Перейти к содержанию
аналитика 26 января 2028 По состоянию на 26 января 2028

Состав правонарушения по ч. 11 ст. 13.11: 3 признака

Часть 11 ст. 13.11 КоАП — штраф от 1 до 3 млн ₽ за неуведомление или несвоевременное уведомление РКН об инциденте с персональными данными. Признаки состава: факт обнаружения, нарушение срока 24 часов, отсутствие или неполнота уведомления.
С 30.05.2025 ч. 11 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 установила самостоятельный состав. Если компания знала об утечке, но не уведомила РКН в отведённое время, — виновный признак считается доказанным. При повторной утечке, квалифицированной по ч. 12–14, компания рискует оборотным штрафом по ч. 15: от 1 до 3% выручки, не менее 20 млн ₽.
→ Если вы генеральный директор и ваша компания получила уведомление об инциденте позже 24 часов или вовсе не направляла его — нужна юридическая оценка ситуации до того, как РКН составит протокол.

С 30 мая 2025 года ст. 13.11 КоАП насчитывает 18 частей вместо прежних 7. Ч. 11, введённая ФЗ-420 от 30.11.2024, устанавливает ответственность за нарушение порядка уведомления РКН об инцидентах с персональными данными. Для генерального директора это означает прямой риск: штраф от 1 до 3 млн ₽ за упущенные 24 часа — без права на быструю уплату со скидкой 50% по ст. 32.2 КоАП, которая применяется только к фиксированным штрафам. Ниже — разбор трёх признаков состава, порядок доказывания каждого и стратегия защиты.

Что такое состав правонарушения по ч. 11 ст. 13.11 КоАП?

Административное правонарушение считается совершённым, когда в действии (бездействии) лица одновременно присутствуют четыре элемента состава: объект, объективная сторона, субъект и субъективная сторона. Применительно к ч. 11 ст. 13.11 КоАП объект — установленный порядок обработки персональных данных, субъект — оператор ПДн в статусе юридического лица, должностного лица или индивидуального предпринимателя. Субъективная сторона допускает как умысел, так и неосторожность: закон не требует доказывать намерение скрыть инцидент.

Объективную сторону образуют три самостоятельных признака. Роскомнадзор при составлении протокола проверяет наличие каждого из них. Если хотя бы один признак не доказан, состав отсутствует — и это основание для прекращения дела на любой стадии.

«Ч. 11 ст. 13.11 КоАП (ред. с 30.05.2025): неуведомление или несвоевременное уведомление Роскомнадзора об инциденте с персональными данными влечёт штраф для юридических лиц от 1 000 000 до 3 000 000 ₽.»

Признак 1: факт обнаружения инцидента — как РКН доказывает момент

Первый признак — оператор обнаружил инцидент. Без установленного момента обнаружения срок 24 часов не начинает течь, а следовательно, нарушения срока нет. Именно поэтому РКН при проверке запрашивает внутренние журналы систем мониторинга, тикеты службы поддержки, переписку сотрудников, записи SIEM-системы.

Ч. 3.1 ст. 21 ФЗ-152 обязывает оператора уведомить РКН в течение 24 часов с момента обнаружения — не с момента подтверждения, не с момента классификации инцидента. Этим регулятор закрывает лазейку «мы ещё расследовали». Порядок уведомления закреплён в Приказе РКН №187 от 14.11.2022.

На практике момент обнаружения фиксируется по первому задокументированному сигналу: алерту в SIEM, записи в журнале событий, сообщению сотрудника. Если компания не ведёт таких журналов, РКН вправе считать моментом обнаружения дату публичного появления данных в даркнете или дату, когда РКН самостоятельно зафиксировал факт утечки.

Получили сигнал об инциденте, но уведомление ещё не отправлено?

Для генерального директора каждый час промедления после обнаружения инцидента сужает правовую позицию: срок 24 часов по ч. 3.1 ст. 21 ФЗ-152 не восстанавливается. Ошибка в первичном уведомлении РКН даёт основание для протокола по ч. 11 ст. 13.11 — штраф от 1 до 3 млн ₽ — и ослабляет позицию при оспаривании основного протокола по ч. 12–14.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Признак 2: нарушение срока 24 часов — что считается просрочкой?

Второй признак — нарушение установленного срока уведомления. Срок составляет 24 часа с момента обнаружения для первичного уведомления и 72 часа — для направления отчёта о результатах внутреннего расследования (Приказ РКН №187). Оба обязательства самостоятельны: нарушение 72-часового срока не перекрывает соблюдение 24-часового и наоборот.

Просрочкой считается любой выход за пределы 24-часового окна вне зависимости от причины: техническая неготовность формы, отсутствие ответственного сотрудника, выходной день. Закон не предусматривает оснований для продления этого срока. Уважительные причины просрочки могут учитываться как смягчающие обстоятельства по ст. 4.2 КоАП, но не исключают состав.

Уведомление направляется через личный кабинет оператора на pd.rkn.gov.ru. Форма утверждена Приказом РКН №180 от 28.10.2022. Отправка по электронной почте или по почте России не считается надлежащим исполнением обязанности. Это второй типовой источник нарушения — компания направила уведомление, но не через официальный канал.

«Ч. 3.1 ст. 21 ФЗ-152: при обнаружении неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных оператор обязан уведомить уполномоченный орган в течение 24 часов; через 72 часа — направить результаты внутреннего расследования.»

Признак 3: отсутствие или неполнота уведомления — перечень обязательных сведений

Третий признак — содержание уведомления не соответствует требованиям Приказа РКН №187. Формально направленное, но неполное уведомление приравнивается к ненаправленному: состав считается выполненным только тогда, когда РКН получил весь обязательный перечень сведений.

В первичном уведомлении (24 часа) оператор указывает: наименование и контакты оператора, дату и время обнаружения инцидента, вид инцидента, предполагаемые причины, перечень возможно скомпрометированных категорий ПДн, приблизительное число затронутых субъектов, меры, принятые на момент уведомления. В отчёте за 72 часа добавляются: результаты расследования, установленные причины, перечень конкретных категорий и объём ПДн, сведения о лицах, получивших несанкционированный доступ, и план корректирующих мер.

На практике компании допускают три типовые ошибки в содержании уведомления. Первая — занижение числа субъектов (указывают «не установлено» или минимальную оценку). Вторая — пропуск категорий ПДн, например не указывают, что среди утёкших данных были паспортные сведения или финансовая информация. Третья — отсутствие описания принятых мер: блокировки учётной записи, отключения уязвимого сервиса, уведомления субъектов.

Что проверить перед отправкой уведомления РКН

  • Уведомление отправлено через личный кабинет pd.rkn.gov.ru с использованием УКЭП или ЕСИА — не по email.
  • Указаны дата и время обнаружения — именно того момента, когда первый сотрудник зафиксировал сигнал (алерт, тикет, сообщение).
  • Перечислены все категории ПДн, которые могли быть скомпрометированы, включая специальные категории по ст. 10 ФЗ-152.
  • Указано приблизительное число субъектов — даже оценочно; «не установлено» при наличии данных усиливает позицию РКН.
  • Описаны меры, принятые на момент уведомления: технические (блокировка, изоляция) и организационные (уведомление команды, фиксация журналов).

Как три признака взаимодействуют при квалификации?

Ч. 11 ст. 13.11 КоАП — самостоятельный состав, не зависящий от квалификации по ч. 12–14 (утечка по числу субъектов). Протоколы по ч. 11 и ч. 12–14 могут составляться одновременно и рассматриваться в совокупности. При назначении наказания суд применяет ч. 2 ст. 4.4 КоАП: при совокупности нарушений назначается наказание по норме, предусматривающей более строгое наказание, с возможностью усиления до половины суммы остальных санкций.

Если оператор ранее уже привлекался к ответственности по ч. 12–14 ст. 13.11, повторная утечка квалифицируется по ч. 15 — оборотный штраф от 1 до 3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Нарушение порядка уведомления по ч. 11 в этой ситуации становится отягчающим обстоятельством, влияющим на размер штрафа внутри оборотного диапазона.

ФЗ-420 от 30.11.2024 также ввёл стимул для инвестиций в информационную безопасность: согласно примечанию к ст. 4.1 КоАП, если оператор документально подтверждает вложения в ИБ не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15, ч. 18) снижается до одной десятой минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

Если ваша компания уже получила протокол по ч. 11 ст. 13.11 или запрос РКН об инциденте — позиция защиты строится на оспаривании момента обнаружения и полноты уведомления. Юристы DATUM оценят перспективы по конкретным обстоятельствам вашего дела.

Защитить от штрафа 13.11

Сценарии применения ч. 11 ст. 13.11 КоАП на практике

Сценарий 1. Уведомление направлено, но с опозданием на 6 часов. Компания обнаружила утечку в 23:00, уведомила РКН в 07:30 следующего дня — через 8,5 часов после обнаружения, в пределах 24-часового окна. Однако в уведомлении не были указаны категории ПДн. РКН квалифицировал это как неполное уведомление по третьему признаку. Штраф по ч. 11 был назначен в минимальном размере с учётом смягчающего обстоятельства — своевременной попытки уведомить. При оспаривании в арбитражном суде позиция строилась на том, что уведомление было направлено в срок, а неполнота — устранимое техническое нарушение. Размер штрафа снижен до нижней границы.

Сценарий 2. Уведомление не направлено: компания ждала «подтверждения факта». IT-отдел зафиксировал аномальную активность в 14:00, но передал информацию генеральному директору только на следующий день. РКН установил момент обнаружения по записям SIEM. 24-часовое окно истекло. Первичное уведомление поступило через 36 часов. Протокол по ч. 11 составлен на компанию (штраф 1–3 млн ₽) и на должностное лицо. Стратегия защиты: оспаривание момента обнаружения (SIEM-алерт как технический сигнал, а не юридически значимое обнаружение) + документирование процедуры эскалации.

Сценарий 3. Уведомление направлено по email, а не через кабинет pd.rkn.gov.ru. Средний бизнес (ЦФО, весна 2026) после атаки направил уведомление на официальный email РКН. Портал pd.rkn.gov.ru был недоступен из-за технических работ. РКН признал уведомление ненадлежащим по форме. Судебная позиция: форс-мажор и добросовестность оператора позволили снизить штраф по ч. 11 с применением ст. 4.2 КоАП. Одновременно суд не применил ст. 4.1.1 КоАП (замену на предупреждение), поскольку нарушение затронуло права субъектов ПДн.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30 мая 2025 года действуют 18 частей ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. Для юридических лиц ключевые размеры: ч. 1 (обработка без оснований) — 150 000–300 000 ₽; ч. 2 (обработка без письменного согласия) — 300 000–700 000 ₽; ч. 11 (неуведомление об инциденте) — 1 000 000–3 000 000 ₽; ч. 12–14 (утечка по числу субъектов) — 3 000 000–15 000 000 ₽; ч. 15 (оборотный, повторная утечка) — 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушения по ч. 12–14 (утечка ПДн) лицом, ранее привлекавшимся к ответственности по ч. 12–14, 15, 16–18 ст. 13.11. База расчёта — совокупная выручка компании за предшествующий календарный год. Минимум — 20 млн ₽, максимум — 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП на оборотные составы не распространяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимальный порог 20 млн ₽ применяется всегда, когда расчётное значение 1–3% от выручки оказывается ниже этой суммы. Например, при выручке 500 млн ₽ и ставке 1% расчётный штраф — 5 млн ₽, но назначается минимум — 20 млн ₽. Для компаний с выручкой выше 2 млрд ₽ минимум перестаёт быть ограничителем. Инвестиции в ИБ не менее 0,1% выручки за три года снижают оборотный штраф до одной десятой минимума, но не менее 15 млн ₽ (примечание к ст. 4.1 КоАП, ФЗ-420).

4. Можно ли заменить штраф по ч. 11 ст. 13.11 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при отсутствии вреда и первичности нарушения. Однако суды последовательно отказывают в замене, когда нарушение затронуло права субъектов ПДн — а именно это происходит при любом инциденте с данными. На практике по ч. 11 ст. 13.11 замена на предупреждение применяется редко. Более реалистична позиция через ст. 4.2 КоАП (смягчающие обстоятельства) для снижения штрафа до нижней границы диапазона.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

До 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривали арбитражные суды (в период действия ФЗ-420 с 30.05.2025 по 27.12.2025). С 28 декабря 2025 года ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. Это означает, что обжалование постановления идёт в районный суд, затем — в суд субъекта, а не в арбитражную систему. Для юридических лиц это меняет тактику защиты: процессуальные правила КоАП и АПК существенно различаются.

Итог

Состав по ч. 11 ст. 13.11 КоАП требует доказанности трёх признаков одновременно: установленного момента обнаружения инцидента, нарушения 24-часового срока и отсутствия или неполноты уведомления. Отсутствие любого признака — основание для прекращения дела. Стратегия защиты строится именно на оспаривании каждого из них: когда именно наступило обнаружение, было ли уведомление направлено в срок и соответствовало ли оно требованиям Приказа РКН №187.

Практика DATUM по ст. 13.11 КоАП охватывает дела от протокольной стадии до кассационного обжалования. Мы анализируем доказательную базу РКН, выявляем процессуальные нарушения при составлении протокола и применяем ст. 4.1, 4.1.1 и 4.2 КоАП для снижения санкции или прекращения дела.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.