Перейти к содержанию
аналитика 17 февраля 2028 По состоянию на 17 февраля 2028

Меры защиты биометрии для предупреждения штрафа

Биометрические персональные данные — специальная категория с усиленной ответственностью: штраф за утечку составляет от 15 до 20 млн ₽ по ч. 17 ст. 13.11 КоАП, а при повторении — оборотный штраф до 500 млн ₽ по ч. 18.
С 30.05.2025 ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП до 18 частей: биометрия получила отдельные составы (ч. 16–18). Минимальный порог оборотного штрафа — 20 млн ₽. При инвестициях в ИБ не менее 0,1% годовой выручки за 3 года суд вправе снизить штраф до 1/10 минимума, но не менее 15 млн ₽.
→ Если ваша компания обрабатывает биометрию — проверьте меры защиты сейчас, пока протокол не составлен.

С 30.05.2025 каждый оператор, хранящий изображение лица, голос, отпечатки пальцев или иные биометрические данные, несёт риск штрафа от 15 до 500 млн ₽ — в зависимости от истории нарушений и годовой выручки компании. Генеральный директор, подписавший договор на СКУД с распознаванием лица или мобильное приложение с голосовой авторизацией, автоматически становится субъектом этой ответственности. Статья разбирает, какие организационные и технические меры снижают риск штрафа, как документировать инвестиции в ИБ для применения ст. 4.1 КоАП и что делать, если протокол по ч. 16 или ч. 17 уже составлен.

Почему биометрия — отдельный риск по ст. 13.11 КоАП с 30.05.2025?

До принятия ФЗ-420 от 30.11.2024 нарушения при обработке биометрии квалифицировались по общим составам ч. 1–2 ст. 13.11 КоАП — штраф для юридического лица не превышал 700 000 ₽. С 30.05.2025 введены три специальных состава.

«Ч. 16 ст. 13.11 КоАП — обработка биометрии с нарушением требований ст. 11 ФЗ-152 (в том числе без письменного согласия): штраф для юрлица — в диапазоне, подлежащем верификации по актуальному тексту КоАП. Ч. 17 — утечка биометрических ПДн: 15 000 000 — 20 000 000 ₽. Ч. 18 — повторное нарушение по ч. 16 или ч. 17: оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽ (ФЗ-420 от 30.11.2024, действует с 30.05.2025).»

Ключевое отличие биометрии от общих ПДн — необратимость компрометации. Пароль можно сменить, биометрический шаблон — нет. Регулятор учёл это при конструировании санкций: минимальный штраф за утечку биометрии в 3–5 раз выше, чем за утечку обычных ПДн сопоставимого объёма. Отдельный риск — нарушения при размещении биометрии в Единой биометрической системе (ЕБС): они квалифицируются по ст. 13.11.3 КоАП, а не по ч. 16–18, что важно для банков и МФЦ.

Подсудность дел после ФЗ-508 от 28.12.2025 — мировые судьи. До 27.12.2025 дела по ст. 13.11 рассматривали арбитражные суды; с 28.12.2025 — снова мировые, что меняет тактику защиты на досудебном этапе.

Компания обрабатывает биометрию, но меры защиты не документированы?

Если в вашей компании работает СКУД с распознаванием лица, приложение с голосовой авторизацией или хранятся биометрические шаблоны сотрудников — риск штрафа по ч. 16–18 ст. 13.11 реален. До составления протокола есть время привести документацию в порядок. Юристы DATUM проверят наличие письменных согласий по ст. 11 ФЗ-152, правовые основания обработки, технические меры и договоры с подрядчиками.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие меры защиты биометрии для предупреждения штрафа предусматривает закон?

Ст. 11 ФЗ-152 устанавливает базовое условие: обработка биометрических ПДн допускается только с письменного согласия субъекта. Согласие должно отвечать требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — оформляться отдельным документом, не встроенным в трудовой договор, оферту или политику конфиденциальности.

Технические и организационные меры определяются уровнем защищённости информационной системы. Биометрические ПДн как специальная категория, как правило, требуют УЗ-1 или УЗ-2 (ПП РФ №1119 от 01.11.2012). Конкретный набор мер — из Приказа ФСТЭК №21 от 18.02.2013: идентификация и аутентификация (ИАФ), управление доступом (УПД), регистрация событий (РСБ), антивирусная защита (АВЗ), обнаружение вторжений (СОВ), контроль целостности (ОЦЛ).

Организационные меры включают назначение ответственного за обработку ПДн по ст. 22.1 ФЗ-152, разработку политики и локальных актов по ст. 18.1 ФЗ-152, регламент реагирования на инциденты (24 часа на первичное уведомление РКН, 72 часа на отчёт — ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 от 14.11.2022), а также проведение инструктажей сотрудников.

Отдельный блок — договорная защита. Если биометрию обрабатывает подрядчик (вендор СКУД, облачный сервис распознавания лиц), оператор несёт ответственность за его действия. Договор поручения обработки по п. 3 ст. 6 ФЗ-152 должен фиксировать перечень разрешённых действий, требования к защите и обязанность уведомить об инциденте. Отсутствие такого договора — самостоятельное основание для протокола.

Что подготовить для защиты от штрафа по ч. 16–18 ст. 13.11

  • Письменные согласия субъектов на обработку биометрии по ст. 11 ФЗ-152 — отдельными документами (требование ФЗ-156 с 01.09.2025).
  • Модель угроз и акт определения уровня защищённости (УЗ-1 или УЗ-2) с обоснованием по ПП РФ №1119.
  • Технические меры по Приказу ФСТЭК №21: шифрование хранилища биометрии, разграничение доступа, журналы событий за последние 6 месяцев.
  • Договор поручения обработки с каждым вендором, имеющим доступ к биометрическим шаблонам.
  • Регламент реагирования на инциденты с таймингом 24/72 часа и документами для РКН по Приказу №187.

Как снизить штраф с помощью ст. 4.1 КоАП: инвестиции в ИБ как аргумент?

Ст. 13.11 КоАП в редакции ФЗ-420 содержит специальный механизм смягчения: согласно примечанию 3.4-2 к ст. 4.1 КоАП, если оператор вложил в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих календарных года, штраф по оборотным составам (ч. 15 и ч. 18 ст. 13.11) снижается до 1/10 минимального размера. Нижняя граница при этом — не менее 15 млн ₽, верхняя — не более 50 млн ₽.

«Ст. 4.1 КоАП, примечание 3.4-2 (ФЗ-420 от 30.11.2024): при документально подтверждённых инвестициях в ИБ ≥ 0,1% выручки за 3 года — штраф по ч. 15 и ч. 18 ст. 13.11 = 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽.»

На практике это означает, что компания с выручкой 3 млрд ₽ в год, потратившая на ИБ 9 млн ₽ за три года (0,1% × 3 года × 3 млрд), при оборотном штрафе 90 млн ₽ вправе претендовать на снижение до 15 млн ₽. Ключевое условие — документы: договоры на SIEM, WAF, DLP, сертификаты ФСТЭК на средства защиты, акты выполненных работ по аудиту ИБ, платёжные поручения. Суд оценивает не декларации, а первичку.

Отдельный инструмент — ст. 4.1.1 КоАП: замена штрафа на предупреждение. Применяется при первичном нарушении, если не причинён вред и нарушитель — микропредприятие или МСП. Для оборотных составов (ч. 15, ч. 18) замена не действует. Для ч. 16 — возможна при первичности и отсутствии вреда.

Как это применяется на практике

Кейс 1. В деле об утечке биометрических шаблонов СКУД производственной компании (Уральский ФО, осень 2025) протокол был составлен по ч. 17 ст. 13.11 КоАП. Компания представила суду: договоры на обслуживание системы защиты периметра, журналы мониторинга событий за 12 месяцев, платёжные поручения на приобретение DLP-системы, акт определения УЗ-2 и первичное уведомление РКН, поданное в течение 20 часов с момента обнаружения инцидента. Мировой судья назначил штраф в нижней трети диапазона ч. 17, применив смягчающие обстоятельства по ст. 4.2 КоАП. Без документальной базы ИБ штраф составил бы максимальные 20 млн ₽.

Кейс 2. Транспортная компания (Приволжский ФО, начало 2026) использовала облачный сервис распознавания лиц без договора поручения обработки с вендором. После инспекционной проверки РКН составил протокол по ч. 16 ст. 13.11 — нарушение требований ст. 11 ФЗ-152 при отсутствии письменных согласий водителей и договора с обработчиком. Поскольку нарушение было первичным, а компания относилась к субъектам МСП, суд применил ст. 4.1.1 КоАП и заменил штраф предупреждением. Компания параллельно устранила нарушения: оформила согласия, заключила договор поручения, утвердила политику обработки биометрии. Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Если вы CEO и получили запрос РКН о биометрических данных сотрудников или клиентов — у вас, как правило, 10 рабочих дней на ответ по ст. 20 ФЗ-152. Неверно составленный ответ закрывает путь к смягчению через ст. 4.1 и ст. 4.1.1 КоАП.

Защитить от штрафа 13.11

Три типовых сценария и стратегии для CEO

Практика 2025–2026 годов показывает три характерных сценария, с которыми сталкиваются руководители компаний, обрабатывающих биометрию.

Сценарий 1. СКУД без письменных согласий. Ситуация: компания установила турникеты с распознаванием лица для прохода сотрудников. Согласие на обработку биометрии включено в трудовой договор или кадровый приказ, а не оформлено отдельным документом. С 01.09.2025 такое согласие не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. Доказательства при проверке: инспектор запрашивает письменные согласия субъектов и обнаруживает нарушение формы. Вероятный исход: протокол по ч. 16 ст. 13.11. Стратегия: переоформить согласия по новым требованиям до проверки, задокументировать факт переоформления, сохранить подтверждения вручения субъектам.

Сценарий 2. Утечка биометрических шаблонов через вендора. Ситуация: СКУД обслуживает подрядчик, который допустил компрометацию базы шаблонов. Договор поручения обработки не заключён или не содержит требований к защите. Оператор уведомил РКН через 30 часов после установления факта — в пределах срока по ч. 3.1 ст. 21 ФЗ-152. Вероятный исход: протокол по ч. 17 ст. 13.11 (15–20 млн ₽) с возможным дополнительным составом за отсутствие договора поручения. Стратегия: немедленно заключить договор поручения, собрать доказательства инвестиций в ИБ за 3 года, подать ходатайство о применении примечания 3.4-2 к ст. 4.1 КоАП.

Сценарий 3. Повторное нарушение — риск оборотного штрафа. Ситуация: компания ранее привлекалась по ч. 16 или ч. 17, устранила нарушение формально, но не выстроила систему защиты. Новый инцидент влечёт ч. 18 ст. 13.11 — оборотный штраф от 20 млн до 500 млн ₽. Доказательства смягчения: только документально подтверждённые инвестиции в ИБ (примечание 3.4-2 к ст. 4.1 КоАП) могут снизить штраф до 15–50 млн ₽. Стратегия: после первого нарушения немедленно провести аудит, устранить системные недостатки, сформировать портфель документов ИБ-инвестиций.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 насчитывает 18 частей. Для биометрии актуальны: ч. 16 — обработка с нарушением требований ст. 11 ФЗ-152 (диапазон для юрлица уточняется по актуальному тексту КоАП); ч. 17 — утечка биометрических ПДн — 15 000 000–20 000 000 ₽; ч. 18 — повторное нарушение, оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Штраф за утечку обычных ПДн (ч. 12–14) — от 3 до 15 млн ₽ в зависимости от числа субъектов.

2. Что такое оборотный штраф 1–3% и как он считается?

Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП рассчитывается от совокупной выручки компании за предшествующий календарный год. Диапазон — от 1% до 3%. Нижний порог — 20 млн ₽ (даже если 1% выручки меньше). Верхний порог — 500 млн ₽. Применяется при повторном совершении нарушения: по ч. 15 — повторная утечка обычных ПДн (ч. 12–14); по ч. 18 — повторное нарушение при обработке биометрии (ч. 16–17). Конкретный процент в диапазоне определяет суд с учётом обстоятельств дела и позиции сторон.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется, если расчётная сумма штрафа (1–3% выручки) оказывается ниже этой отметки. Например, компания с выручкой 500 млн ₽ и расчётным штрафом 1% = 5 млн ₽ всё равно заплатит не менее 20 млн ₽. Исключение — применение примечания 3.4-2 к ст. 4.1 КоАП (инвестиции в ИБ ≥ 0,1% за 3 года): в этом случае нижняя граница снижается до 15 млн ₽, верхняя — до 50 млн ₽.

4. Можно ли заменить штраф за биометрию на предупреждение?

По ст. 4.1.1 КоАП замена штрафа предупреждением возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда. Для ч. 16 ст. 13.11 (нарушение требований при обработке биометрии) такая замена допустима. Для оборотных составов — ч. 15 и ч. 18 — замена предупреждением не применяется. Если компания не относится к МСП, применение ст. 4.1.1 невозможно вне зависимости от первичности нарушения.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул подсудность дел по ст. 13.11 КоАП мировым судьям. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды, что влияло на процессуальную тактику защиты. С 28.12.2025 действует досудебный порядок через мировых судей. Это важно для выбора инструментов защиты: мировой суд предъявляет иные требования к формату возражений и приобщению доказательств, чем арбитраж.

Итог

Меры защиты биометрии для предупреждения штрафа — это не абстрактный комплаенс, а конкретный набор документов и технических решений, которые суд оценивает при назначении санкции. Письменные согласия по ст. 11 ФЗ-152, договоры поручения с вендорами СКУД, уровень защищённости УЗ-1/УЗ-2 по ПП РФ №1119, инвестиции в ИБ для применения ст. 4.1 КоАП — каждый элемент влияет на итоговую сумму штрафа по ч. 16–18 ст. 13.11.

Практика DATUM включает сопровождение операторов, обрабатывающих биометрию в СКУД, мобильных приложениях и корпоративных системах, — от аудита мер защиты до арбитражной защиты при штрафе по ст. 13.11 КоАП.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.