Перейти к содержанию
аналитика 12 января 2028 По состоянию на 12 января 2028

Меры защиты биометрии для предупреждения штрафа

Биометрические персональные данные — единственная категория, где утечка влечёт штраф от 15 до 20 млн ₽ за один инцидент и оборотный штраф при повторе.
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей, отдельные составы для биометрии (ч. 16–18), оборотный штраф по ч. 15 и ч. 18 — от 1 до 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.
→ Если вы CEO и в вашей компании обрабатывается биометрия — СКУД, ЕБС, видеоаналитика — читайте, какие меры снижают риск штрафа до 1/10 минимального размера.

Биометрические персональные данные обрабатываются в банках, клиниках, офисах с СКУД, розничных сетях с видеоаналитикой и государственных сервисах. После вступления в силу ФЗ-420 от 30.11.2024 ответственность за нарушения при работе с биометрией кратно выросла. Для CEO это означает прямую связь между состоянием технической и организационной защиты и размером финансовых потерь компании. В этом материале — нормы, которые определяют состав правонарушения, меры защиты, снижающие риск привлечения к ответственности, и механизм смягчения штрафа, предусмотренный примечанием 3.4-2 к ст. 4.1 КоАП.

Какие штрафы грозят за нарушения при обработке биометрии по ст. 13.11 КоАП с 30.05.2025?

До ФЗ-420 биометрия не выделялась в отдельный состав — все нарушения по обработке ПДн квалифицировались по общим частям ст. 13.11. С 30.05.2025 введены специальные составы.

Часть 16 ст. 13.11 КоАП фиксирует нарушение требований к обработке биометрических персональных данных по ст. 11 ФЗ-152 — в частности, обработку без письменного согласия субъекта или с нарушением требований к его составу, если это не охватывается ст. 13.11.3 КоАП. Точный диапазон для юридических лиц подлежит сверке по актуальной редакции КоАП непосредственно перед принятием юридически значимых решений.

«Ч. 17 ст. 13.11 КоАП — утечка биометрических персональных данных (за исключением случаев ст. 13.11.3) — штраф для юридических лиц 15 000 000 — 20 000 000 ₽ в редакции с 30.05.2025.»

Часть 18 ст. 13.11 КоАП устанавливает оборотный штраф за повторное совершение нарушения по ч. 16 или ч. 17: от 1 до 3% совокупной годовой выручки за предшествующий календарный год, но не менее порогового значения, указанного в тексте КоАП, и не более 500 млн ₽. Минимальный порог уточняется по актуальной редакции.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф при повторной утечке по ч. 12–14 — 1–3% совокупной выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. Применяется при наличии предшествующего привлечения по ч. 12–14, 15, 16–18.»

Отдельно действует ст. 13.11.3 КоАП — нарушения при размещении биометрии в ЕБС (для банков, МФЦ и иных уполномоченных организаций). Штраф для юрлиц по этой статье — 500 тыс. — 1 млн ₽. Это не снижает риск по ч. 17 при утечке самих биометрических данных.

Помимо административной ответственности с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024). Незаконное использование, передача, сбор или хранение компьютерной информации с персональными данными грозит физическому лицу лишением свободы до 10 лет по ч. 5 при тяжких последствиях. Для CEO это означает личную уголовную ответственность при установлении умысла или грубой халатности.

Компания обрабатывает биометрию — когда провести аудит защиты?

Если в вашей компании развёрнут СКУД с биометрией, видеоаналитика или передача данных в ЕБС, а аудит соответствия ФЗ-152 не проводился в текущем году — вы работаете с неизвестным уровнем риска. Штраф по ч. 17 ст. 13.11 начинается с 15 млн ₽ за один инцидент. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие организационные и технические меры снижают риск привлечения к ответственности?

Меры защиты биометрических ПДн определяются пересечением двух нормативных пластов: требований ФЗ-152 (ст. 11, ст. 18.1, ст. 19) и технических требований ФСТЭК России по Приказу №21 от 18.02.2013. Уровень защищённости информационной системы, обрабатывающей биометрию, определяется по ПП РФ №1119 от 01.11.2012.

Организационные меры:

  • Письменное согласие субъекта на обработку биометрических ПДн по ст. 11 ФЗ-152 — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025). Согласие не может быть включено в трудовой договор, оферту или политику конфиденциальности.
  • Политика обработки биометрических ПДн как отдельный раздел общей политики или самостоятельный документ. Отсутствие политики — штраф по ч. 3 ст. 13.11 (30–60 тыс. ₽), а при проверке — признак системного несоответствия.
  • Приказ о назначении ответственного за обработку биометрических ПДн по ст. 22.1 ФЗ-152 с описанием конкретных обязанностей по биометрическому блоку.
  • Регламент реагирования на инциденты с биометрией: 24 часа на первичное уведомление РКН (ч. 3.1 ст. 21 ФЗ-152), 72 часа на отчёт о расследовании по Приказу РКН №187 от 14.11.2022. Срок не восстанавливается. Неуведомление — штраф 1–3 млн ₽ по ч. 11 ст. 13.11.
  • Журнал учёта обращений субъектов и журнал инцидентов с биометрическими ПДн.

Технические меры:

  • Определение уровня защищённости ИСПДн по ПП РФ №1119: для биометрических ПДн при любом типе угроз — как правило, УЗ-3 или УЗ-2. УЗ-1 применяется при угрозах 1-го типа (связанных с недекларированными возможностями системного ПО).
  • Реализация базового набора мер по Приказу ФСТЭК №21 в соответствии с установленным уровнем защищённости. Обязательны группы мер: идентификация и аутентификация (ИАФ), управление доступом (УПД), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), защита носителей информации (ЗНИ).
  • Хранение биометрических шаблонов в зашифрованном виде с разделением ключей шифрования и шаблонов.
  • Исключение хранения исходной биометрии вне ЕБС там, где это обязательно по ФЗ-572 от 29.12.2022 (с 01.06.2023 — для банков и иных уполномоченных организаций).
  • Сегрегация сети: биометрическая ИСПДн — в выделенном сегменте без прямого выхода в интернет.
  • Логирование всех операций с биометрическими данными и мониторинг аномалий.

Что подготовить CEO перед проверкой РКН по биометрии

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обработке биометрии
  • Письменные согласия субъектов на обработку биометрических ПДн в редакции ст. 9 ФЗ-152 с 01.09.2025 — отдельный документ
  • Документ об уровне защищённости ИСПДн, обрабатывающей биометрию, по ПП РФ №1119
  • Акт о реализации мер по Приказу ФСТЭК №21 с перечнем внедрённых средств защиты
  • Регламент реагирования на инциденты с биометрическими ПДн (24/72 часа)

Как инвестиции в информационную безопасность снижают оборотный штраф по ч. 15 ст. 13.11?

Примечание 3.4-2 к ст. 4.1 КоАП, введённое ФЗ-420 от 30.11.2024, предусматривает льготу при расчёте оборотного штрафа. Если оператор за три предшествующих года инвестировал в информационную безопасность не менее 0,1% совокупной годовой выручки — штраф по ч. 15 и ч. 18 ст. 13.11 рассчитывается как 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.

Это означает следующее. Компания с выручкой 10 млрд ₽ при повторной утечке без льготы заплатит оборотный штраф: 1% × 10 млрд = 100 млн ₽ (минимум). При применении льготы: 1/10 от 20 млн = 2 млн ₽, но с поднятием до минимума 15 млн ₽. Экономия — 85 млн ₽ при соблюдении одного условия: документально подтверждённые расходы на ИБ в размере не менее 10 млн ₽ за три года (0,1% от 10 млрд).

«Ст. 4.1 КоАП, примечание 3.4-2 (ФЗ-420 от 30.11.2024): при инвестициях в ИБ не менее 0,1% совокупной выручки за три предшествующих года оборотный штраф по ч. 15 и ч. 18 ст. 13.11 — 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

Условия применения льготы, которые необходимо соблюсти:

  • Расходы на ИБ документально подтверждены: договоры с подрядчиками, акты выполненных работ, платёжные поручения.
  • Расходы относятся именно к информационной безопасности — не к общей IT-инфраструктуре. Пограничные случаи: сертифицированные ФСТЭК средства защиты, SIEM-системы, пентест, аудит безопасности.
  • Три предшествующих года — три полных calendar year до года нарушения.
  • Льгота применяется судом или регулятором на основании представленных доказательств. Без их предоставления — не применяется автоматически.

Помимо льготы за ИБ-инвестиции, ст. 4.1.1 КоАП допускает замену штрафа предупреждением для микропредприятий и субъектов МСП при отсутствии вреда и первичности нарушения. Однако эта возможность не распространяется на ч. 15 и ч. 18 ст. 13.11 — оборотные составы.

Если CEO получил протокол по ч. 16 или ч. 17 ст. 13.11 — у вас ограниченное время для сбора доказательств инвестиций в ИБ. Юристы DATUM оспорят протокол, подготовят расчёт льготы по ст. 4.1 КоАП и представят интересы в суде.

Защитить от штрафа 13.11

Типовые сценарии нарушений и стратегия реагирования для CEO

Сценарий 1. Утечка биометрических данных через СКУД-подрядчика.

Ситуация: компания использует биометрический СКУД, обслуживание ведёт подрядчик. В результате атаки на инфраструктуру подрядчика утекли биометрические шаблоны 3 000 сотрудников. Доказательства: факт утечки зафиксирован в SIEM-системе компании, подрядчик уведомил в течение 6 часов. Вероятный исход: квалификация по ч. 17 ст. 13.11 (утечка биометрии) — штраф 15–20 млн ₽; возможна дополнительная квалификация по ч. 11 (неуведомление РКН, если 24-часовой срок нарушен). Стратегия: немедленное уведомление РКН в течение 24 часов, оперативное расследование, предоставление доказательств инвестиций в ИБ для применения льготы по ст. 4.1 КоАП, в арбитраже — ссылка на принятые меры защиты и оперативность реагирования.

Сценарий 2. Обработка биометрии без письменного согласия в корпоративной столовой.

Ситуация: компания внедрила систему оплаты обедов по лицу сотрудников без оформления отдельных письменных согласий — ссылка на трудовой договор. С 01.09.2025 трудовой договор не является надлежащим согласием по ст. 9 ФЗ-152 в редакции ФЗ-156. Доказательства: факт обработки без согласия фиксируется при плановой проверке РКН по индикатору риска. Вероятный исход: протокол по ч. 16 ст. 13.11, возможно также по ч. 2 (обработка без письменного согласия — 300–700 тыс. ₽). Стратегия: до проверки — переоформить согласия на обработку биометрии как отдельные документы; при наличии протокола — применение ст. 4.1.1 КоАП для субъектов МСП при первичности нарушения.

Сценарий 3. Повторная утечка — оборотный штраф.

Ситуация: компания уже привлекалась к ответственности по ч. 17 ст. 13.11 в прошлом году за утечку биометрии 500 сотрудников. В текущем году произошла новая утечка биометрических данных 800 клиентов через уязвимость в API мобильного приложения. Доказательства: факт предыдущего привлечения зафиксирован; новый инцидент задокументирован. Вероятный исход: квалификация по ч. 18 ст. 13.11 — оборотный штраф. При выручке компании 2 млрд ₽: 1% = 20 млн ₽, минимум по ч. 18 — уточнять по тексту КоАП. Стратегия: применение льготы по ст. 4.1 примечание 3.4-2 при наличии документации об ИБ-инвестициях — снижение до 15–50 млн ₽.

Практика применения норм о биометрии в 2025–2026 годах

Кейс 1. Финансовая компания (Центральный ФО, осень 2025) обрабатывала биометрию клиентов для удалённой идентификации без надлежащего письменного согласия по ст. 11 ФЗ-152. При плановой проверке РКН инспектор зафиксировал нарушение и составил протокол по ч. 16 ст. 13.11. Компания представила документы об инвестициях в ИБ за три года на уровне 0,12% выручки. Мировой суд учёл примечание 3.4-2 к ст. 4.1 КоАП при расчёте штрафа. ⚠️ Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Кейс 2. По итогам 2025 года РКН зафиксировал 118 случаев компрометации баз данных (данные InfoWatch, январь 2026). Назначено 6 административных штрафов по новым нормам ст. 13.11 на общую сумму около 570 тыс. ₽. Применение ФЗ-420 идёт точечно — суды накапливают практику по новым составам, в том числе по биометрическим. Это означает, что первые значимые прецеденты по ч. 16–18 ст. 13.11 формируются именно сейчас.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025 за нарушения с биометрией?

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024. За нарушение требований к обработке биометрических ПДн (ч. 16) и за утечку биометрии (ч. 17) — штраф для юридических лиц от 15 до 20 млн ₽ по ч. 17. При повторном нарушении применяется ч. 18 — оборотный штраф: 1–3% совокупной годовой выручки с минимальным порогом, установленным КоАП, и максимумом 500 млн ₽. Точные диапазоны по ч. 16 и ч. 18 сверяются по актуальной редакции КоАП.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП рассчитывается от совокупной выручки компании за предшествующий полный календарный год. Диапазон — 1–3%, конкретный процент определяет суд с учётом обстоятельств. Нижний предел — не менее 20 млн ₽ по ч. 15 (для ч. 18 минимум уточняется по тексту КоАП), верхний — не более 500 млн ₽. При выручке 5 млрд ₽ штраф составит от 50 до 150 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП на оборотные составы не распространяется.

3. Когда применяется минимум 20 млн ₽ и льгота 1/10 по ст. 4.1 КоАП?

Минимум 20 млн ₽ применяется по ч. 15 ст. 13.11 — когда 1% выручки меньше этой суммы. Льгота по примечанию 3.4-2 к ст. 4.1 КоАП снижает штраф до 1/10 минимального размера, если компания за три предшествующих года инвестировала в ИБ не менее 0,1% совокупной выручки. В этом случае итоговый штраф составит не менее 15 млн ₽ и не более 50 млн ₽. Льгота не применяется автоматически — необходимо документальное подтверждение расходов на ИБ и ходатайство в суде.

4. Можно ли заменить штраф за нарушение с биометрией на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП допустима при первичном нарушении для микропредприятий и субъектов МСП, если нарушение не повлекло вреда. Однако эта норма не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11. По ч. 16 и ч. 17 при первичности и отсутствии вреда замена теоретически возможна для субъектов МСП, однако практика по этим составам только формируется с 30.05.2025 и требует оценки конкретной ситуации.

5. Какая подсудность дел по ст. 13.11 КоАП после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул им подсудность. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Это важно для выбора стратегии обжалования: апелляция на решение мирового судьи подаётся в районный суд, а не в арбитражную систему. Оборотные составы (ч. 15, ч. 18) с высокими суммами требуют профессионального сопровождения с первого заседания у мирового судьи.

Итог

Меры защиты биометрии — это не только технические средства, но и документированная система: письменные согласия, политика, регламент реагирования, подтверждённые расходы на ИБ. Последнее условие при повторном нарушении снижает оборотный штраф по ч. 18 ст. 13.11 до 1/10 минимума — то есть от 15 до 50 млн ₽ вместо нескольких сотен миллионов. Разница определяется тем, есть ли в компании три года задокументированных ИБ-инвестиций.

Практика DATUM по защите от штрафов по ст. 13.11 КоАП включает сопровождение первых дел по новым составам ч. 16–18 в редакции ФЗ-420 от 30.11.2024 — с момента протокола до вынесения постановления мировым судьёй.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, защита от оборотных штрафов с 30.05.2025.

12 января 2028 года