аналитика 29 января 2028 По состоянию на 29 января 2028

Состав по части биометрии: 3 признака — Часть 17 ст. 13.11

Ч. 17 ст. 13.11 КоАП — самостоятельный состав за утечку биометрических персональных данных. Штраф для юрлица — 15–20 млн ₽, для повторного нарушения по ч. 18 действует оборотный механизм.

Состав формируется из трёх признаков: субъект является оператором биометрических ПДн, наступил факт утечки, данные относятся к биометрической категории по ст. 11 ФЗ-152. В редакции ФЗ-420 от 30.11.2024 этот состав действует с 30.05.2025.

Если вы CEO и ваша компания обрабатывает биометрию — разберитесь с составом до того, как РКН возбудит дело. → Оценить риски

С 30.05.2025 ст. 13.11 КоАП действует в расширенной редакции: 18 частей вместо прежних семи. Часть 17 выделена в отдельный состав именно для случаев, когда утечка касается биометрических персональных данных. Минимальный штраф по ней — 15 млн ₽. Это в 3–5 раз выше, чем по смежным составам за утечку общих категорий данных. Для CEO, который принял решение об использовании биометрии в СКУД, при онбординге клиентов или в программе лояльности, — это прямой финансовый риск. В статье разобраны три обязательных признака состава, условия их применения и аргументы, которые реально работают в производстве по делу.

Что такое биометрические персональные данные по ч. 17 ст. 13.11 КоАП?

Биометрические персональные данные определены в ст. 11 ФЗ-152 как физиологические и биологические характеристики человека, на основании которых можно установить его личность. Это изображение лица, голос (при использовании для идентификации), отпечатки пальцев, радужная оболочка глаза, ДНК. Обработка такой информации по общему правилу допускается только на основании письменного согласия субъекта.

Для целей ч. 17 ст. 13.11 КоАП важно разграничение: не каждая фотография является биометрией. Фото в личном деле сотрудника, снятое для корпоративного пропуска без автоматической идентификации, квалифицируется как общая категория данных. Биометрией оно становится тогда, когда используется в системе распознавания лиц, то есть применяется для установления личности. Это разграничение принципиально для квалификации по ч. 17 или по смежным составам.

«Ст. 11 ФЗ-152: биометрические ПДн — физиологические и биологические характеристики, позволяющие установить личность субъекта. Обработка — только с письменного согласия, кроме исключений ч. 2 ст. 11.»

Отдельная группа — биометрия в Единой биометрической системе (ЕБС). Для неё действует специальный состав — ст. 13.11.3 КоАП. Ч. 17 ст. 13.11 применяется к биометрии вне ЕБС: корпоративные СКУД, системы распознавания лиц на сайтах и в приложениях, биометрическая идентификация при обслуживании клиентов банком или страховщиком за пределами ЕБС-периметра.

Какие три признака образуют состав по ч. 17 ст. 13.11 КоАП?

Состав по ч. 17 формируется при одновременном наличии трёх признаков.

Первый признак — субъектный. Нарушитель является оператором персональных данных в смысле ст. 3 ФЗ-152: самостоятельно или совместно с другими определяет цели и средства обработки биометрии. Это может быть работодатель, использующий СКУД с распознаванием лиц, клиника, применяющая биометрическую идентификацию пациентов, или IT-платформа с функцией верификации по лицу. Поручение обработки подрядчику не снимает ответственность с оператора: практика ВС РФ последовательно подтверждает, что утечка через процессора — это риск оператора.

Второй признак — объективная сторона. Должен наступить факт утечки: неправомерная или случайная передача, распространение, предоставление доступа либо иные неправомерные действия с биометрическими ПДн. Под утечкой понимается и публикация базы данных в открытом доступе, и несанкционированная передача третьему лицу, и несанкционированное копирование. Случайный доступ, зафиксированный в логах, но без реального распространения, — спорный вопрос квалификации; судебная практика по ч. 17 только формируется.

Третий признак — предметный. Данные, ставшие объектом утечки, должны относиться именно к биометрической категории. Если в одной базе хранились биометрия и паспортные данные и утекли оба массива, составов будет несколько — квалификация по ч. 17 пойдёт именно по биометрической части, остальное покроет иной состав в зависимости от объёма.

«Ч. 17 ст. 13.11 КоАП (ред. ФЗ-420, действует с 30.05.2025): утечка биометрических ПДн за пределами ЕБС — штраф для юрлица 15 000 000 — 20 000 000 ₽.»

Ваша компания использует биометрию в СКУД или при онбординге?

Если CEO принял решение об использовании биометрической идентификации, именно он несёт управленческую ответственность за то, чтобы оператор соответствовал требованиям ст. 11 ФЗ-152. Штраф по ч. 17 при утечке — от 15 млн ₽. Юристы DATUM проведут аудит обработки биометрических ПДн и проверят, соответствует ли ваша система требованиям 152-ФЗ.

Защитить от штрафа по 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Чем ч. 17 отличается от оборотного штрафа по ч. 18 ст. 13.11 КоАП?

Ч. 17 — базовый состав за однократную утечку биометрии. Ч. 18 — оборотный механизм для повторных нарушений. Оборотный штраф по ч. 18 составляет 1–3% совокупной выручки юрлица за предшествующий календарный год. Минимальный порог — согласно тексту КоАП (точный размер верифицировать по актуальной редакции), максимальный — 500 млн ₽.

Повторность по ч. 18 наступает, если компания уже привлекалась по ч. 16, 17 или самой ч. 18. Срок, в течение которого учитывается предыдущее нарушение, — один год с момента вступления в силу предыдущего постановления. Это означает: компания, допустившая утечку биометрии дважды в течение 12 месяцев, получает оборотный штраф при втором нарушении вне зависимости от объёма утечки.

Отдельно стоит механизм снижения оборотного штрафа по ст. 4.1 КоАП. Если компания документально подтвердит инвестиции в информационную безопасность на уровне не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 18 рассчитывается как одна десятая от минимального размера. При этом установлены абсолютный пол и потолок этого снижения — их точный размер проверяйте в актуальной редакции ст. 4.1 КоАП. Это единственный законный способ существенно снизить оборотный штраф за биометрическую утечку, не оспаривая состав.

«Ч. 18 ст. 13.11 КоАП: повторное нарушение по ч. 16 или 17 — оборотный штраф 1–3% годовой выручки, не более 500 млн ₽. Ст. 4.1 КоАП — снижение при инвестициях в ИБ ≥ 0,1% выручки за 3 года.»

Как суды квалифицируют нарушения по ч. 17: практические сценарии для CEO

Практика по ч. 17 в новой редакции только формируется — состав действует с 30.05.2025. Тем не менее логика квалификации прослеживается из смежных составов и позиций РКН.

Сценарий 1: СКУД с распознаванием лиц, утечка базы шаблонов. Производственная компания (Приволжский ФО, лето 2025) использовала СКУД с биометрической идентификацией сотрудников. База биометрических шаблонов хранилась на сервере подрядчика без договора поручения обработки по ст. 6 ФЗ-152. После взлома сервера шаблоны оказались в открытом доступе. РКН квалифицировал нарушение по ч. 17 ст. 13.11 КоАП. Отсутствие договора поручения лишило компанию аргумента об ответственности подрядчика. Штраф составил сумму в диапазоне от 15 до 20 млн ₽. Стратегия защиты — оспаривание субъектного признака через доказательство отсутствия фактической обработки оператором — не сработала: суд применил принцип ответственности оператора за выбор подрядчика. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Сценарий 2: мобильное приложение с верификацией по лицу, утечка через уязвимость API. IT-компания (Северо-Западный ФО, осень 2025) предоставляла SaaS-сервис с функцией идентификации пользователей по фотографии. Уязвимость в API позволила неавторизованным лицам получить доступ к снимкам лиц пользователей. Субъект оператора подтверждён — компания самостоятельно определяла цели обработки. Предметный признак установлен: фото использовались именно для идентификации. Факт утечки зафиксирован через жалобу субъекта в РКН. Состав по ч. 17 образован в полном объёме. Применение ст. 4.1.1 КоАП (замена на предупреждение) отклонено: биометрические составы не относятся к числу тех, где суды охотно применяют замену. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Если CEO уже получил уведомление о возбуждении дела по ч. 17 ст. 13.11 — у вас ограниченное время на сбор доказательной базы для смягчения. Юристы DATUM оценят состав и выработают позицию.

Защитить от штрафа по 13.11

Что снижает и что исключает ответственность по ч. 17?

Полное исключение ответственности возможно при оспаривании одного из трёх признаков состава. Если данные не являлись биометрическими в смысле ст. 11 ФЗ-152 — предметный признак отсутствует, состав не образован. Если компания не являлась оператором, а лишь выполняла поручение другого оператора на основании оформленного договора по п. 3 ст. 6 ФЗ-152 — субъектный признак может быть оспорен. Если факт утечки не подтверждён: данные попали к третьему лицу правомерно либо инцидент не повлёк реального несанкционированного доступа — объективная сторона под вопросом.

Частичное снижение ответственности строится на нескольких основаниях. Первое — документально подтверждённые инвестиции в ИБ по ст. 4.1 КоАП, которые работают при оборотном штрафе по ч. 18. Второе — своевременное уведомление РКН об инциденте за 24 часа по ч. 3.1 ст. 21 ФЗ-152: просрочка сама по себе добавляет состав по ч. 11 ст. 13.11 (штраф 1–3 млн ₽), а своевременность фиксируется как смягчающее обстоятельство. Третье — оперативное устранение последствий и сотрудничество с регулятором. Четвёртое — для субъектов малого предпринимательства при первом нарушении возможна замена на предупреждение по ст. 4.1.1 КоАП, однако суды применяют её по биометрическим составам значительно реже, чем по общим.

Что подготовить, чтобы снизить риск по ч. 17 ст. 13.11 КоАП

Письменные согласия субъектов на обработку биометрических ПДн по ст. 11 ФЗ-152 — отдельный документ с полным перечнем реквизитов, включая цель, перечень действий и срок.
Договор поручения обработки с каждым подрядчиком, получающим доступ к биометрии, — по п. 3 ст. 6 ФЗ-152 с перечнем разрешённых действий.
Уведомление о намерении обрабатывать биометрические ПДн в реестре РКН по ст. 22 ФЗ-152 — с корректно заполненным полем о категории данных.
Регламент реагирования на инциденты с фиксированным таймером 24 часа — первичное уведомление РКН, 72 часа — отчёт по Приказу РКН №187.
Документальное подтверждение расходов на ИБ в размере не менее 0,1% выручки за три года — для применения льготного расчёта по ст. 4.1 КоАП при оборотном штрафе.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП для смягчения.
Аудит соответствия 152-ФЗ — проверка биометрической обработки по чек-листу из 38 пунктов.
Сопровождение проверок РКН — представление интересов при проверке, связанной с биометрическими данными.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и насчитывает 18 частей. Для юрлиц диапазоны: ч. 1 — 150–300 тыс. ₽, ч. 2 — 300–700 тыс. ₽, ч. 12 — 3–5 млн ₽ (утечка 1–10 тыс. субъектов), ч. 13 — 5–10 млн ₽ (10–100 тыс. субъектов), ч. 14 — 10–15 млн ₽ (более 100 тыс. субъектов), ч. 17 — 15–20 млн ₽ (биометрия), ч. 15 — оборотный 1–3% выручки, не менее 20 млн ₽ и не более 500 млн ₽. Подсудность с 28.12.2025 — мировые судьи (ФЗ-508).

2. Что такое оборотный штраф 1–3% по ч. 15 и ч. 18?

Оборотный штраф применяется при повторном нарушении. По ч. 15 — при повторной утечке общих категорий данных (ч. 12–14), по ч. 18 — при повторной утечке биометрии (ч. 16–17). База расчёта — совокупная выручка юрлица за предшествующий календарный год. Ставка — 1–3% в зависимости от решения суда. Минимум по ч. 15 — 20 млн ₽, максимум — 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимум в 20 млн ₽ применяется, когда расчётная сумма 1% от годовой выручки оказывается ниже этого порога. То есть если годовая выручка компании составляет менее 2 млрд ₽, минимальный штраф по ч. 15 фиксируется на отметке 20 млн ₽. Для компаний с выручкой выше 2 млрд ₽ реальная сумма превысит 20 млн ₽ и определяется в диапазоне 1–3% выручки по решению суда, но не выше 500 млн ₽.

4. Можно ли заменить штраф на предупреждение по ч. 17?

Замена административного штрафа на предупреждение по ст. 4.1.1 КоАП теоретически возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда. Однако к оборотным составам — ч. 15 и ч. 18 — она не применяется. По базовой ч. 17 замена формально допустима, но суды применяют её редко: биометрические составы расцениваются как повышенной степени общественной опасности. Практика по ч. 17 в редакции ФЗ-420 только формируется, рекомендуется готовить доказательную базу смягчения по ст. 4.1 КоАП параллельно.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул дела по ст. 13.11 КоАП мировым судьям. С 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. С 28.12.2025 подсудность — снова мировые судьи. Это влияет на процессуальную тактику: мировые суды имеют иную практику применения смягчающих обстоятельств по ст. 4.1 КоАП по сравнению с арбитражем.

Итог

Ч. 17 ст. 13.11 КоАП образует самостоятельный состав при совпадении трёх признаков: оператор биометрических ПДн, факт утечки, предмет — биометрические данные по ст. 11 ФЗ-152. Штраф 15–20 млн ₽ за однократное нарушение; повторность переводит компанию в оборотный состав по ч. 18 с потолком 500 млн ₽. Единственный законный инструмент существенного снижения оборотного штрафа — документальное подтверждение инвестиций в ИБ по ст. 4.1 КоАП.

DATUM сопровождает операторов биометрических ПДн по всем стадиям — от аудита обработки до оспаривания постановления в суде. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025, подсудность после ФЗ-508.