аналитика 27 ноября 2027 По состоянию на 27 ноября 2027

Состав ч. 1 ст. 13.11 КоАП: 3 ситуации применения

Часть 1 ст. 13.11 КоАП — это штраф от 150 000 до 300 000 рублей за обработку персональных данных без законного основания или с нарушением целей.

С 30 мая 2025 года норма действует в редакции ФЗ-420 от 30.11.2024. Повторное нарушение квалифицируется по ч. 1.1 и влечёт штраф до 500 000 рублей. При наличии утечки и повторности — оборотный штраф по ч. 15 до 500 млн рублей.

→ Если в вашей компании обнаружена обработка ПДн без правового основания — у вас есть шанс устранить нарушение до протокола РКН.

Генеральный директор несёт субсидиарную ответственность за соответствие компании требованиям ФЗ-152. Часть 1 ст. 13.11 КоАП — один из самых распространённых составов при проверках Роскомнадзора: норма применяется в трёх типовых ситуациях. Понимание каждой из них позволяет оценить реальный риск до того, как инспектор составил протокол.

Что представляет собой состав ч. 1 ст. 13.11 КоАП?

Часть 1 ст. 13.11 КоАП охватывает два самостоятельных нарушения, объединённых в один состав. Первое — обработка персональных данных в случаях, не предусмотренных законодательством. Второе — обработка, несовместимая с целями сбора. Оба нарушения влекут штраф для юридического лица от 150 000 до 300 000 рублей в редакции, действующей с 30 мая 2025 года.

«Ч. 1 ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — обработка персональных данных в случаях, не предусмотренных законодательством, либо обработка, несовместимая с целями сбора: для юридического лица — штраф 150 000–300 000 ₽.»

Ключевой элемент состава — отсутствие правового основания из перечня ст. 6 ФЗ-152. Закон называет одиннадцать оснований: согласие субъекта, исполнение договора, выполнение законодательно возложенных обязанностей, реализация полномочий оператора и другие. Если оператор обрабатывает ПДн вне этих оснований — налицо нарушение ч. 1 ст. 13.11 КоАП.

Второй признак состава — несовместимость обработки с заявленными целями. Статья 5 ФЗ-152 требует, чтобы цели были конкретными, заранее определёнными и законными. Если оператор собрал данные для доставки товара, а затем передал их партнёрам для рекламных рассылок — цели несовместимы, состав образован.

Каковы три типовые ситуации применения ч. 1 ст. 13.11 КоАП?

Практика Роскомнадзора и судов формирует три устойчивых сценария, при которых ч. 1 ст. 13.11 КоАП наиболее вероятна.

Ситуация 1. Обработка ПДн без какого-либо правового основания. Компания собирает данные клиентов на сайте, но форма не содержит условий обработки, ссылки на политику или механизма согласия. Фактически данные обрабатываются без оснований из ст. 6 ФЗ-152. При проверке инспектор РКН фиксирует нарушение и составляет протокол по ч. 1 ст. 13.11.

Ситуация 2. Обработка, вышедшая за рамки заявленных целей. Оператор уведомил РКН о цели «исполнение договора», но фактически использует данные для аналитики, профилирования или передачи третьим лицам. Расхождение между уведомлением и реальной практикой — одно из самых частых оснований для протокола. Роскомнадзор сравнивает сведения из реестра операторов с реальным функционалом систем и договорной документацией.

Ситуация 3. Объединение баз данных с несовместимыми целями. Статья 5 ФЗ-152 прямо запрещает объединять базы, сформированные для несовместимых целей. Если CRM-данные клиентов объединены с кадровой базой или данными соискателей — нарушение формируется автоматически. Этот сценарий особенно характерен для компаний, которые развернули единое аналитическое хранилище без разграничения по целям.

Компания получила запрос или уведомление от РКН?

Если Роскомнадзор начал проверку или уже составлен протокол по ч. 1 ст. 13.11 КоАП — момент реагирования определяет итоговый штраф. На стадии протокола ещё возможно применение ст. 4.1.1 КоАП (замена на предупреждение) или ст. 4.1 КоАП (смягчение при инвестициях в ИБ). После постановления — только обжалование. Юристы DATUM оспорят протокол и постановление в суде, применят ст. 4.1 и ст. 4.1.1 КоАП.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как повторность по ч. 1.1 меняет риск для CEO?

Часть 1.1 ст. 13.11 КоАП — повторное нарушение по ч. 1. Штраф для юридического лица составляет от 300 000 до 500 000 рублей. Повторность определяется по ст. 4.6 КоАП: лицо считается подвергнутым административному наказанию в течение одного года со дня исполнения постановления.

«Ч. 1.1 ст. 13.11 КоАП — повторное нарушение по ч. 1: для юридического лица — штраф 300 000–500 000 ₽. Период повторности — один год со дня исполнения предыдущего постановления (ст. 4.6 КоАП).»

Для генерального директора это означает следующее: однажды заплатив штраф по ч. 1, компания автоматически переходит в группу риска по ч. 1.1 на 12 месяцев. Второй протокол за аналогичное нарушение — вдвое большая санкция без возможности применения предупреждения по ст. 4.1.1 КоАП.

Отдельно следует учитывать связь ч. 1 с оборотным штрафом по ч. 15 ст. 13.11. Часть 15 применяется при повторной утечке ПДн, если ранее компания привлекалась по ч. 12–14, 15–18 ст. 13.11. Сумма — 1–3% совокупной годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей. Таким образом, несоблюдение условий обработки по ч. 1 создаёт процессуальный «след», который в сочетании с утечкой становится триггером оборотного штрафа.

Что проверить, чтобы исключить риск по ч. 1 ст. 13.11

Каждый вид обработки ПДн подкреплён одним из оснований ст. 6 ФЗ-152 — зафиксировано в уведомлении РКН и локальных актах.
Цели обработки в уведомлении РКН соответствуют реальной практике систем и договорной документации.
Базы данных с разными целями разделены или разграничены технически — не объединяются в единое хранилище без правового обоснования.
Политика обработки ПДн опубликована на сайте и содержит перечень целей, оснований и категорий субъектов (ст. 18.1 ФЗ-152).
Соглашения с подрядчиками, получающими ПДн, содержат поручение на обработку с указанием целей и оснований (п. 3 ст. 6 ФЗ-152).

Как работают ст. 4.1 и ст. 4.1.1 КоАП при защите от штрафа?

Два механизма смягчения принципиально различаются по условиям применения и результату.

Статья 4.1.1 КоАП — замена штрафа предупреждением. Применяется при одновременном выполнении условий: субъект малого или микропредприятия, нарушение совершено впервые, не причинён имущественный вред и не создана угроза безопасности. Для ч. 1 ст. 13.11 этот инструмент доступен. Для ч. 15 и ч. 18 — нет: законодатель прямо исключил оборотные составы из сферы применения ст. 4.1.1.

Статья 4.1 КоАП — снижение штрафа ниже минимума при исключительных обстоятельствах. Норма, введённая ФЗ-420, устанавливает специальное правило для оборотных составов ч. 15 и ч. 18: если оператор за три предшествующих года инвестировал в информационную безопасность не менее 0,1% совокупной выручки, штраф снижается до одной десятой минимума — но не менее 15 млн рублей и не более 50 млн рублей. Это примечание к ст. 4.1 КоАП (п. 3.4-2) требует документального подтверждения расходов на ИБ.

Если CEO оценивает риск по ч. 1 ст. 13.11 или уже получил протокол — проверьте, применима ли ст. 4.1.1 КоАП: это разница между нулём и 300 000 рублей. Срок обжалования постановления — 10 дней с момента получения.

Защитить от штрафа 13.11

Как ч. 1 ст. 13.11 КоАП применялась на практике в 2025–2026 годах?

С 30 мая 2025 года по новым нормам ФЗ-420 назначено шесть административных штрафов общей суммой около 570 тысяч рублей (данные InfoWatch, февраль 2026). Суды и регулятор накапливают практику: большинство дел на этом этапе рассматривались по минимальным ставкам.

Кейс 1. В деле Арбитражного суда Москвы (дело № А40-263126/2025) компания допустила утечку 26 миллионов записей. Нарушение произошло до 1 июня 2025 года, поэтому суд применил старую редакцию ст. 13.11 — штраф составил 150 000 рублей (минимум по тогдашней ч. 1). Дело демонстрирует значимость даты нарушения: при тех же обстоятельствах после 30 мая 2025 года санкция была бы многократно выше.

Кейс 2. В деле об обработке кадровых данных (Сибирский федеральный округ, начало 2026 года) работодатель собирал биографические сведения соискателей в объёме, избыточном для принятия решения о найме. Нарушение квалифицировано по ч. 1 ст. 13.11 КоАП — обработка ПДн в объёме, несовместимом с целями. Компания относилась к категории микропредприятий, нарушение было первичным — суд заменил штраф предупреждением по ст. 4.1.1 КоАП.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП
Аудит соответствия 152-ФЗ — проверка правовых оснований обработки по 38 пунктам
Сопровождение проверок РКН — подготовка и представление интересов

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30 мая 2025 года?

С 30 мая 2025 года ст. 13.11 КоАП содержит 18 частей в редакции ФЗ-420 от 30.11.2024. Часть 1 (обработка без основания или не по целям) — 150 000–300 000 рублей для юридического лица. Часть 1.1 (повторное нарушение по ч. 1) — 300 000–500 000 рублей. Часть 12–14 (утечки по числу субъектов) — от 3 до 15 млн рублей. Часть 15 (повторная утечка, оборотный) — 1–3% годовой выручки, минимум 20 млн рублей, максимум 500 млн рублей.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке ПДн, если ранее оператор привлекался по ч. 12–14, 15–18 ст. 13.11. Расчётная база — совокупная выручка компании за предшествующий календарный год. Минимум — 20 млн рублей вне зависимости от размера выручки. Максимум — 500 млн рублей. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн рублей по оборотному штрафу?

Минимум 20 млн рублей по ч. 15 ст. 13.11 КоАП применяется в любом случае, если расчётная сумма (1–3% выручки) оказывается ниже этого порога. Для компаний с годовой выручкой менее 667 млн рублей расчёт по 3% даст меньше 20 млн — поэтому им всегда назначат именно 20 млн. Снизить до 15 млн рублей можно только через механизм ст. 4.1 КоАП (п. 3.4-2) при документально подтверждённых инвестициях в ИБ за три года не менее 0,1% выручки.

4. Можно ли заменить штраф по ч. 1 ст. 13.11 на предупреждение?

Замена возможна по ст. 4.1.1 КоАП при одновременном выполнении условий: компания — субъект малого или микропредприятия, нарушение совершено впервые, не причинён имущественный вред третьим лицам, не создана угроза безопасности. Для оборотных составов — ч. 15 и ч. 18 ст. 13.11 — замена на предупреждение прямо исключена законодателем. Таким образом, ч. 1 — один из немногих составов, где инструмент ст. 4.1.1 ещё работает.

5. Кто рассматривает дела по ст. 13.11 после ФЗ-508 от 28 декабря 2025 года?

До 27 декабря 2025 года дела по ст. 13.11 КоАП рассматривали арбитражные суды. С 28 декабря 2025 года ФЗ-508 вернул подсудность мировым судьям. Это означает, что обжалование постановлений идёт по общей административной вертикали (районный суд — суд субъекта — ВС РФ), а не через арбитражную. Для CEO важно учитывать срок обжалования: 10 дней с момента получения постановления по ч. 2 ст. 30.3 КоАП.

Итог

Часть 1 ст. 13.11 КоАП — базовый состав, на котором строится большинство проверочных протоколов РКН. Три типовые ситуации применения нормы покрывают большинство нарушений среднего и крупного бизнеса: отсутствие правового основания, выход за рамки заявленных целей и объединение несовместимых баз. Повторность переводит нарушение в ч. 1.1, а в связке с утечкой создаёт предпосылки для оборотного штрафа по ч. 15 — от 20 млн рублей.

DATUM сопровождает операторов ПДн на всех стадиях — от аудита правовых оснований до обжалования постановлений мировых судей. Практика по 152-ФЗ и ст. 13.11 КоАП — с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.