднего предпринимательства (в том числе микропредприятий) при одновременном соблюдении условий: первичность нарушения, отсутствие имущественного вреда, отсутствие угрозы жизни и здоровью. К ч. 15 и ч. 18 ст. 13.11 (оборотные составы) замена не применяется.

На практике суды допускают замену по ч. 12 для микропредприятий при соблюдении всех условий. Кейс из практики: компания малого бизнеса (Центральный ФО, осень 2025) допустила утечку данных менее 2 000 субъектов через взломанный почтовый сервер. РКН возбудил дело по ч. 12 ст. 13.11. Компания представила доказательства первичности нарушения, оперативного устранения уязвимости и уведомления затронутых субъектов. Мировой судья применил ст. 4.1.1 КоАП и заменил штраф предупреждением.

Для компаний крупного и среднего бизнеса, которые не относятся к СМП, замена по ст. 4.1.1 недоступна. Для них основной инструмент — снижение до нижней границы диапазона через доказательную базу смягчающих обстоятельств по ст. 4.1 КоАП и документирование инвестиций в ИБ.

Что подготовить для снижения штрафа по ч. 12

Зафиксированное время обнаружения инцидента и первичное уведомление в РКН в срок до 24 часов (ч. 3.1 ст. 21 ФЗ-152) с отметкой о принятии.
Отчёт о внутреннем расследовании, поданный в РКН в течение 72 часов по Приказу РКН №187, с описанием мер устранения.
Документы, подтверждающие инвестиции в ИБ за 3 года: договоры с подрядчиками по ИБ, акты о проведённых пентестах, приобретение DLP/SIEM, обучение сотрудников.
Действующий договор поручения обработки ПДн (п. 3 ст. 6 ФЗ-152) с каждым подрядчиком, имеющим доступ к данным.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и актуальная политика обработки по ст. 18.1 ФЗ-152.

Как работает подсудность дел по ч. 12 после ФЗ-508?

С 28.12.2025 дела об административных правонарушениях по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 эти дела были подсудны арбитражным судам субъектов РФ. Смена подсудности практически значима: апелляция на решение мирового судьи подаётся в районный суд, а не в арбитражный апелляционный суд.

Для дел о правонарушениях, совершённых до 28.12.2025 и рассмотренных в арбитраже, обжалование продолжается в системе арбитражных судов. Для дел, возбуждённых после 28.12.2025 или переданных мировым судьям в соответствии с новыми правилами подсудности, — в системе судов общей юрисдикции.

«ФЗ-508 от 28.12.2025: с 28 декабря 2025 года дела по ст. 13.11 КоАП рассматриваются мировыми судьями. Апелляция — в районный суд. Для дел по ч. 15 (оборотный штраф) — применяется специальный порядок исходя из размера санкции.»

Типовые сценарии: как развивается дело по ч. 12

Сценарий 1. Утечка выявлена самостоятельно, уведомление подано вовремя. Компания (производственный холдинг, Уральский ФО, лето 2025) обнаружила несанкционированный доступ к CRM-системе с данными 4 500 клиентов. CISO направил первичное уведомление в РКН за 21 час, отчёт за 70 часов. Протокол составлен по ч. 12, но компания представила доказательства инвестиций в ИБ, первичности и оперативности. Мировой судья назначил штраф 3 000 000 ₽ — минимум диапазона. ⚠️ Номер дела и точная дата — менеджер уточняет при публикации.

Сценарий 2. Утечка обнаружена журналистами, уведомление просрочено. Интернет-ретейлер (Приволжский ФО, осень 2025) не заметил утечки данных 7 000 покупателей — база появилась в даркнете. РКН возбудил дело одновременно по ч. 12 (утечка) и ч. 11 (неуведомление об инциденте, штраф дополнительно 1–3 млн ₽). По ч. 12 назначен штраф ближе к верхней границе — 4 500 000 ₽ — с учётом того, что утечка не выявлена оператором самостоятельно. ⚠️ Номер дела и точная дата — менеджер уточняет при публикации.

Сценарий 3. Повторная утечка — переход к ч. 15. Логистическая компания (Северо-Западный ФО) получила штраф 3 000 000 ₽ по ч. 12 ст. 13.11 в первом квартале 2026 года. Спустя 7 месяцев после исполнения постановления произошла повторная утечка 2 000 субъектов. Квалификация — ч. 15 (оборотный штраф). При выручке компании 800 млн ₽ размер штрафа составил 20 000 000 ₽ — минимальный порог по ч. 15. ⚠️ Номер дела — менеджер уточняет при публикации.

Если вы CEO и компания уже получила протокол по ч. 12 или ожидает проверки РКН — работа с доказательной базой должна начинаться до заседания. Каждый пропущенный день сужает возможности по ст. 4.1 КоАП.

Защитить от штрафа 13.11

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и насчитывает 18 частей. Диапазоны для юридических лиц: ч. 12 — 3–5 млн ₽ (утечка 1 000–10 000 субъектов), ч. 13 — 5–10 млн ₽ (10 000–100 000 субъектов), ч. 14 — 10–15 млн ₽ (свыше 100 000 субъектов), ч. 15 — оборотный 1–3% годовой выручки, не менее 20 млн ₽. За неуведомление РКН об утечке в срок (ч. 11) — дополнительно 1–3 млн ₽.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП — это санкция в размере 1–3% совокупной выручки юридического лица за предшествующий календарный год. Применяется при повторном нарушении по ч. 12, 13, 14, 16, 17 или 18. Минимальный порог — 20 000 000 ₽, максимальный — 500 000 000 ₽. Для биометрических данных аналогичный оборотный штраф предусмотрен ч. 18. Досрочная уплата с 50% скидкой (ст. 32.2 КоАП) к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимум 20 млн ₽ применяется всегда при квалификации по ч. 15, даже если 1% выручки меньше этой суммы. Например, для компании с годовой выручкой 500 млн ₽ расчётный минимум по 1% составил бы 5 млн ₽ — но назначается 20 млн ₽. Снизить до 1/10 минимума (не менее 15 млн ₽, не более 50 млн ₽) возможно при документальном подтверждении инвестиций в ИБ не менее 0,1% выручки за 3 года (примечание 3.4-2 к ст. 4.1 КоАП).

4. Можно ли заменить штраф по ч. 12 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для субъектов МСП (включая микропредприятия) при первичном нарушении, если отсутствует имущественный вред. К оборотным штрафам (ч. 15 и ч. 18) замена не применяется. Для компаний, не относящихся к МСП, основной инструмент снижения — доказательная база смягчающих обстоятельств по ст. 4.1 КоАП.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. До этого — с 30.05.2025 по 27.12.2025 — арбитражные суды субъектов РФ. Дела, возбуждённые и рассмотренные в арбитраже до 28.12.2025, обжалуются в системе арбитражных судов. Новые дела — в судах общей юрисдикции (районный суд как апелляция на решение мирового).

Итог

Разница между 3 и 5 млн ₽ по ч. 12 ст. 13.11 КоАП определяется набором смягчающих и отягчающих обстоятельств по ст. 4.1 КоАП: скоростью уведомления РКН, наличием договоров поручения, составом утечки и документально подтверждёнными инвестициями в ИБ. Повторная утечка переводит дело в оборотный штраф по ч. 15 с минимумом 20 млн ₽. Подготовка доказательной базы начинается до протокола, а не после постановления.

Практика DATUM включает сопровождение дел по ч. 12–15 ст. 13.11 КоАП в рамках защиты операторов от административных санкций за утечки ПДн.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — проверка готовности к проверке РКН, 38 пунктов
Сопровождение проверок РКН — представление интересов при проверке, обжалование предписаний

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Взаимодействие с РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

21 января 2028 года