Перейти к содержанию
аналитика 28 января 2028 По состоянию на 28 января 2028

Состав по части биометрии: 3 признака — Часть 16 ст. 13.11

Ч. 16 ст. 13.11 КоАП — специальный состав за нарушение обработки биометрических персональных данных. Штраф для юридических лиц достигает нескольких миллионов рублей, а повторность запускает оборотный механизм по ч. 18.
С 30.05.2025 (ФЗ-420 от 30.11.2024) ст. 13.11 КоАП расширена до 18 частей: биометрия выделена в отдельные составы ч. 16–18, а ч. 15 и ч. 18 предусматривают оборотный штраф от 1 до 3% годовой выручки — не менее 20 млн ₽ и не более 500 млн ₽.
→ Если вы CEO и компания обрабатывает биометрию — проверьте три признака состава ч. 16 до того, как это сделает Роскомнадзор.

С 30 мая 2025 года за нарушение требований к обработке биометрических персональных данных действует отдельный штрафной состав — ч. 16 ст. 13.11 КоАП в редакции ФЗ-420. Для генерального директора это означает: одно нарушение в системе биометрической идентификации, СКУД или дактилоскопии — и компания попадает не под общую ч. 1–2, а под специальную норму с повышенными санкциями. Ниже разобраны три обязательных признака этого состава, пограничные ситуации и стратегия защиты до получения протокола.

Что такое состав по ч. 16 ст. 13.11 и чем он отличается от общего нарушения?

Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 разграничивает нарушения по предмету обработки. Ч. 1–2 — общие нарушения при работе с любыми персональными данными. Ч. 16 — специальный состав, объект которого строго ограничен: биометрические персональные данные в понимании ст. 11 ФЗ-152.

«Ст. 11 ФЗ-152 относит к биометрическим ПДн сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность. К типичным категориям относятся: изображение лица, голос, дактилоскопические данные, радужная оболочка глаза, ДНК. Обработка — только с письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом (п. 2 ст. 11 ФЗ-152).»

Ключевое отличие ч. 16 от ч. 2: ч. 2 применяется при отсутствии или ненадлежащем оформлении письменного согласия на обработку любых ПДн. Ч. 16 охватывает более широкий спектр нарушений — любое несоблюдение требований ст. 11 ФЗ-152 к биометрии, не подпадающее под ст. 13.11.3 КоАП. Ст. 13.11.3 — отдельная норма для банков, МФЦ и иных организаций, размещающих биометрию в Единой биометрической системе (ЕБС). Если оператор не входит в этот круг субъектов или нарушение не связано с ЕБС — применяется ч. 16 ст. 13.11.

Практическая разница для CEO: штраф по ч. 16 — самостоятельная сумма (точный диапазон для юридических лиц верифицировать по актуальному тексту КоАП непосредственно перед подачей возражений). Повторное нарушение по ч. 16 или утечка биометрии по ч. 17 переводит дело в оборотный состав ч. 18 — от 1 до 3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Ваша компания обрабатывает биометрию — СКУД, идентификация, голосовые данные?

Один нарушенный реквизит согласия по ст. 11 ФЗ-152 — это ч. 16 ст. 13.11 КоАП. Повторность переводит дело в оборотный состав ч. 18: от 20 млн ₽ без верхней привязки к вашей конкретной сумме штрафа. Юристы DATUM проверят три признака состава до получения протокола и предложат план устранения.

Защитить от штрафа по ст. 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие три признака образуют состав по ч. 16 ст. 13.11 КоАП?

Для привлечения к ответственности по ч. 16 РКН и суд должны установить три обязательных элемента состава. Отсутствие хотя бы одного исключает квалификацию именно по этой норме.

Признак 1. Предмет — биометрические персональные данные. Обрабатываемые данные должны относиться к биометрии по ст. 11 ФЗ-152. Если оператор обрабатывает фотографию сотрудника только для доступа в корпоративную интранет-галерею, суд может признать эти данные общими ПДн, а не биометрическими — ключевое условие ст. 11 состоит именно в том, что данные используются для установления личности субъекта. Если идентификация личности не является целью, норма ст. 11 не активируется. Это рабочий аргумент защиты.

Признак 2. Нарушение требований ст. 11 ФЗ-152 к порядку обработки. Ст. 11 предъявляет к обработке биометрических ПДн требования, более жёсткие, чем к общим данным. Обработка допустима только при наличии письменного согласия субъекта — устная форма, согласие в трудовом договоре, согласие в общей политике конфиденциальности не соответствуют требованиям. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн вообще оформляется отдельным документом — для биометрии это требование усиливается исходным правилом ст. 11 о письменной форме. Нарушение выражается в одном из следующих действий: отсутствие письменного согласия, несоответствие реквизитов согласия требованиям ст. 9 ФЗ-152, обработка цели которой не соответствует цели, указанной в согласии, или продолжение обработки после его отзыва.

Признак 3. Нарушение не охватывается ст. 13.11.3 КоАП. Ст. 13.11.3 — специальная норма для организаций, взаимодействующих с ЕБС (банки, МФЦ, нотариусы и иные организации из перечня ФЗ-572). Если нарушение связано с регистрацией или передачей биометрии в ЕБС — применяется ст. 13.11.3, а не ч. 16 ст. 13.11. Коммерческий оператор, использующий биометрию для собственных нужд (СКУД, розничная идентификация, HR-системы), под ст. 13.11.3 не подпадает — его нарушения квалифицируются по ч. 16.

Что проверить при самодиагностике по ч. 16 ст. 13.11

  • Все системы с биометрией инвентаризированы: СКУД, видеоаналитика, голосовые боты, дактилоскопия — каждая записана в реестре ИСПДн.
  • На каждую систему есть отдельное письменное согласие с реквизитами ст. 9 ФЗ-152: ФИО субъекта, цель, перечень данных, перечень действий, срок, способ отзыва.
  • Цель обработки в системе совпадает с целью в согласии — нет расширения использования без нового согласия.
  • Уведомление в реестре РКН содержит сведения о биометрических ПДн и соответствующих системах (ст. 22 ФЗ-152).
  • При использовании подрядчика (вендора СКУД) оформлено поручение на обработку с включением требований по биометрии.

Как применяется ч. 15 (оборотный штраф) и при чём здесь биометрия?

Ч. 15 ст. 13.11 КоАП — оборотный штраф за повторные нарушения по составам ч. 12–14 (утечки по числу субъектов). Ч. 18 — оборотный штраф за повторные нарушения по ч. 16–17 (биометрия и утечка биометрии). Для CEO важно понимать: ч. 15 и ч. 18 — это не один механизм.

«Ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушения по ч. 12–14, 15 или 16–18 лицом, ранее привлекавшимся по указанным частям. Штраф — от 1 до 3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Ч. 18 — аналогичный оборотный механизм за повторность по ч. 16–17 (биометрические ПДн).»

Практически это означает: первое нарушение по ч. 16 — штраф в пределах специального диапазона для юрлиц. Второе нарушение — ч. 18, и расчёт уже от выручки. Для компании с оборотом 1 млрд ₽ в год минимальный оборотный штраф составит 20 млн ₽ вне зависимости от суммы первого штрафа. Для компании с оборотом 500 млн ₽ — те же 20 млн ₽, поскольку 1% от 500 млн меньше установленного минимума.

Ст. 4.1 КоАП предусматривает смягчающие обстоятельства: содействие расследованию, добровольное устранение нарушения, возмещение вреда. Примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420) даёт прямую скидку по оборотным составам: если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года — штраф по ч. 15 и ч. 18 составит 1/10 от минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Документировать инвестиции в ИБ нужно заранее, а не в момент получения протокола.

Ст. 4.1.1 КоАП позволяет заменить штраф предупреждением для микропредприятий и малого бизнеса при первичном нарушении и отсутствии вреда. Однако ч. 15 и ч. 18 ст. 13.11 прямо исключены из сферы применения ст. 4.1.1 — замена на предупреждение по оборотным составам невозможна.

Если компания уже получила один протокол по биометрии — следующее нарушение запустит ч. 18 и оборотный расчёт. Время устранить состав ч. 16 до повторности.

Защитить от штрафа по ст. 13.11

Типовые ситуации: как состав ч. 16 возникает на практике

Ситуация 1. СКУД с дактилоскопией без отдельного письменного согласия. Производственное предприятие (Приволжский ФО, лето 2025) использует систему контроля доступа на основе отпечатков пальцев. Согласие на обработку включено в трудовой договор единым пунктом — без выделения в отдельный документ и без реквизитов ст. 9 ФЗ-152. При внеплановой проверке РКН выявил нарушение ст. 11 ФЗ-152 (отсутствие надлежащего согласия на биометрию) и квалифицировал по ч. 16 ст. 13.11. Стратегия защиты: оспорить включение дактилоскопии в объём биометрии применительно к конкретной цели (идентификация vs. установление личности), а при неуспехе — применить ст. 4.1 КоАП со ссылкой на устранение нарушения до рассмотрения дела. Результат зависит от полноты документирования устранения.

Ситуация 2. Видеоаналитика для маркетинга без согласия. Торговая сеть (Центральный ФО, осень 2025) внедрила систему видеоаналитики посетителей: подсчёт трафика, возраст, пол, эмоции. Вендор позиционировал систему как «обезличенную аналитику», согласия на биометрию не оформлялись. РКН при проверке установил, что система идентифицирует уникальных посетителей по изображению лица — что охватывается ст. 11 ФЗ-152. Квалификация: ч. 16 ст. 13.11. Аргумент защиты: если система не хранит биометрические шаблоны и не устанавливает личность конкретного человека — данные не являются биометрическими ПДн по ст. 11. Этот аргумент требует технической экспертизы и документации от вендора.

Ситуация 3. Голосовая идентификация в колл-центре без уведомления РКН. Финансовая компания (Уральский ФО, зима 2025–2026) использует голосовую биометрию для аутентификации клиентов. Согласие оформлено, но в уведомлении РКН биометрические ПДн не отражены — раздел пропущен при заполнении. РКН при плановой проверке выявил расхождение: реестр не содержит сведений о биометрии, фактическая обработка ведётся. Квалификация: ч. 10 ст. 13.11 (неуведомление об обработке, 100–300 тыс. ₽) в совокупности с ч. 16 (нарушение порядка обработки биометрии). Стратегия: немедленно скорректировать уведомление, документировать момент исправления — это смягчающее по ст. 4.1 КоАП.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей вместо прежних 7. Диапазоны для юридических лиц: ч. 1 — 150–300 тыс. ₽, ч. 2 — 300–700 тыс. ₽, ч. 8 (локализация) — 1–6 млн ₽, ч. 12 (утечка 1 000–10 000 субъектов) — 3–5 млн ₽, ч. 13 — 5–10 млн ₽, ч. 14 — 10–15 млн ₽, ч. 17 (утечка биометрии) — 15–20 млн ₽. Оборотный штраф по ч. 15 и ч. 18 — 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Точные диапазоны по ч. 16 для юрлиц уточняйте по актуальному тексту КоАП (КонсультантПлюс) перед подачей возражений.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф — это санкция, привязанная к выручке компании, а не к фиксированному диапазону. По ч. 15 ст. 13.11 КоАП он применяется при повторных нарушениях, связанных с утечками (ч. 12–14) или биометрией (ч. 16–17). Размер: от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП на оборотные составы не распространяется. Единственный легальный механизм снижения — примечание 3.4-2 к ст. 4.1 КоАП (инвестиции в ИБ ≥ 0,1% выручки за 3 года снижают штраф до 1/10 минимума, но не менее 15 млн ₽).

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ установлен для оборотных составов ч. 15 и ч. 18 ст. 13.11 КоАП. Он применяется в ситуации, когда 1% выручки за предшествующий год меньше 20 млн ₽, — например, у компании с оборотом до 2 млрд ₽. Если 3% выручки превышает 500 млн ₽ — штраф ограничен этим максимумом. При подтверждённых инвестициях в ИБ (примечание 3.4-2 к ст. 4.1 КоАП) минимум снижается до 15 млн ₽, а максимум — до 50 млн ₽.

4. Можно ли заменить штраф на предупреждение?

Ст. 4.1.1 КоАП предусматривает замену штрафа на предупреждение для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии причинённого вреда. Однако по ч. 15 и ч. 18 ст. 13.11 КоАП (оборотные составы) замена прямо исключена. По ч. 16 ст. 13.11 (первичное нарушение) замена теоретически возможна для микропредприятий при соблюдении условий ст. 4.1.1 — но это исключение, а не правило: РКН и суды оценивают реальный вред и характер нарушения. Обязательное условие для любой замены — устранение нарушения до рассмотрения дела.

5. Какая подсудность дел после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул рассмотрение дел по ст. 13.11 КоАП мировым судьям. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды — переходный период, связанный с вступлением в силу ФЗ-420. С 28.12.2025 действует прежний порядок: мировые судьи рассматривают дела по ст. 13.11 по месту совершения правонарушения или по месту нахождения юридического лица. Обжалование постановлений мировых судей — в районный суд в течение 10 суток с момента вручения копии постановления (ст. 30.3 КоАП).

Итог

Ч. 16 ст. 13.11 КоАП образует состав при одновременном наличии трёх признаков: предмет — биометрические ПДн по ст. 11 ФЗ-152; нарушение установленного порядка их обработки (прежде всего требований к письменному согласию); нарушение не охватывается специальной ст. 13.11.3 для операторов ЕБС. Повторность по ч. 16 или ч. 17 активирует оборотный состав ч. 18 — от 1 до 3% годовой выручки, не менее 20 млн ₽. Единственный способ нейтрализовать риск — устранить нарушение до получения протокола, а не после.

DATUM сопровождает операторов в делах по ст. 13.11 КоАП с 30.05.2025: оспаривание протоколов, применение ст. 4.1 и ст. 4.1.1, документирование инвестиций в ИБ для снижения оборотного штрафа по примечанию 3.4-2.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов и постановлений по ст. 13.11 КоАП (в ред. ФЗ-420 от 30.11.2024), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.