аналитика 22 октября 2027 По состоянию на 22 октября 2027

Состав правонарушения по ч. 8 ст. 13.11: 3 признака

Часть 8 ст. 13.11 КоАП — санкция за нарушение требований локализации персональных данных граждан России. Штраф для юридического лица — от 1 до 6 млн рублей за первое нарушение и от 6 до 18 млн при повторе (ч. 9).

С 30.05.2025 состав существенно уточнён в редакции ФЗ-420 от 30.11.2024. РКН фиксирует нарушение при любом из трёх квалифицирующих признаков: неправильная юрисдикция первичных баз данных, неполнота локализованных сведений или отсутствие уведомления о трансграничной передаче.

Если вы CEO и компания использует зарубежные CRM, облачные платформы или сервисы аналитики — риск санкции по ч. 8 присутствует прямо сейчас. Разбираем состав до элементов.

Нарушение требований локализации — один из самых частых поводов для внеплановой проверки Роскомнадзора в 2025–2026 годах. Санкция по ч. 8 ст. 13.11 КоАП применяется не только к иностранным компаниям: российские операторы с зарубежной инфраструктурой или подрядчиками-обработчиками в другой юрисдикции несут те же риски. Ниже — структурированный разбор трёх признаков состава, которые Роскомнадзор проверяет в первую очередь.

Что такое состав правонарушения по ч. 8 ст. 13.11 и кому он угрожает?

Часть 8 ст. 13.11 КоАП устанавливает ответственность за невыполнение требования, закреплённого в ч. 5 ст. 18 ФЗ-152. Оператор обязан обеспечить, чтобы запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан Российской Федерации осуществлялись в базах данных, расположенных на территории России.

«Ч. 5 ст. 18 ФЗ-152 — оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Действует с 01.09.2015. Нарушение — ч. 8 ст. 13.11 КоАП: 1 000 000 — 6 000 000 ₽ для юридических лиц (в редакции с 30.05.2025).»

Состав является формальным: для привлечения к ответственности достаточно самого факта нарушения — наступления вреда конкретным субъектам доказывать не нужно. Это означает, что CEO получает риск ещё до того, как произойдёт утечка или поступит жалоба. Практика 2024–2025 годов показывает: индикатором служит анализ трафика сайта и технической документации, который РКН проводит дистанционно до выхода на проверку.

Какие три признака образуют состав нарушения по ч. 8?

Состав по ч. 8 ст. 13.11 КоАП включает три самостоятельных квалифицирующих признака. Наличие любого одного из них достаточно для привлечения к ответственности. Разберём каждый.

Признак 1. Первичная запись в базе, расположенной за рубежом. Если при регистрации пользователя на сайте или в мобильном приложении запись персональных данных первоначально происходит в иностранную базу — это нарушение, независимо от последующей синхронизации с российскими серверами. РКН занимает позицию: первичность имеет значение. Проверочный вопрос для CEO — где физически находится первый INSERT в базу при создании учётной записи клиента.

Признак 2. Неполнота локализованного состава данных. Оператор ведёт российскую базу, однако часть обрабатываемых атрибутов (например, история транзакций, поведенческая аналитика, геолокация) хранится только в зарубежной системе. Локализованная копия должна содержать полный перечень сведений, указанных в уведомлении по ст. 22 ФЗ-152. Отсутствие любого из них при наличии зарубежного хранилища — признак второго типа.

Признак 3. Трансграничная передача без уведомления РКН. Передача данных российских граждан в иностранное государство, не обеспечивающее адекватный уровень защиты, без предварительного уведомления регулятора нарушает требования ст. 12 ФЗ-152. Роскомнадзор квалифицирует это как нарушение ч. 8 ст. 13.11 в совокупности с самостоятельным составом по ч. 10 ст. 13.11 (штраф 100 000 — 300 000 ₽ за неуведомление о намерении обрабатывать). При единовременной проверке оба состава могут быть вменены параллельно.

Используете Salesforce, HubSpot, AWS или зарубежный e-mail провайдер?

Каждый из этих инструментов — потенциальный источник нарушения по ч. 8 ст. 13.11 КоАП. Штраф для юридического лица — до 6 млн рублей за первое нарушение, до 18 млн при повторе. Оценить конкретный риск по вашей инфраструктуре можно до прихода инспектора — этот момент определяет размер санкции и возможность её оспорить. Юристы DATUM проведут аудит соответствия по ч. 5 ст. 18 ФЗ-152 и подготовят план устранения нарушений с приоритизацией по уровню риска.

Защитить от штрафа ст. 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как Роскомнадзор доказывает нарушение на проверке?

Доказательная база по ч. 8 ст. 13.11 формируется через несколько инструментов. Во-первых, технический анализ: РКН анализирует DNS-записи, SSL-сертификаты и заголовки HTTP-ответов сайта, а также Whois-данные о серверах. IP-адреса иностранных датацентров в сочетании с обработкой данных российских граждан — достаточное основание для назначения проверки.

Во-вторых, запросы к оператору: при проверке инспектор запрашивает схему архитектуры ИС, перечень баз данных с указанием физического расположения серверов, договоры с cloud-провайдерами и обработчиками. Отсутствие документов или несоответствие заявленного фактическому — самостоятельное нарушение по ч. 3 ст. 13.11 (невыполнение обязанности по публикации политики).

В-третьих, сведения из реестра операторов: если в уведомлении по ст. 22 ФЗ-152 указаны сведения о трансграничной передаче, но уведомление о ней по ст. 12 не подавалось — противоречие фиксируется автоматически. После ФЗ-420 Роскомнадзор получил расширенные полномочия по дистанционному мониторингу, и значительная часть дел возбуждается без выезда инспектора.

Что проверить, чтобы исключить признаки состава по ч. 8

Карта потоков данных: где физически расположены серверы первичной записи ПДн российских граждан.
Перечень иностранных обработчиков: CRM, ESP, аналитика, облачные хранилища — наличие договоров поручения с указанием юрисдикции.
Уведомление в реестре РКН по ст. 22 ФЗ-152: актуальность сведений о трансграничной передаче.
Подано ли уведомление о трансграничной передаче по ст. 12 ФЗ-152 для каждой страны без адекватного уровня защиты.
Полнота локализованной копии: все атрибуты из уведомления присутствуют в российской базе.

Чем ч. 8 отличается от ч. 9 и оборотного штрафа по ч. 15?

Часть 9 ст. 13.11 КоАП — квалифицированный состав за повторное нарушение по ч. 8. Санкция — от 6 до 18 млн рублей для юридического лица. Повторность определяется как совершение аналогичного нарушения в течение года после вступления в силу предыдущего постановления о штрафе.

Часть 15 ст. 13.11 КоАП — оборотный штраф — применяется по иному основанию: повторное совершение нарушений по ч. 12–14 (утечки ПДн). Напрямую к ч. 8 оборотный штраф не привязан, однако нарушение локализации, приведшее к утечке, может повлечь одновременное привлечение по ч. 12–14 и создать условие для применения ч. 15 при следующем инциденте.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф при повторных нарушениях по ч. 12–14 или ч. 16–18: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 000 000 ₽ и не более 500 000 000 ₽. Действует с 30.05.2025 (ФЗ-420 от 30.11.2024). Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.»

Для CEO это означает следующую логику риска: нарушение локализации (ч. 8) само по себе не приводит к оборотному штрафу. Но если из-за неправильной юрисдикции базы происходит утечка — возникает ч. 12–14, а повторная утечка запускает ч. 15. Профилактика нарушения по ч. 8 — это одновременно барьер на пути к оборотному штрафу.

Получили уведомление о проверке РКН или запрос документов? Времени на подготовку — дни, не недели. Юристы DATUM готовят позицию и сопровождают взаимодействие с инспектором от первого запроса до завершения проверки.

Подготовиться к проверке РКН

Три практических сценария для CEO: как развивается дело по ч. 8

Сценарий 1. Облачная CRM с серверами в Германии. Российская компания использует HubSpot для управления клиентской базой. При регистрации лида данные записываются в датацентр в Германии; затем часть атрибутов синхронизируется в российскую систему. РКН при дистанционном мониторинге фиксирует IP-адреса европейских серверов в запросах API. Возбуждается дело по признаку 1 (первичная запись за рубежом) и признаку 3 (отсутствует уведомление о трансграничной передаче в Германию). Параллельно — ч. 10 ст. 13.11 за неуведомление о намерении обрабатывать. Суммарный потенциальный штраф — до 6,3 млн рублей. Стратегия: до прихода инспектора перенести первичную запись в российский экземпляр и подать уведомление о трансграничной передаче. Это исключает состав ч. 8 и снижает ч. 10 до минимального порога.

Сценарий 2. Маркетинговая платформа с частичной локализацией. Оператор ведёт российскую базу с именами и телефонами клиентов, однако история поведения на сайте и сегменты для ретаргетинга хранятся только в Meta Audience Network (сервер в США). В уведомлении по ст. 22 ФЗ-152 эти данные указаны как обрабатываемые. Признак 2 присутствует: локализованная копия неполна. Доказательство — сравнение перечня атрибутов в уведомлении со схемой фактических баз данных. Суд (арбитражный суд региона, 2025 год) квалифицировал аналогичное дело по ч. 8, назначив штраф в нижней части диапазона с учётом устранения нарушения до вынесения постановления. Стратегия: локализовать все атрибуты или исключить их из перечня обрабатываемых данных с документальным обоснованием.

Сценарий 3. Повторное нарушение после предписания. Компания получила предписание РКН по итогам проверки 2024 года — нарушение по ч. 8 выявлено и зафиксировано. Оператор провёл частичную миграцию, однако резервные копии по-прежнему хранятся на зарубежном облачном сервере. При контрольной проверке нарушение подтверждено. Применяется ч. 9 ст. 13.11 — штраф от 6 до 18 млн рублей. При этом инвестиции в ИБ за три предшествующих года составили менее 0,1% выручки: льгота по ст. 4.1 КоАП (снижение до 1/10 минимума) недоступна. Стратегия при возбуждении дела: зафиксировать факт частичного исполнения предписания как смягчающее обстоятельство, обеспечить документальные свидетельства принятых мер, обратиться за сопровождением до составления протокола.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления по ч. 8, 9, 15 ст. 13.11 КоАП
Аудит соответствия 152-ФЗ — проверка признаков нарушения по ч. 8 до проверки РКН
Сопровождение проверок РКН — представление интересов от первого запроса до закрытия дела

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 действует редакция ст. 13.11 КоАП, введённая ФЗ-420 от 30.11.2024. Статья расширена с 7 до 18 частей. По ч. 8 (нарушение локализации) штраф для юридического лица — 1 000 000 — 6 000 000 ₽. По ч. 9 (повторное нарушение по ч. 8) — 6 000 000 — 18 000 000 ₽. По ч. 12–14 (утечки) — от 3 до 15 млн рублей в зависимости от масштаба. По ч. 15 (оборотный при повторных утечках) — 1–3% годовой выручки, не менее 20 млн и не более 500 млн рублей.

2. Что такое оборотный штраф 1–3% по ч. 15 ст. 13.11?

Оборотный штраф по ч. 15 ст. 13.11 КоАП — санкция, рассчитываемая от совокупной выручки оператора за предшествующий календарный год. Применяется при повторном совершении нарушений, квалифицированных по ч. 12–14, 16–18 или ч. 15 той же статьи. Нижняя граница — 20 млн рублей вне зависимости от расчётной суммы. Верхняя — 500 млн рублей. К оборотному штрафу не применяется снижение за досрочную уплату по ст. 32.2 КоАП. Инвестиции в ИБ не менее 0,1% выручки за три года позволяют снизить штраф до 1/10 минимума по ст. 4.1 КоАП, но не ниже 15 млн рублей.

3. Когда применяется минимум 20 млн рублей по ч. 15?

Минимум 20 млн рублей по ч. 15 ст. 13.11 КоАП применяется, если расчётная сумма штрафа (1–3% выручки) оказалась ниже этой величины. Например, оператор с годовой выручкой 500 млн рублей при ставке 1% получит расчётный штраф 5 млн рублей — но фактически заплатит 20 млн. Исключение — льгота по ст. 4.1 КоАП при подтверждённых инвестициях в ИБ: тогда минимум снижается до 15 млн рублей.

4. Можно ли заменить штраф по ч. 8 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП теоретически возможна для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии ущерба. Однако судебная практика по ч. 8 ст. 13.11 в редакции с 30.05.2025 пока немногочисленна. Для крупных операторов (средний и крупный бизнес) замена на предупреждение маловероятна: РКН трактует нарушение локализации как системное, а не разовое. Оспаривание через ст. 4.1 КоАП (смягчающие обстоятельства, добровольное устранение) — более реалистичный инструмент снижения санкции.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Возврат к мировым судьям означает изменение тактики защиты: процессуальные сроки, порядок обжалования и практика применения ст. 4.1.1 КоАП у мировых судей отличаются от арбитражной. Апелляция подаётся в районный суд, кассация — в суд субъекта РФ.

Итог

Состав по ч. 8 ст. 13.11 КоАП образуется при наличии любого из трёх признаков: первичная запись в иностранной базе, неполнота локализованной копии или передача данных за рубеж без уведомления РКН. Санкция — до 6 млн за первое нарушение и до 18 млн при повторе. Нарушение локализации, повлёкшее утечку, создаёт условие для применения оборотного штрафа по ч. 15 — от 20 млн рублей.

Практика DATUM в части защиты операторов по ч. 8 ст. 13.11 охватывает все стадии: аудит архитектуры баз данных до проверки, сопровождение при взаимодействии с инспектором и оспаривание постановлений в суде с применением ст. 4.1 и ст. 4.1.1 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508 от 28.12.2025.

22 октября 2027 года