Перейти к содержанию
аналитика 14 апреля 2027 По состоянию на 14 апреля 2027

Неуведомление РКН о намерении обрабатывать ПДн: ч. 1.1 ст. 13.11 (100-300 тыс.)

Неуведомление Роскомнадзора о намерении обрабатывать персональные данные — административное правонарушение по ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025). Штраф для юридического лица — от 100 000 до 300 000 рублей.
С 30.05.2025 действует новая редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7, отдельный состав за неуведомление РКН о намерении обрабатывать ПДн (ч. 10), оборотный штраф за повторные утечки до 500 млн рублей (ч. 15). Неуведомление — точка входа в реестр нарушителей.
Если вы CEO и ваша компания не состоит в реестре операторов РКН или состоит с устаревшими сведениями — разбираем, как это квалифицирует регулятор и что делать до проверки. →

В 2025 году РКН зафиксировал более 118 случаев компрометации баз персональных данных. При каждой внеплановой проверке инспектор первым делом сверяет данные компании с реестром операторов. Если компания не уведомила РКН до начала обработки или уведомила, но не обновила сведения, — протокол составляется автоматически, независимо от наличия других нарушений. Для генерального директора это означает штраф 100–300 тыс. рублей по ч. 10 ст. 13.11 КоАП плюс риск расширения проверки на полный объём ОРД. В этой статье разбираем, когда возникает обязанность уведомить РКН, какие исключения существуют, как квалифицируются нарушения и какие аргументы снижают штраф.

Когда компания обязана уведомить РКН о намерении обрабатывать ПДн?

Обязанность уведомить Роскомнадзор установлена ст. 22 ФЗ-152. Уведомление подаётся до начала обработки персональных данных. Подача производится через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи по форме Приказа РКН №180 от 28.10.2022.

Срок включения в реестр операторов после подачи уведомления — 30 дней. Это не означает, что обработку можно начинать после включения: обязанность уведомить возникает до начала обработки, а не до включения в реестр. Критический момент — дата фактического начала обработки (первый сбор данных, занесение в CRM, обработка резюме, установка формы на сайте).

«Ст. 22 ФЗ-152 обязывает оператора уведомить уполномоченный орган (Роскомнадзор) до начала обработки персональных данных. Исключения — закрытый перечень из ч. 2 ст. 22, в который входит, в частности, обработка ПДн работников исключительно в трудовых целях, обработка в рамках договора с субъектом без распространения третьим лицам и ряд других оснований.»

Ключевое заблуждение: компании считают, что исключения из ч. 2 ст. 22 покрывают всю их деятельность. На практике — нет. Если компания обрабатывает ПДн клиентов в маркетинговых целях, ведёт базу контрагентов, использует CRM или аналитические сервисы — исключение по «трудовым целям» не применяется. РКН квалифицирует это как обработку, выходящую за рамки исключения, и фиксирует состав по ч. 10 ст. 13.11.

Вы CEO: не уверены, подавали ли уведомление и актуально ли оно?

Проверить статус в реестре РКН можно за 5 минут через pd.rkn.gov.ru. Сложнее — понять, соответствуют ли задекларированные цели и категории ПДн фактической обработке. Если расхождение есть — у вас есть время устранить его до проверки. После вручения уведомления о проверке время сужается до нескольких рабочих дней. Юристы DATUM проведут аудит соответствия по чек-листу из 38 пунктов, выявят расхождения с реестром и подготовят обновлённое уведомление.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что именно квалифицируется по ч. 10 ст. 13.11 КоАП — состав нарушения

Часть 10 ст. 13.11 КоАП (в редакции ФЗ-420, действует с 30.05.2025) охватывает три самостоятельных нарушения, каждое из которых образует отдельный состав:

  • Неуведомление РКН о намерении обрабатывать ПДн — компания начала обработку, не подав уведомление, и не попадает в исключения ч. 2 ст. 22 ФЗ-152.
  • Несвоевременное уведомление — уведомление подано, но после фактического начала обработки (задним числом).
  • Представление неполных или недостоверных сведений — уведомление подано, но не отражает реальный объём, категории ПДн или цели обработки; либо изменения в обработке не отражены в реестре, хотя обязанность уведомить об изменениях ч. 7 ст. 22 ФЗ-152 прямо установлена.

Штраф по ч. 10 для юридического лица — 100 000–300 000 рублей. Для должностного лица — 10 000–20 000 рублей. Протокол составляет инспектор РКН; рассматривают дела с 28.12.2025 мировые судьи (ФЗ-508 от 28.12.2025 вернул подсудность от арбитражных судов).

«Ч. 10 ст. 13.11 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление Роскомнадзора о намерении осуществлять обработку ПДн. Штраф для юрлица: 100 000–300 000 рублей. Повторного состава по ч. 10 отдельно не предусмотрено — при повторности применяется общая логика отягчающих обстоятельств по ст. 4.3 КоАП.»

Важный практический нюанс: ч. 10 — это не самостоятельное основание для оборотного штрафа. Оборотный штраф (ч. 15 ст. 13.11) применяется только при повторном нарушении по ч. 12–14 (утечки). Но неуведомление РКН в сочетании с утечкой ПДн создаёт идеальное сочетание для одновременного предъявления нескольких составов: ч. 10 + ч. 12 (или ч. 13, ч. 14) + потенциально ч. 11 за неуведомление об инциденте.

Как РКН обнаруживает факт неуведомления — механизм выявления

Роскомнадзор использует несколько каналов выявления операторов, не включённых в реестр или нарушивших порядок уведомления.

Плановые и внеплановые проверки. При каждой проверке (плановой по графику или внеплановой по жалобе / индикатору риска) инспектор проверяет: включена ли компания в реестр, соответствуют ли задекларированные сведения фактической деятельности. Расхождение фиксируется в акте и служит основанием для протокола.

Мониторинг сайтов. РКН мониторит общедоступные сайты на наличие форм сбора ПДн, политик конфиденциальности, cookie-баннеров. Если на сайте есть форма регистрации или подписки, но компания не числится в реестре — это индикатор риска, инициирующий проверку.

Жалобы субъектов ПДн. Физическое лицо вправе обратиться в РКН с жалобой на действия оператора. При рассмотрении жалобы регулятор проверяет уведомление в первую очередь.

Уведомления об инцидентах. Если компания уведомила РКН об утечке (ч. 3.1 ст. 21 ФЗ-152), но при этом не числится в реестре операторов — два нарушения фиксируются одновременно.

Что подготовить до проверки РКН

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru — подтверждает факт уведомления и актуальность сведений.
  • Сравнение задекларированных целей, категорий и объёма ПДн с фактической обработкой (CRM, кадровая система, сайт, маркетинговые инструменты).
  • Документы, подтверждающие дату начала обработки (договор с CRM-провайдером, первый лист согласия, дата запуска сайта), — для оценки своевременности уведомления.
  • Актуальная политика обработки ПДн, опубликованная на сайте с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152.
  • Приказ о назначении ответственного за обработку персональных данных по ст. 22.1 ФЗ-152.

Как связаны ч. 10 ст. 13.11 и оборотный штраф по ч. 15?

Прямой связи нет: ч. 15 применяется при повторном совершении нарушений по ч. 12–14 (утечки от 1 000 субъектов и более), а не по ч. 10. Однако генеральный директор должен понимать цепочку эскалации рисков.

Первый сценарий: компания не уведомила РКН (ч. 10, штраф до 300 тыс. рублей), и в ходе той же проверки обнаружена утечка ПДн (ч. 12–14, штраф 3–15 млн рублей). Дела возбуждаются по двум составам одновременно. Неуведомление при этом отягощает общее восприятие оператора регулятором.

Второй сценарий: компания ранее привлекалась по ч. 12–14, получила штраф, устранила нарушение — но так и не актуализировала уведомление в реестре. При следующей утечке ч. 10 добавляется к ч. 15 (оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн рублей, не более 500 млн рублей). Совокупный риск для компании с выручкой 1 млрд рублей — минимум 20 млн рублей только по оборотной части плюс до 300 тыс. по ч. 10.

«Ч. 15 ст. 13.11 КоАП (ред. с 30.05.2025) — оборотный штраф за повторное нарушение по ч. 12–14: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 000 000 рублей, не более 500 000 000 рублей. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.»

Третий сценарий: компания инвестировала в информационную безопасность не менее 0,1% выручки за три предшествующих года. В этом случае ст. 4.1 КоАП (примечание 3.4-2) позволяет снизить оборотный штраф по ч. 15 до 1/10 минимального размера — но не менее 15 млн рублей и не более 50 млн рублей. Документально подтверждённые расходы на ИБ — аргумент для суда.

Если вы CEO и компания уже получила протокол РКН по ч. 10 ст. 13.11 — у вас ограниченное время на формирование позиции по делу. Каждый аргумент (первичность, устранение, ИБ-инвестиции) нужно задокументировать до рассмотрения дела мировым судьёй. Юристы DATUM оспорят протокол и постановление, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения или замены штрафа.

Защитить от штрафа 13.11

Практические сценарии: как квалифицируют нарушение

Сценарий 1. Компания без уведомления, обнаруженная при плановой проверке. Производственная компания (Уральский ФО, начало 2026 года) работала без уведомления РКН три года. CRM-система содержала данные 15 000 клиентов. При плановой проверке инспектор зафиксировал отсутствие в реестре, несоответствие политики конфиденциальности требованиям ч. 2 ст. 18.1 ФЗ-152 и отсутствие приказа по ст. 22.1. По итогу — протоколы по ч. 3 ст. 13.11 (отсутствие политики, штраф до 60 тыс.) и ч. 10 ст. 13.11 (неуведомление). Компания подала уведомление в РКН за два дня до рассмотрения дела: мировой судья признал это смягчающим обстоятельством и назначил штраф в нижней трети диапазона — около 120 тыс. рублей.

Сценарий 2. Уведомление есть, но реестр устарел. Розничная сеть (Приволжский ФО, осень 2025 года) уведомила РКН в 2019 году, но в 2022 году запустила программу лояльности с биометрической идентификацией, не обновив уведомление. РКН квалифицировал это как представление недостоверных сведений по ч. 10 и нарушение требований к обработке биометрических ПДн по ч. 16 ст. 13.11. Штрафы по двум составам суммируются. Стратегия защиты — доказать добросовестность: письмо в РКН об обновлении до рассмотрения, документация о проведённых мерах защиты.

Сценарий 3. Протокол + параллельный инцидент. IT-компания (Центральный ФО, лето 2025 года) не числилась в реестре. После хакерской атаки направила уведомление об инциденте по ч. 3.1 ст. 21 ФЗ-152 — и тем самым раскрыла факт неуведомления о намерении обрабатывать. Регулятор возбудил дела по ч. 10 (неуведомление о намерении) и ч. 11 (ненадлежащее уведомление об инциденте — поскольку первичное уведомление было подано с нарушением требований Приказа РКН №187). Суммарный риск: до 300 тыс. по ч. 10 и до 3 млн по ч. 11. Оба дела рассматривались мировым судьёй. Компания настояла на применении ст. 4.1.1 КоАП по ч. 10 (первичное нарушение, нет вреда) и получила предупреждение по этому составу; по ч. 11 — штраф в нижней части диапазона.

Можно ли заменить штраф на предупреждение и когда применяется ст. 4.1.1 КоАП?

Ст. 4.1.1 КоАП позволяет заменить административный штраф предупреждением для субъектов малого и среднего предпринимательства (и микропредприятий) при одновременном выполнении условий: первичное нарушение, отсутствие реального ущерба и угрозы жизни и здоровью, отсутствие имущественного вреда.

По ч. 10 ст. 13.11 замена на предупреждение применяется судами. Практика 2025–2026 годов подтверждает: для малых компаний, впервые привлечённых к ответственности и оперативно устранивших нарушение (подавших уведомление до рассмотрения дела), суды применяют ст. 4.1.1. Для средних и крупных компаний — вероятность ниже; суды оценивают реальный объём обработки и степень пренебрежения обязанностью.

Ограничение: ст. 4.1.1 не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11. По ч. 10 прямого запрета нет, но суды учитывают контекст: если одновременно возбуждено дело по ч. 12–14, суд может отказать в замене по всем составам в совокупности.

Смотрите также по теме:

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 содержит 18 частей (вместо прежних 7). Для юридических лиц диапазоны: ч. 1 (незаконная обработка) — 150–300 тыс., ч. 2 (обработка без согласия) — 300–700 тыс., ч. 10 (неуведомление о намерении обрабатывать) — 100–300 тыс., ч. 11 (неуведомление об утечке) — 1–3 млн, ч. 12–14 (утечки по объёму субъектов) — от 3 до 15 млн, ч. 15 (оборотный за повторную утечку) — 1–3% выручки, не менее 20 млн, не более 500 млн рублей. Дата вступления в силу — 30.05.2025.

2. Что такое оборотный штраф 1–3% и кого он касается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении по ч. 12–14 (утечки ПДн от 1 000 субъектов и более) лицом, ранее уже привлекавшимся к ответственности по этим или смежным составам. База расчёта — совокупная выручка компании за предшествующий календарный год. Минимум — 20 млн рублей, максимум — 500 млн рублей. Для компании с выручкой 500 млн рублей оборотный штраф составит 5–15 млн рублей, но не менее 20 млн — то есть всегда применяется минимум. Скидка за быструю уплату (ст. 32.2 КоАП) к оборотным составам не применяется.

3. Когда применяется минимум 20 млн рублей по оборотному штрафу?

Минимум 20 млн рублей по ч. 15 ст. 13.11 применяется всегда, когда расчётная сумма (1–3% выручки) оказывается ниже этого порога. Для компаний с выручкой менее 2 млрд рублей в год оборотный штраф при ставке 1% составит менее 20 млн — и будет заменён фиксированным минимумом. Единственный механизм снижения — ст. 4.1 КоАП (примечание 3.4-2): инвестиции в ИБ от 0,1% выручки за три года снижают штраф до 1/10 минимума, но не менее 15 млн рублей.

4. Можно ли заменить штраф по ч. 10 ст. 13.11 на предупреждение?

Да, при соблюдении условий ст. 4.1.1 КоАП: субъект малого или среднего предпринимательства, первичное нарушение, нет реального ущерба. Практика 2025–2026 годов показывает: суды применяют замену при оперативном устранении нарушения (подача уведомления в РКН до рассмотрения дела). Для крупных компаний и при одновременном возбуждении дел по ч. 12–14 замена менее вероятна. Оборотные составы (ч. 15, ч. 18) под действие ст. 4.1.1 не подпадают.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи — подсудность вернулась к ним от арбитражных судов, которые рассматривали дела в период с 30.05.2025 по 27.12.2025. Это означает, что обжалование постановления мирового судьи идёт в районный суд (а не в арбитраж), что меняет процессуальную тактику защиты: стандарты доказывания, порядок подачи ходатайств и сроки обжалования — всё определяется КоАП и ГПК, а не АПК.

Итог

Неуведомление РКН о намерении обрабатывать ПДн — нарушение, которое выявляется при любой проверке и приводит к штрафу 100–300 тыс. рублей по ч. 10 ст. 13.11 КоАП. Само по себе это управляемый риск: уведомление можно подать заблаговременно, а при первичном нарушении — добиться замены на предупреждение. Опасность нарастает, когда к ч. 10 добавляются составы по ч. 11–14: неуведомление об инциденте и утечки ПДн формируют совокупный штраф от нескольких миллионов рублей, а при повторности — оборотный штраф минимум 20 млн рублей по ч. 15.

Практика DATUM по сопровождению проверок РКН и защите от штрафов по ст. 13.11 позволяет формировать позицию с учётом актуальной судебной практики мировых судей, применять смягчающие обстоятельства по ст. 4.1 и ст. 4.1.1 КоАП и устранять нарушения в сроки, влияющие на итоговое решение.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

14 апреля 2027 года