Перейти к содержанию
аналитика 4 февраля 2028 По состоянию на 4 февраля 2028

Ст. 272.1 УК с 11.12.2024: до 10 лет за тяжкие последствия

Ст. 272.1 УК РФ — уголовная ответственность за незаконные сбор, хранение, передачу или использование компьютерной информации, содержащей персональные данные. Действует с 11.12.2024. Максимальное наказание по ч. 5 — лишение свободы до 10 лет.
С 30.05.2025 параллельно действует обновлённая ст. 13.11 КоАП: оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Уголовная и административная ответственность не исключают друг друга.
→ Если вы CEO и в компании обнаружена утечка ПДн — срок уведомления РКН 24 часа не восстанавливается. Оцените риски сейчас.

С 11 декабря 2024 года в России действует новый уголовный состав — ст. 272.1 УК РФ, введённая ФЗ-421 от 30.11.2024. Для генерального директора это означает, что ответственность за нарушения в сфере персональных данных вышла за рамки административного штрафа. Одновременно с 30.05.2025 вступила в силу редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024: 18 частей вместо семи, оборотные штрафы до 500 млн ₽. Этот материал разбирает, кому и при каких условиях грозит уголовное преследование, как оно соотносится с административной ответственностью и что снижает риск.

Что изменила ст. 272.1 УК: состав и пределы наказания

Статья 272.1 УК РФ введена ФЗ-421 от 30.11.2024 и охватывает незаконные действия с компьютерной информацией, содержащей персональные данные: сбор, хранение, передачу или использование без законного основания. Это принципиально иная логика по сравнению со ст. 272 УК (неправомерный доступ) — новый состав направлен именно против оборота ПДн, а не просто против взлома систем.

«Ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024, действует с 11.12.2024) — незаконные сбор, хранение, передача или использование компьютерной информации с персональными данными. Ч. 4 — трансграничная передача незаконно полученных ПДн, до 8 лет лишения свободы. Ч. 5 — тяжкие последствия, до 10 лет лишения свободы.»

Ответственность по базовым частям ст. 272.1 УК затрагивает в том числе должностных лиц компаний-операторов. Уголовное дело возможно не только против исполнителя (системного администратора, разработчика), но и против руководителя, если установлено его участие в незаконной схеме или бездействие при очевидных признаках нарушения. Показательно, что в 2024 году по делу о кражах из торговой сети «Детский мир» уголовное преследование было возбуждено против конкретного исполнителя — это публичный сигнал о направлении правоприменения.

Квалифицирующие признаки, ужесточающие наказание по ст. 272.1 УК: совершение организованной группой, причинение крупного ущерба, использование служебного положения, трансграничная передача незаконно полученных данных (ч. 4), тяжкие последствия (ч. 5). Понятие «тяжких последствий» в тексте закона не раскрыто — его содержание формируется правоприменительной практикой. Применительно к ПДн к таким последствиям могут относиться масштабные финансовые потери субъектов, вред здоровью, публичное разглашение специальных категорий ПДн.

Получили запрос от следователя или уведомление о проверке?

Уголовное дело по ст. 272.1 УК и административное по ст. 13.11 КоАП могут возбуждаться параллельно. Для CEO критически важно разграничить личную ответственность и ответственность юрлица уже на стадии проверки. Промедление сужает процессуальные возможности.

Защитить от штрафа по 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как соотносятся ст. 272.1 УК и ст. 13.11 КоАП с 30.05.2025?

ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП с 7 до 18 частей. С 30.05.2025 административная ответственность за нарушения в сфере ПДн охватывает: незаконную обработку (ч. 1–2), нарушение локализации (ч. 8), неуведомление об утечке (ч. 11), а также прямые составы за утечки в зависимости от масштаба — от 1 000 субъектов (ч. 12) до более 100 000 субъектов (ч. 14).

«Ст. 13.11 ч. 15 КоАП (ред. с 30.05.2025) — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Применяется при наличии предыдущего привлечения по ч. 12–14, 15–18 ст. 13.11.»

Уголовная ответственность по ст. 272.1 УК и административная по ст. 13.11 КоАП не поглощают друг друга. Компания платит штраф по КоАП, конкретные физические лица (руководитель, ответственный за ИБ) могут одновременно привлекаться в уголовном порядке. Разграничение проходит по субъекту: юрлицо — только административная ответственность, физлицо — уголовная или административная в зависимости от состава и умысла.

Ст. 4.1 КоАП предусматривает механизм снижения оборотного штрафа. Если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 и ч. 18 ст. 13.11 КоАП рассчитывается как одна десятая минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это подтверждённый механизм снижения нагрузки, закреплённый в примечании 3.4-2 к ст. 4.1 КоАП (ФЗ-420).

Когда применяется замена штрафа на предупреждение по ст. 4.1.1 КоАП?

Ст. 4.1.1 КоАП позволяет заменить административный штраф предупреждением для субъектов малого и среднего предпринимательства при отсутствии вреда и первичности нарушения. Однако для ч. 15 и ч. 18 ст. 13.11 КоАП (оборотные составы) эта замена прямо исключена. По остальным частям — применима при соблюдении условий.

Что подготовить для снижения рисков по ст. 272.1 УК и ст. 13.11 КоАП

  • Актуальное уведомление о намерении обрабатывать ПДн в реестре РКН (pd.rkn.gov.ru) — проверить соответствие фактическим процессам
  • Отдельные согласия работников и клиентов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действуют с 01.09.2025)
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с описанием полномочий
  • Регламент реагирования на инциденты с ПДн: процедура фиксации, первичного уведомления РКН за 24 часа и отчёта за 72 часа
  • Документация об инвестициях в ИБ за 3 года — для применения примечания 3.4-2 к ст. 4.1 КоАП при оборотном штрафе

Практика 2025–2026 годов по новым составам ст. 13.11 КоАП только складывается. По данным аналитического отчёта InfoWatch за январь 2026 года, за весь 2025 год назначено шесть административных штрафов по новым нормам на общую сумму около 570 тыс. ₽ — суды и регулятор накапливают практику. При этом число зафиксированных компрометаций баз в 2025 году составило 118 случаев. Разрыв между масштабом нарушений и уровнем правоприменения сокращается: арбитражные суды (до 28.12.2025) и мировые судьи (с 28.12.2025 по ФЗ-508) получили первые дела по ч. 12–14.

Типовые сценарии для CEO: от проверки до уголовного дела

Сценарий 1. Утечка обнаружена, уведомление РКН не направлено в срок. Компания фиксирует инцидент, но первичное уведомление направляется в РКН на третьи сутки вместо первых. По ч. 3.1 ст. 21 ФЗ-152 срок составляет 24 часа с момента обнаружения. Нарушение этого срока образует самостоятельный состав по ч. 11 ст. 13.11 КоАП — штраф для юрлица 1–3 млн ₽. Параллельно РКН может назначить внеплановую проверку, по итогам которой выявляются и другие нарушения. Стратегия: немедленно направить уведомление (даже неполное), зафиксировать момент обнаружения, привлечь юриста для сопровождения коммуникации с регулятором.

Сценарий 2. Повторная утечка — оборотный штраф по ч. 15 ст. 13.11 КоАП. Компания уже привлекалась по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов, штраф 3–5 млн ₽). При новой утечке сопоставимого масштаба применяется ч. 15: 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за добровольную досрочную уплату по ст. 32.2 КоАП к оборотным штрафам не применяется. Стратегия: до возбуждения дела — зафиксировать инвестиции в ИБ за три года для применения примечания 3.4-2 к ст. 4.1 КоАП; если дело возбуждено — обжаловать в арбитраже с привлечением специализированного юриста.

Сценарий 3. Уголовное дело по ст. 272.1 УК против сотрудника с выходом на руководителя. Следствие устанавливает, что системный администратор передавал базы данных клиентов третьим лицам. Проверяется, знал ли руководитель или должен был знать. Если установлено использование служебного положения с ведома менеджмента — квалификация возможна и по должностным лицам. Параллельно юрлицо получает административный протокол по ч. 12–14 ст. 13.11 КоАП. Стратегия: немедленная внутренняя проверка, приостановление доступа к данным для лица, в отношении которого ведётся проверка, привлечение адвоката для конкретного сотрудника и юриста по ПДн для компании.

Если CEO получил уведомление о проверке РКН или возбуждении дела по ст. 272.1 УК — промедление с правовой позицией сужает возможности в суде. Срок на первичное уведомление об утечке — 24 часа (ч. 3.1 ст. 21 ФЗ-152), на отчёт — 72 часа (Приказ РКН №187). Оба срока не восстанавливаются.

Защитить от штрафа по 13.11

Как это работает на практике: два показательных дела

Кейс 1. В деле Арбитражного суда Москвы (дело № А40-351064/2025) образовательная организация допустила утечку более 100 000 субъектов ПДн. Нарушение квалифицировано по ч. 14 ст. 13.11 КоАП (штраф для юрлиц 10–15 млн ₽). Суд учёл, что организация имела статус микропредприятия, и по правилам ч. 1 ст. 4.1.2 КоАП применил расчёт по нормам для индивидуальных предпринимателей — итоговый штраф составил 400 000 ₽. Это первое публичное применение новых норм ФЗ-420 в отношении крупной утечки.

Кейс 2. Платформа по инвестиционным проектам (Арбитражный суд Санкт-Петербурга и Ленинградской области, дело № А56-4733/2026) столкнулась с хакерской атакой, в результате которой утекли данные около 70 000 субъектов: ФИО, должность, служебный email, телефон. Квалификация — ч. 14 ст. 13.11 КоАП. Суд применил смягчающие обстоятельства. Оба дела показывают: суды готовы использовать весь арсенал ст. 4.1 КоАП при наличии обоснования — но без юридического сопровождения это преимущество не реализуется.

Связанные услуги DATUM

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 статья 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 содержит 18 частей. Для юридических лиц ключевые диапазоны: ч. 1 (незаконная обработка) — 150 000–300 000 ₽; ч. 2 (обработка без письменного согласия) — 300 000–700 000 ₽; ч. 8 (нарушение локализации) — 1–6 млн ₽; ч. 11 (неуведомление об утечке) — 1–3 млн ₽; ч. 12–14 (утечки по масштабу субъектов) — от 3 до 15 млн ₽; ч. 15 (оборотный при повторной утечке) — 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.

2. Что такое оборотный штраф 1–3% и как он считается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушений по ч. 12–14, 16–18 или ч. 15. База расчёта — совокупная выручка юридического лица за предшествующий календарный год. Ставка — от 1 до 3%. Установлен жёсткий минимум 20 млн ₽ и максимум 500 млн ₽. Скидка за добровольную уплату по ст. 32.2 КоАП на оборотные штрафы не распространяется. Если оператор документально подтвердил инвестиции в ИБ на уровне не менее 0,1% выручки за три предыдущих года, штраф снижается до одной десятой минимума — но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП).

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется в том случае, если расчётная сумма 1–3% от годовой выручки оказывается ниже этого порога. Например, при выручке 500 млн ₽ и ставке 1% расчётная сумма составит 5 млн ₽ — суд назначит не менее 20 млн ₽. Для компаний с выручкой выше примерно 667 млн ₽ минимум утрачивает практическое значение при ставке 3%. Если подтверждены инвестиции в ИБ, минимум снижается до 15 млн ₽.

4. Можно ли заменить штраф по ст. 13.11 КоАП предупреждением?

Замена штрафа предупреждением по ст. 4.1.1 КоАП доступна для субъектов малого и среднего предпринимательства при отсутствии причинённого вреда и первичности нарушения. Однако для оборотных составов — ч. 15 и ч. 18 ст. 13.11 КоАП — замена прямо исключена законом. По остальным частям возможна: в 2025–2026 годах зафиксированы случаи, когда микропредприятия получали предупреждение по ч. 1 ст. 13.11 даже при утечке данных работников и соискателей.

5. Какая подсудность дел по ст. 13.11 КоАП действует после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 подсудность была у арбитражных судов. Возврат к мировым судьям меняет процессуальный контекст: иная процедура обжалования, иная судебная культура по данной категории дел. Для CEO это означает необходимость привлекать юриста, имеющего опыт в судах общей юрисдикции наряду с арбитражной практикой.

Итог

Ст. 272.1 УК РФ с 11.12.2024 и обновлённая ст. 13.11 КоАП с 30.05.2025 создали двухуровневую систему ответственности за нарушения в сфере ПДн. Административный штраф — на юрлицо, уголовное преследование — на физических лиц, включая руководителей. Оборотный штраф по ч. 15 ст. 13.11 КоАП при повторной утечке начинается от 20 млн ₽ и может достигать 500 млн ₽. Снижение нагрузки возможно через документирование инвестиций в ИБ, применение ст. 4.1.1 КоАП (для первичных нарушений вне оборотных составов) и профессиональное сопровождение в суде.

Юристы DATUM сопровождают операторов ПДн на всех стадиях: от аудита и подготовки ОРД до обжалования постановлений по ст. 13.11 КоАП в арбитраже и защиты при уголовном производстве по ст. 272.1 УК.

Смотрите также

Есть ситуация с РКН, ст. 272.1 УК или оборотным штрафом?

Оценим риски и предложим план действий. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. Представляем интересы в РКН и арбитраже.

Защитить от штрафа по 13.11

+7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

«Ответственность за каждый байт»

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508.

4 февраля 2028 года