Перейти к содержанию
аналитика 9 февраля 2028 По состоянию на 9 февраля 2028

Откуда минимум 20 млн ₽ в ч. 15: разбор ФЗ-420

Часть 15 ст. 13.11 КоАП — оборотный штраф за повторную утечку: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Это прямое следствие ФЗ-420 от 30.11.2024, действующего с 30.05.2025.
Минимум в 20 млн ₽ не зависит от размера компании и не снижается скидкой за быструю уплату. Для среднего бизнеса с выручкой до 1 млрд ₽ фиксированный минимум всегда превышает расчётный 1–3%.
→ Если вы CEO и ваша компания однажды уже привлекалась по ч. 12–14 ст. 13.11 — следующая утечка автоматически переводит дело на оборотный состав. Разберём, как работает механизм и что снижает риск.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей вместо прежних семи. Центральное нововведение ФЗ-420 от 30.11.2024 — оборотный штраф по ч. 15: повторная утечка обходится оператору суммой, привязанной к выручке. Для генерального директора это означает, что один инцидент создаёт преюдицию, а второй — основание для штрафа, который может обнулить годовую прибыль компании.

Как устроена ч. 15 ст. 13.11 КоАП: что такое оборотный штраф 1–3%?

Часть 15 ст. 13.11 КоАП — это квалифицированный состав по отношению к ч. 12–14. Она применяется, когда оператор, уже привлечённый по ч. 12–14, 15, 16 или 18, допускает новую утечку. Санкция рассчитывается в три шага.

Первый шаг — установление базы. Берётся совокупная выручка за предшествующий календарный год по данным налоговой отчётности. Второй шаг — применение процентной вилки: 1% или 3% в зависимости от обстоятельств дела (масштаб утечки, наличие умысла, степень ущерба субъектам). Третий шаг — сравнение с абсолютными порогами: полученная сумма не может быть ниже 20 млн ₽ и выше 500 млн ₽.

«Ч. 15 ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — оборотный штраф для юрлица: 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Применяется при повторном совершении нарушения по ч. 12–14 лицом, ранее привлекавшимся по ч. 12–14, 15, 16 или 18.»

Для компании с годовой выручкой 600 млн ₽ расчётный 1% составит 6 млн ₽ — но применится минимум 20 млн ₽. Для компании с выручкой 10 млрд ₽ расчётный 3% даст 300 млн ₽ — применяется фактический расчёт. Именно поэтому нижняя планка критична для среднего бизнеса: она делает оборотный штраф нечувствительным к масштабу компании.

Ваша компания ранее получала протокол по ст. 13.11?

Если по итогам 2022–2025 годов в отношении компании составлялся протокол по ч. 12–14 ст. 13.11 КоАП — вы уже в зоне повторности. Следующий инцидент с утечкой автоматически активирует ч. 15. Юристы DATUM проверят статус ваших дел в реестре РКН и оценят реальный риск оборотного штрафа. Время на оценку — до начала нового инцидента, не после.

Защитить от штрафа по 13.11

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Откуда взялась цифра 20 млн ₽ и почему она именно такая?

В пояснительной записке к ФЗ-420 законодатель исходил из двух принципов. Первый — соразмерность: штраф должен быть чувствительным для любого оператора независимо от масштаба. Второй — превентивность: расходы на защиту данных должны быть экономически выгоднее, чем риск штрафа.

До принятия ФЗ-420 максимальный штраф за утечку по ч. 1 ст. 13.11 в старой редакции составлял 300 000 ₽. Яндекс.Еда в 2022 году получила 60 000 ₽ за утечку, затронувшую миллионы пользователей. Этот дисбаланс стал прямым основанием для реформы: 60 000 ₽ штрафа при многомиллиардной выручке не создавал никакого стимула инвестировать в защиту данных.

Порог в 20 млн ₽ выбран как нижняя граница, которая создаёт реальную финансовую нагрузку даже для небольшого регионального ритейлера с выручкой 200–300 млн ₽ в год. При этом максимум 500 млн ₽ ограничивает риск для крупного бизнеса, чтобы не создавать угрозу несостоятельности системообразующих операторов.

Какие штрафы по ст. 13.11 КоАП с 30.05.2025: полная картина новых составов

ФЗ-420 перестроил логику ст. 13.11 с «тип нарушения» на «масштаб последствий». Теперь санкция прямо зависит от числа пострадавших субъектов.

Нарушения без утечки — ч. 1–7: от несовместимой с целями обработки (ч. 1 — 150 000–300 000 ₽) до отказа выполнить требование субъекта об уничтожении данных (ч. 5 — 50 000–90 000 ₽). Неуведомление РКН о намерении обрабатывать данные по ч. 10 — 100 000–300 000 ₽. Неуведомление об утечке в 24 часа по ч. 11 — 1 000 000–3 000 000 ₽.

Утечки по числу субъектов — ч. 12–14: от 1 000 до 10 000 субъектов (ч. 12 — 3 000 000–5 000 000 ₽), от 10 000 до 100 000 (ч. 13 — 5 000 000–10 000 000 ₽), свыше 100 000 (ч. 14 — 10 000 000–15 000 000 ₽). Биометрия — отдельный трек: утечка биометрических данных по ч. 17 — 15 000 000–20 000 000 ₽ независимо от числа субъектов.

Оборотные составы — ч. 15 и ч. 18: повторная утечка (ч. 15) и повторное нарушение с биометрией (ч. 18) — 1–3% выручки с абсолютными порогами. Именно здесь сосредоточен максимальный риск для CEO компании, уже получавшей предписания РКН.

Если у вас уже есть постановление по ч. 12–14 ст. 13.11 — обжалование через арбитраж снижает риск преюдиции по ч. 15. Юристы DATUM оценят перспективы обжалования за 1 рабочий день.

Защитить от штрафа по 13.11

Как снизить оборотный штраф: ст. 4.1 КоАП и инвестиции в ИБ

ФЗ-420 ввёл специальный механизм снижения оборотного штрафа — примечание 3.4-2 к ст. 4.1 КоАП. Если оператор документально подтвердит, что за три предшествующих года инвестировал в информационную безопасность не менее 0,1% совокупной выручки — штраф по ч. 15 и ч. 18 рассчитывается как одна десятая от минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.

Практически это означает: при минимуме 20 млн ₽ применение льготы снижает нижнюю планку до 15 млн ₽. Для компании с выручкой 1 млрд ₽, где расчётный 1% равен 10 млн ₽, льгота устанавливает потолок в 50 млн ₽ вместо потенциальных 30 млн ₽ при 3%. Экономия зависит от конкретных параметров, но сам факт инвестиций в ИБ становится юридически значимым аргументом в суде.

Что считается инвестициями в ИБ — вопрос доказательной базы. Расходы на лицензии средств защиты информации, сертифицированных ФСТЭК, затраты на аттестацию ИСПДн, оплату услуг аудиторов и DPO-аутсорсинга — всё это формирует документальное подтверждение. Компании, которые не вели учёт таких расходов, лишаются льготы по ст. 4.1 КоАП даже при фактических затратах.

Что подготовить для применения льготы по ст. 4.1 КоАП

  • Реестр расходов на ИБ за три последних календарных года с первичными документами (счета, акты, платёжные поручения)
  • Расчёт доли расходов на ИБ от совокупной выручки за каждый из трёх лет (порог — не менее 0,1%)
  • Документы об аттестации ИСПДн или о проведении аудита по Приказу ФСТЭК №21 в спорный период
  • Договоры с DPO-аутсорсером или внутренний приказ об ответственном по ст. 22.1 ФЗ-152
  • Актуальный комплект ОРД: политика обработки ПДн, согласия, приказы — подтверждают системный подход к защите данных

Замена на предупреждение по ст. 4.1.1 КоАП: когда это применимо к ч. 15?

Статья 4.1.1 КоАП позволяет заменить административный штраф предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении без причинения вреда. Для дел по ч. 15 ст. 13.11 это правило не работает: законодатель прямо исключил оборотные составы из сферы действия замены.

Иначе обстоит дело с ч. 1–5 и ч. 12–14 ст. 13.11 при первичном нарушении. Здесь замена на предупреждение применима для микропредприятий. По данным обзора судебной практики начала 2026 года, в одном из дел компания — микропредприятие получила предупреждение вместо штрафа по ч. 1 ст. 13.11 именно благодаря ст. 4.1.1 КоАП: хакеры похитили базу данных работников и соискателей менее 1 000 человек, нарушение было первым. Этот механизм работает на входе — до возникновения повторности, которая активирует ч. 15.

Вывод для CEO: предупреждение по ст. 4.1.1 при первом протоколе — это не просто снижение штрафа, но и способ не создавать преюдицию для ч. 15. Если первое дело завершилось предупреждением, а не постановлением о штрафе — вопрос повторности остаётся дискуссионным. Это аргумент для арбитражного обжалования.

Три сценария применения ч. 15 ст. 13.11 для CEO

Сценарий 1. Утечка после закрытого дела по ч. 13. В 2024 году компания получила штраф по ч. 13 ст. 13.11 (в старой редакции) за утечку 50 000 клиентских записей. Постановление вступило в силу. В середине 2025 года произошёл новый инцидент — 15 000 субъектов. По ч. 13 новой редакции это 5–10 млн ₽. Но наличие вступившего в силу постановления 2024 года создаёт повторность — квалификация переходит на ч. 15. Минимум 20 млн ₽ применяется независимо от числа новых пострадавших. Стратегия: обжаловать первое постановление в арбитраже, добиться замены на предупреждение — и тем самым устранить преюдицию.

Сценарий 2. Цепочка утечек через подрядчика. Маркетинговое агентство обрабатывает клиентскую базу по поручению оператора. Агентство допускает два инцидента — в 2025 и 2026 году. По позиции, выработанной в судебной практике, оператор несёт ответственность за действия лица, которому поручил обработку. Первый инцидент — ч. 12–14, второй — ч. 15. Оператор не контролировал подрядчика и не проводил аудит его защиты. Доказательства: отсутствие соглашения о конфиденциальности, отсутствие аудита подрядчика. Вероятный исход — штраф по ч. 15 с минимумом 20 млн ₽. Стратегия: немедленно провести аудит подрядчиков, оформить поручение на обработку по ст. 6 ФЗ-152, включить право проверки в договор.

Сценарий 3. Биометрическая утечка после предыдущего нарушения. Компания в 2025 году получила постановление по ч. 16 ст. 13.11 (нарушение требований к биометрии). В 2026 году произошла утечка биометрических данных. Квалификация — ч. 18 ст. 13.11 (оборотный за биометрию). Санкция — 1–3% выручки с аналогичными абсолютными порогами. Наличие предшествующего дела по ч. 16 прямо указано в диспозиции ч. 18 как условие повторности. Стратегия: исправить нарушения по ч. 16 до возникновения утечки и получить подтверждение РКН об устранении.

Какая подсудность дел после ФЗ-508?

С 30.05.2025 по 27.12.2025 дела по ст. 13.11 КоАП рассматривали арбитражные суды — именно туда поступали первые протоколы по новым составам ч. 12–14. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. Это принципиально меняет тактику защиты: мировой суд — это более короткие сроки, иной стандарт доказывания и меньший опыт работы со сложными экономическими расчётами оборотного штрафа.

Для дел, возбуждённых до 28.12.2025 и переданных в арбитраж, применяются процессуальные правила арбитражного судопроизводства. Дела, возбуждённые после — подсудны мировым. В переходный период важно правильно определить подсудность с первого обращения: ошибка приводит к возврату и потере времени на обжалование.

Срок давности привлечения по ст. 13.11 КоАП — 3 года (ст. 4.5 КоАП). Это означает, что инцидент 2025 года может создать преюдицию для ч. 15 вплоть до 2028 года. CEO должен учитывать этот горизонт при оценке накопленных рисков.

Кейс 1. Производственная компания Приволжского ФО (осень 2025) получила первый протокол по ч. 13 ст. 13.11 — утечка 40 000 клиентских записей через взломанный CRM-интегратор. Юристы добились квалификации по ч. 13 без перехода на ч. 15, поскольку предыдущих постановлений не было. Штраф составил сумму в нижней части диапазона ч. 13 — в районе 5 млн ₽. Параллельно оформлено поручение обработки с подрядчиком и проведён аудит его ИБ. Повторность на будущее исключена документально.

Кейс 2. Онлайн-ритейлер Центрального ФО (начало 2026) обратился после получения протокола по ч. 15 — второй инцидент с утечкой покупательских данных. Первое дело 2024 года завершилось постановлением, которое не обжаловалось. Расчётный штраф по 3% выручки составлял около 18 млн ₽, но применился минимум 20 млн ₽. В ходе рассмотрения юристы установили, что расходы на ИБ за три года превысили 0,1% выручки, и представили первичные документы. Льгота по примечанию 3.4-2 ст. 4.1 КоАП снизила нижнюю планку до 15 млн ₽ — итоговое постановление вынесено именно на этом уровне.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей. За утечку от 1 000 до 10 000 субъектов — ч. 12: 3–5 млн ₽. От 10 000 до 100 000 — ч. 13: 5–10 млн ₽. Свыше 100 000 — ч. 14: 10–15 млн ₽. Утечка биометрии — ч. 17: 15–20 млн ₽. Повторная утечка — ч. 15: 1–3% выручки, минимум 20 млн ₽, максимум 500 млн ₽. Неуведомление РКН об инциденте в 24 часа — ч. 11: 1–3 млн ₽.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается от совокупной годовой выручки оператора за предшествующий календарный год. Процентная вилка — 1–3% в зависимости от обстоятельств. Если расчётная сумма ниже 20 млн ₽ — применяется минимум. Если выше 500 млн ₽ — применяется максимум. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП?

Минимум 20 млн ₽ применяется всегда, когда расчётный оборотный штраф (1–3% выручки) оказывается ниже этой суммы. На практике это затрагивает компании с выручкой до 670 млн ₽ при ставке 3% и до 2 млрд ₽ при ставке 1%. Для большинства игроков среднего бизнеса фиксированный минимум оказывается выше расчётного процента.

4. Можно ли заменить оборотный штраф по ч. 15 на предупреждение?

Нет. Статья 4.1.1 КоАП, позволяющая заменить штраф предупреждением для субъектов МСП, прямо не применяется к оборотным составам ч. 15 и ч. 18 ст. 13.11. Единственный инструмент снижения — документально подтверждённые инвестиции в ИБ не менее 0,1% выручки за три года (примечание 3.4-2 к ст. 4.1 КоАП): штраф снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП снова рассматриваются мировыми судьями. В период с 30.05.2025 по 27.12.2025 они были подсудны арбитражным судам. Дела, возбуждённые в этот переходный период и переданные в арбитраж, рассматриваются по правилам арбитражного судопроизводства до их завершения. Срок давности привлечения — 3 года (ст. 4.5 КоАП).

Итог

Минимум 20 млн ₽ в ч. 15 ст. 13.11 КоАП — это не случайная цифра, а сознательный выбор законодателя: штраф должен быть ощутимым для любого оператора, независимо от выручки. ФЗ-420 создал двухуровневую систему: первый инцидент — нарастающие штрафы по ч. 12–14, второй — оборотный с абсолютным порогом. Для CEO ключевые инструменты управления этим риском — обжалование первого постановления до вступления в силу, документирование расходов на ИБ и аудит подрядчиков, обрабатывающих данные по поручению.

DATUM сопровождает дела по ст. 13.11 КоАП с момента составления протокола до вынесения окончательного постановления. Практика включает применение ст. 4.1 и ст. 4.1.1 КоАП, расчёт льготы по примечанию 3.4-2 и работу как с арбитражными судами, так и с мировыми — после изменений ФЗ-508.

Есть протокол по ст. 13.11 или риск повторности?

Юристы DATUM оценят статус дела, рассчитают льготу по ст. 4.1 КоАП и подготовят позицию для обжалования. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Ответим в течение 2 часов.

Защитить от штрафа по 13.11

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), оборотные штрафы с 30.05.2025, подсудность после ФЗ-508.

9 февраля 2028 года