аналитика 27 января 2028 По состоянию на 27 января 2028

Срок давности по ч. 13 ст. 13.11

Срок давности по ч. 13 ст. 13.11 КоАП составляет один год с момента совершения правонарушения — утечки персональных данных от 10 000 до 100 000 субъектов.

Штраф по этой части для юридического лица — 5–10 млн ₽ в редакции ФЗ-420 от 30.11.2024, действующей с 30.05.2025. При повторном нарушении применяется оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Если вы CEO и получили запрос РКН или уведомление о возбуждении дела по ч. 13 — срок давности истечёт через год, но до этого компания успеет сменить категорию нарушителя на повторную. → Проверьте позицию по делу.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, отдельные составы за утечки по масштабу базы. Часть 13 закрывает диапазон от 10 000 до 100 000 пострадавших субъектов или от 100 000 до 1 000 000 идентификаторов. Именно к ней относится большинство корпоративных инцидентов среднего масштаба. В этой статье разобраны срок давности, механизм его исчисления, риски повторности и аргументы для арбитражной защиты.

Что такое ч. 13 ст. 13.11 КоАП и почему срок давности критичен для CEO?

Часть 13 ст. 13.11 КоАП в редакции с 30.05.2025 устанавливает ответственность за утечку персональных данных от 10 000 до 100 000 субъектов либо от 100 000 до 1 000 000 уникальных идентификаторов. Штраф для юридического лица — 5 000 000–10 000 000 ₽. Для должностных лиц и ИП диапазоны иные; уточняйте по актуальному тексту КоАП перед принятием процессуальных решений.

Срок давности привлечения к административной ответственности по делам о нарушениях в сфере персональных данных составляет один год с момента совершения правонарушения. Это установлено ч. 1 ст. 4.5 КоАП для категории нарушений законодательства о персональных данных. Момент совершения — не дата обнаружения утечки оператором или РКН, а дата фактического неправомерного распространения, передачи или иного действия с данными.

«Ст. 4.5 КоАП — постановление по делу об административном правонарушении в области законодательства о персональных данных не может быть вынесено по истечении одного года со дня совершения правонарушения.»

Для CEO это означает следующее. Если утечка произошла в январе 2026 года, а РКН возбудил дело в декабре 2026 года — у регулятора остаётся менее месяца до истечения срока. Вынести постановление после 31 января 2027 года суд или орган не вправе. Однако в этом же сценарии компания уже числится в базе РКН как лицо, допустившее утечку по ч. 13, — и при следующем инциденте будет применена ч. 15 (оборотный штраф) как повторное нарушение.

Получили уведомление о возбуждении дела по ч. 13 ст. 13.11?

Если вы CEO и дело уже возбуждено, позиция по срокам формируется в первые дни после получения протокола. Ошибка в расчёте даты совершения правонарушения или пропуск процессуального аргумента о сроке давности — это штраф от 5 до 10 млн ₽ без возможности пересмотра. Юристы DATUM проверят дату совершения, оценят процессуальные основания для прекращения и составят позицию для суда.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как исчисляется срок давности по ч. 13: момент совершения и момент обнаружения

Ключевая дискуссия в делах по ст. 13.11 — разграничение момента совершения правонарушения и момента его обнаружения. Ст. 4.5 КоАП ориентируется на совершение, а не на обнаружение. Это создаёт два противоположных риска для оператора.

Риск первый — давность истекла, но дело возбуждено. РКН нередко возбуждает производство через несколько месяцев после того, как информация об утечке появилась в публичном поле или в даркнете. Если оператор может доказать, что фактическая утечка произошла более года назад, — это основание для прекращения производства по п. 6 ч. 1 ст. 24.5 КоАП (истечение сроков давности). Доказательствами служат: логи систем, записи SIEM, даты появления данных на форумах, технические заключения.

Риск второй — срок ещё не истёк, но оператор думает, что истёк. При длящемся характере правонарушения срок давности начинает течь с момента его обнаружения или прекращения. Если утечка носила систематический характер (например, открытый API передавал данные в течение нескольких месяцев), суд может квалифицировать правонарушение как длящееся. Тогда год считается с даты обнаружения, а не с момента первой передачи данных.

«Ст. 4.5 ч. 2 КоАП — при длящемся правонарушении сроки давности начинают исчисляться со дня обнаружения правонарушения.»

Разграничение между разовой и длящейся утечкой — предмет доказывания в каждом деле. Техническая экспертиза, анализ логов доступа к базе данных и хронология публикаций в даркнете формируют доказательную базу позиции.

Что меняет ФЗ-420 от 30.11.2024: новые составы и риск оборотного штрафа

До вступления ФЗ-420 в силу (30.05.2025) ст. 13.11 содержала семь частей. Максимальный штраф для юридического лица не превышал 500 000 ₽. После реформы картина изменилась принципиально.

Новая архитектура статьи предусматривает три уровня ответственности за утечку в зависимости от масштаба:

Ч. 12 — от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов: 3 000 000–5 000 000 ₽.
Ч. 13 — от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов: 5 000 000–10 000 000 ₽.
Ч. 14 — свыше 100 000 субъектов или свыше 1 000 000 идентификаторов: 10 000 000–15 000 000 ₽.

Оборотный штраф по ч. 15 применяется при повторном совершении нарушений по ч. 12–14 лицом, ранее привлекавшимся по этим же частям либо по ч. 15–18. Размер — 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

«Ч. 15 ст. 13.11 КоАП (ред. с 30.05.2025) — оборотный штраф 1–3% совокупной выручки за прошлый календарный год, не менее 20 000 000 ₽ и не более 500 000 000 ₽.»

Для компании с годовой выручкой 2 млрд ₽ оборотный штраф при ставке 2% составит 40 млн ₽. Привлечение по ч. 13 сегодня означает, что следующий инцидент — даже небольшой, на 1 000 субъектов — автоматически переходит в категорию повторного нарушения с минимальным штрафом 20 млн ₽.

Если компания уже привлекалась по ч. 12–14 ст. 13.11 — следующая утечка запустит оборотный штраф по ч. 15. Минимум — 20 млн ₽. Срок давности по первому делу не обнуляет статус повторности. Оцените позицию до следующего инцидента.

Защитить от штрафа 13.11

Как суды применяют ст. 4.1 и ст. 4.1.1 КоАП при делах по ч. 13?

Срок давности — не единственный процессуальный инструмент защиты. Два других механизма: смягчение по ст. 4.1 КоАП и замена штрафа предупреждением по ст. 4.1.1 КоАП.

Ст. 4.1 КоАП — снижение штрафа. Суд вправе снизить штраф ниже минимума при наличии обстоятельств, существенно уменьшающих общественную опасность. Для дел по ч. 13 практика складывается осторожно: суды принимают во внимание оперативное уведомление РКН в 24 часа, своевременный 72-часовой отчёт по Приказу РКН №187, добровольное устранение последствий, инвестиции в информационную безопасность. Примечание 3.4-2 к ст. 4.1 КоАП предусматривает специальный механизм: при подтверждённых инвестициях в ИБ не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15, ч. 18) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. По ч. 13 (не оборотный состав) это примечание напрямую не применяется, однако инвестиции в ИБ учитываются как смягчающее обстоятельство.

Ст. 4.1.1 КоАП — замена на предупреждение. Возможна для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии имущественного вреда. К оборотным составам (ч. 15, ч. 18) не применяется. По ч. 13 — применимо теоретически, но суды оценивают масштаб утечки (10 000–100 000 субъектов) как признак существенной общественной опасности. На практике предупреждение по ч. 13 маловероятно, однако для микропредприятий прецеденты допустимы.

Что подготовить CEO для арбитражной защиты по ч. 13 ст. 13.11

Технический отчёт с подтверждённой датой и механизмом утечки — для аргумента о сроке давности или длящемся нарушении.
Документы об уведомлении РКН в 24 часа и 72-часовой отчёт по Приказу РКН №187 — как доказательство добросовестности.
Финансовую отчётность за последние три года и документы об инвестициях в ИБ — для применения примечания 3.4-2 к ст. 4.1 КоАП по оборотным составам.
Выписку из реестра операторов ПДн и комплект ОРД — для опровержения доводов об отсутствии организационных мер.
Сведения о категории субъекта (МСП, микропредприятие) — для оценки применимости ст. 4.1.1 КоАП.

Типовые сценарии по ч. 13 ст. 13.11: какой исход реален?

Сценарий 1. Утечка произошла, дело возбуждено через 11 месяцев. Ситуация: компания обнаружила утечку 35 000 субъектов в феврале 2026 года. РКН возбудил дело в январе 2027 года. Доказательства: логи SIEM фиксируют дату инцидента. Вероятный исход: у регулятора осталось менее двух месяцев до истечения годичного срока. При наличии чётких технических доказательств даты совершения — ходатайство о прекращении производства по п. 6 ч. 1 ст. 24.5 КоАП. Стратегия: немедленно собрать технические доказательства, направить ходатайство в суд до вынесения постановления.

Сценарий 2. Утечка через открытый API в течение трёх месяцев — длящееся нарушение. Ситуация: API без авторизации передавал данные 50 000 клиентов с марта по май 2026 года. РКН узнал в ноябре 2026 года. Доказательства: даты запросов к API в логах, первая публикация базы в даркнете — май 2026 года. Вероятный исход: суд квалифицирует как длящееся — срок считается с ноября 2026 года. Постановление может быть вынесено до ноября 2027 года. Стратегия: оспорить квалификацию как длящегося, доказывать разовый характер через хронологию технического инцидента.

Сценарий 3. Повторное нарушение — переход на ч. 15. Ситуация: компания привлечена по ч. 13 в 2026 году (штраф 7 млн ₽), через год — новая утечка на 2 000 субъектов (ч. 12). Доказательства: постановление 2026 года в базе данных РКН. Вероятный исход: нарушение квалифицируется по ч. 15 (оборотный) независимо от масштаба новой утечки. При выручке 1 млрд ₽ — минимальный штраф 20 млн ₽. Стратегия: после первого привлечения немедленно инвестировать в ИБ, документировать расходы для применения примечания 3.4-2 к ст. 4.1 КоАП.

Практика судов по ч. 13 ст. 13.11: первые дела после ФЗ-420

Кейс 1. Арбитражный суд Москвы рассмотрел дело о утечке 26 миллионов записей (дело № А40-263126/2025). Суд назначил минимальный штраф — 150 000 ₽ — поскольку инцидент произошёл до 01.06.2025 и квалифицировался по старым нормам ч. 1 ст. 13.11 в прежней редакции. Это дело демонстрирует принципиальную разницу между периодами: те же 26 млн записей после 30.05.2025 подпадают под ч. 14 с минимальным штрафом 10 млн ₽.

Кейс 2. Арбитражный суд Санкт-Петербурга и Ленинградской области рассмотрел дело № А56-4733/2026 об утечке около 70 000 субъектов (ФИО, должность, служебный email, телефон) в результате хакерской атаки на цифровую платформу инвестиционных проектов. Утечка квалифицирована по ч. 14 ст. 13.11 (свыше 100 000 идентификаторов). Суд применил смягчающие обстоятельства. Дело стало одним из первых, где суд разбирал состав новой редакции статьи.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП.
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний.
Аудит соответствия 152-ФЗ — проверка 38 пунктов, отчёт с приоритизированным планом устранения нарушений.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей в редакции ФЗ-420 от 30.11.2024. За утечку персональных данных предусмотрены штрафы в зависимости от масштаба: ч. 12 — 3–5 млн ₽ (1 000–10 000 субъектов), ч. 13 — 5–10 млн ₽ (10 000–100 000 субъектов), ч. 14 — 10–15 млн ₽ (свыше 100 000 субъектов). За повторную утечку применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% по ч. 15 ст. 13.11?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушений, предусмотренных ч. 12–14. Он рассчитывается как 1–3% совокупной выручки компании за предшествующий календарный год. Минимальный размер — 20 млн ₽, максимальный — 500 млн ₽. Для компании с выручкой 1 млрд ₽ при ставке 3% штраф составит 30 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимум 20 млн ₽ применяется, когда расчётная сумма 1–3% выручки оказывается ниже этого порога. Например, при выручке 500 млн ₽ и ставке 1% расчётная сумма — 5 млн ₽, что ниже минимума. Фактический штраф составит 20 млн ₽. Минимум применяется автоматически как нижняя граница, независимо от размера бизнеса.

4. Можно ли заменить штраф по ч. 13 ст. 13.11 на предупреждение?

Теоретически — да, на основании ст. 4.1.1 КоАП, если компания является субъектом малого или среднего предпринимательства, нарушение допущено впервые и не причинило имущественного вреда. Однако масштаб утечки по ч. 13 (от 10 000 субъектов) суды расценивают как существенную общественную опасность. На практике замена на предупреждение по ч. 13 применяется крайне редко и только для микропредприятий. К оборотным составам (ч. 15) замена на предупреждение не применяется в принципе.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28.12.2025 дела по ст. 13.11 КоАП вновь рассматривают мировые судьи. С момента вступления в силу ФЗ-420 (30.05.2025) по 27.12.2025 включительно дела рассматривались арбитражными судами. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. Это влияет на порядок обжалования: решения мировых судей обжалуются в районный суд, затем — в региональный суд общей юрисдикции, а не в арбитражную апелляцию.

Итог

Срок давности по ч. 13 ст. 13.11 КоАП составляет один год с момента совершения правонарушения. Для разовых утечек это жёсткая дата; для длящихся нарушений срок исчисляется с момента обнаружения. Разграничение этих двух квалификаций — ключевой аргумент в арбитражной защите.

DATUM сопровождает компании в делах по ст. 13.11 КоАП с момента возбуждения производства. Практика включает анализ хронологии инцидента, формирование технической доказательной базы, ходатайства о прекращении производства по истечении сроков давности и применение смягчающих оснований по ст. 4.1 и ст. 4.1.1 КоАП.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025, подсудность после ФЗ-508 от 28.12.2025.

27 января 2028 года