аналитика 19 января 2027 По состоянию на 19 января 2027

Старая vs новая редакция ст. 13.11 КоАП с 30.05.2025

С 30.05.2025 ст. 13.11 КоАП расширена с 7 до 18 частей. Оборотный штраф за повторную утечку — до 500 млн ₽.

ФЗ-420 от 30.11.2024 кардинально перестроил санкции: появились составы за неуведомление об утечке (ч. 11, 1–3 млн ₽), за нарушение локализации (ч. 8, 1–6 млн ₽) и оборотный штраф при повторности (ч. 15, не менее 20 млн ₽).

Если вы юрист и проверяете комплаенс компании — разбор ниже покажет, какие составы применяются к инцидентам до 30.05.2025 и после, и как изменилась судебная практика. → Перейти к разбору

До 30.05.2025 ст. 13.11 КоАП содержала 7 частей, а максимальный штраф для юридического лица составлял 500 тыс. ₽. С этой даты норма действует в редакции ФЗ-420 от 30.11.2024: 18 частей, новые составы, оборотная ответственность. Суды в 2025–2026 годах применяли обе редакции — выбор зависит от момента совершения нарушения. Юристу важно различать нумерацию старых и новых частей, понимать переходные правила и знать, как суды квалифицируют «пограничные» дела. В этом материале — сравнение ключевых составов, анализ судебной практики и алгоритм работы с делами по обеим редакциям.

Как изменилась структура ст. 13.11 КоАП после ФЗ-420?

В редакции до ФЗ-420 ст. 13.11 КоАП охватывала семь составов: незаконная обработка (ч. 1), обработка без письменного согласия (ч. 2), непубликация политики (ч. 3), непредоставление информации субъекту (ч. 4), неисполнение требования об уточнении или уничтожении ПДн (ч. 5), нарушение хранения на бумажных носителях (ч. 6), невыполнение обязанности по обезличиванию госорганом (ч. 7). Штраф для юрлица в большинстве частей не превышал 500 тыс. ₽.

ФЗ-420 добавил одиннадцать новых составов и повторные части к ряду старых. Прежние ч. 1–7 сохранены с изменёнными диапазонами и дополнены частями 1.1, 2.1, 5.1. Полностью новые составы — ч. 8–18 — касаются локализации, уведомления РКН о намерении обрабатывать, уведомления об утечке, градуированных санкций за утечку по числу субъектов, оборотного штрафа и биометрии.

«Ч. 15 ст. 13.11 КоАП (ред. с 30.05.2025) — оборотный штраф за повторную утечку (повторность по ч. 12–14, 15–18): 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Снижение до 1/10 минимума возможно при инвестициях в ИБ ≥ 0,1% выручки за 3 года (примечание 3.4-2 к ст. 4.1 КоАП), но не менее 15 млн ₽ и не более 50 млн ₽.»

Ключевое следствие для юриста: нумерация составов в старой и новой редакциях не совпадает. Часть 1 старой редакции (незаконная обработка) соответствует ч. 1 новой, но штраф изменился с 60–100 тыс. ₽ до 150–300 тыс. ₽ для юрлица. Часть 2 (согласие) — с 15–75 тыс. ₽ до 300–700 тыс. ₽. Это принципиально при обжаловании протоколов, составленных в переходный период.

Нужно разобраться, какая редакция применяется к вашему делу?

Если вы юрист и анализируете дело с инцидентом, датированным до или около 30.05.2025, — квалификация состава и применимая санкция зависят от точной даты нарушения. Ошибка в выборе редакции на этапе протокола лишает части аргументов при обжаловании. Юристы DATUM проведут аудит обработки ПДн и идентифицируют применимые составы.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие составы появились впервые с 30.05.2025?

Три группы новых составов меняют логику ответственности по 152-ФЗ для оператора персональных данных.

Градуированная ответственность за утечку (ч. 12–14). До ФЗ-420 факт утечки сам по себе не образовывал самостоятельного состава — нарушение квалифицировалось через ч. 1 или ч. 2 прежней редакции. Теперь размер санкции зависит от числа субъектов: 1–10 тыс. субъектов (или 10–100 тыс. идентификаторов) — 3–5 млн ₽ (ч. 12); 10–100 тыс. субъектов — 5–10 млн ₽ (ч. 13); свыше 100 тыс. субъектов — 10–15 млн ₽ (ч. 14). Это прямое следствие позиции законодателя: масштаб утечки напрямую определяет санкцию.

Неуведомление об утечке (ч. 11). Обязанность уведомить РКН в течение 24 часов установлена ч. 3.1 ст. 21 ФЗ-152 и детализирована Приказом РКН №187 от 14.11.2022. До ФЗ-420 неисполнение этой обязанности не влекло отдельного состава. С 30.05.2025 — штраф 1–3 млн ₽ по ч. 11 ст. 13.11. Через 72 часа оператор обязан представить отчёт о результатах расследования — задержка также подпадает под этот состав.

Ответственность за нарушение локализации (ч. 8–9). Требование ч. 5 ст. 18 ФЗ-152 о локализации записи, систематизации, накопления, хранения, уточнения и извлечения ПДн граждан РФ в базах на территории России действует с 2015 года. До ФЗ-420 нарушение каралось по ч. 8 прежней редакции со штрафом до 6 млн ₽. Новая редакция сохраняет диапазон 1–6 млн ₽ (ч. 8), но добавляет повторный состав — ч. 9 с санкцией 6–18 млн ₽.

«Ч. 11 ст. 13.11 КоАП (ред. с 30.05.2025) — неуведомление или несвоевременное уведомление РКН об инциденте: штраф для юрлица 1 000 000 – 3 000 000 ₽. Применяется независимо от того, повлекла ли утечка ответственность по ч. 12–14.»

Как суды применяют переходные правила между редакциями?

Основное правило административного права: применяется редакция, действовавшая на момент совершения нарушения (ч. 1 ст. 1.7 КоАП). Если новая редакция смягчает ответственность — применяется она (ч. 2 ст. 1.7 КоАП). Новая редакция во всех значимых составах ужесточает санкцию, поэтому к нарушениям до 30.05.2025 применяется прежняя редакция.

Кейс АС Москвы (дело № А40-263126/2025) показывает эту логику: утечка 26 млн записей произошла до 01.06.2025. Суд применил ч. 1 ст. 13.11 старой редакции и назначил минимальный штраф 150 тыс. ₽ — несмотря на масштаб инцидента. Если бы утечка произошла после 30.05.2025, составы ч. 14 (свыше 100 тыс. субъектов, 10–15 млн ₽) и ч. 11 (неуведомление, 1–3 млн ₽) применялись бы кумулятивно.

Суды 2025–2026 годов выработали несколько позиций по пограничным ситуациям. Во-первых, если нарушение длящееся (например, отсутствие политики конфиденциальности), момент его совершения — дата обнаружения при проверке, а не дата первичного нарушения. Это означает, что длящееся нарушение, продолжавшееся после 30.05.2025, квалифицируется по новой редакции. Во-вторых, составы, связанные с уведомлением об утечке (ч. 11), применяются только если сам инцидент произошёл после 30.05.2025 — обязанность уведомлять возникает с момента, когда состав существовал в законе.

Если вы юрист и анализируете протокол по ст. 13.11 — определение применимой редакции влияет на размер санкции кратно: от 150 тыс. ₽ (старая ч. 1) до 15 млн ₽ (новая ч. 14). Соберём ОРД и подготовим позицию по применимой норме.

Собрать ОРД под ключ

Как изменились составы по основным обязанностям оператора ПДн?

Закон об обработке персональных данных — ФЗ-152 — устанавливает ряд обязанностей оператора. Рассмотрим, как изменились соответствующие санкции.

Согласие субъекта ПДн (ст. 9 ФЗ-152, ч. 2 ст. 13.11). Старая редакция: штраф 15–75 тыс. ₽ для юрлица. Новая редакция: 300–700 тыс. ₽, повторно — 1–1,5 млн ₽ (ч. 2.1). Параллельно с 01.09.2025 вступил в силу ФЗ-156 от 24.06.2025: согласие оформляется отдельным документом, не объединяется с договором или офертой. Это создаёт новые основания для ч. 2: компании, сохранившие согласие в тексте договора, нарушают требование к составу согласия.

Публикация политики обработки ПДн (ст. 18.1 ФЗ-152, ч. 3 ст. 13.11). Штраф по этому составу вырос с 5–10 тыс. ₽ (старая) до 30–60 тыс. ₽ (новая). Незначительный рост по абсолютному значению, но состав остаётся «входным» при проверках: отсутствие политики на сайте — автоматический повод для протокола. Оператор персональных данных обязан опубликовать политику до начала сбора ПДн.

Ответ на запрос субъекта (ст. 20 ФЗ-152, ч. 4 ст. 13.11). Срок ответа — 10 рабочих дней с возможностью продления на 5 рабочих дней. Штраф вырос с 3–5 тыс. ₽ до 40–80 тыс. ₽ для юрлица. Суды фиксируют нарушение при отсутствии зарегистрированного обращения субъекта — ведение журнала входящих запросов стало критически важным.

Принципы обработки ПДн (ст. 5 ФЗ-152) и правовые основания (ст. 6 ФЗ-152) прямо не образуют отдельного состава, но нарушение принципов — избыточность сбора, несоответствие целям, обработка без основания — квалифицируется по ч. 1 ст. 13.11 как незаконная обработка. Новая санкция: 150–300 тыс. ₽ (против 60–100 тыс. ₽ ранее), повторно — 300–500 тыс. ₽ (ч. 1.1).

Что проверить юристу при анализе дела по ст. 13.11 КоАП

Дата нарушения: до 30.05.2025 или после — от этого зависит применимая редакция и санкция.
Характер нарушения: длящееся (политика, уведомление в реестре) или однократное (утечка, отказ ответить субъекту).
Число субъектов при утечке: граница 1 тыс. / 10 тыс. / 100 тыс. определяет ч. 12, 13 или 14.
Первичность или повторность: наличие вступившего в силу постановления по той же части активирует оборотный состав ч. 15.
Статус компании: микропредприятие — возможна замена штрафа на предупреждение по ст. 4.1.1 КоАП (не применяется к ч. 15, 18).

Как это работает на практике: два сценария для юриста

Сценарий 1. Утечка произошла в апреле 2025 года — протокол составлен в июне 2025-го. Ситуация: торговая компания потеряла базу из 50 тыс. клиентов в результате атаки 12 апреля 2025 года. Протокол составлен 5 июня 2025 года. Доказательства: дата инцидента зафиксирована в SIEM-системе, первичное уведомление РКН направлено 14 апреля. Исход: суд применит старую редакцию ч. 1 ст. 13.11 (нарушение на дату инцидента), штраф — до 100 тыс. ₽. Стратегия: акцентировать в позиции факт уведомления РКН, первичность, отсутствие умысла; ходатайствовать о замене на предупреждение по ст. 4.1.1 КоАП при статусе СМП.

Сценарий 2. Длящееся нарушение — компания не уведомила РКН и не опубликовала политику; выявлено в сентябре 2025 года. Ситуация: ИТ-компания работает с 2022 года, реестровое уведомление не подавалось, политики на сайте нет. Проверка РКН — 10 сентября 2025 года. Доказательства: выписка из реестра операторов отсутствует, скриншот сайта фиксирует отсутствие политики. Исход: длящееся нарушение на дату выявления — 10.09.2025 — квалифицируется по новой редакции: ч. 3 (отсутствие политики, 30–60 тыс. ₽) и ч. 10 (неуведомление о намерении обрабатывать ПДн, 100–300 тыс. ₽). Стратегия: до следующего заседания устранить нарушение, подать уведомление в РКН, опубликовать политику — это смягчающие обстоятельства по ст. 4.2 КоАП, снижает штраф до минимальной границы.

Кейс 1. Производственная компания (Приволжский ФО, зима 2026) получила протокол по ч. 13 ст. 13.11 новой редакции: утечка данных 15 тыс. сотрудников и контрагентов в ноябре 2025 года. Первичное уведомление РКН направлено в течение 18 часов, отчёт за 72 часа представлен в срок. Арбитражный суд региона принял оперативность реагирования как смягчающее обстоятельство; штраф назначен у нижней границы диапазона 5–10 млн ₽. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. Из публичной практики: арбитражный суд в деле № А40-263126/2025 рассматривал утечку 26 млн записей. Утечка датирована периодом до 01.06.2025. Суд применил старую редакцию ч. 1 ст. 13.11 и назначил штраф 150 тыс. ₽ — минимальный по прежним нормам. Тот же инцидент, произошедший после 30.05.2025, повлёк бы ответственность по ч. 14 новой редакции (10–15 млн ₽) плюс отдельный состав по ч. 11 за неуведомление — если оно было нарушено.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка применимых составов и состояния ОРД
Комплект ОРД под ключ — пакет документов под новую редакцию ст. 13.11
DPO-аутсорсинг — сопровождение обязанностей оператора ПДн на абонемент

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Для квалификации по ст. 13.11 КоАП достаточно одного из этих действий без надлежащего основания или с нарушением принципов, установленных ст. 5 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований. Наиболее распространены: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение обязанности оператора по законодательству РФ (п. 2), осуществление правосудия (п. 3). Обработка без хотя бы одного из оснований — состав ч. 1 ст. 13.11 КоАП в новой редакции (150–300 тыс. ₽ для юрлица).

3. Что грозит за нарушение 152-ФЗ?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей. Диапазон санкций для юридических лиц — от 30 тыс. ₽ (ч. 3, отсутствие политики) до 500 млн ₽ (ч. 15, оборотный штраф при повторной утечке). Помимо административной ответственности, с 11.12.2024 действует ст. 272.1 УК РФ — до 10 лет лишения свободы за незаконное использование компьютерной информации с ПДн при тяжких последствиях (ч. 5).

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 — да: оператор обязан уведомить РКН до начала обработки ПДн. Ряд исключений в ч. 2 ст. 22 освобождает от уведомления: обработка только персональных данных работников в связи с трудовым договором, обработка без автоматизированных средств при условии соблюдения требований к хранению, ряд иных случаев. Отсутствие уведомления при отсутствии основания для освобождения — состав ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).

5. С какого возраста нужно согласие на обработку ПДн?

ФЗ-152 не устанавливает единого возраста дееспособности для согласия. По общему гражданско-правовому правилу — с 18 лет. Для детей согласие даёт законный представитель. При обработке ПДн несовершеннолетних в образовательных организациях — родитель или опекун. Обработка ПДн ребёнка без согласия представителя влечёт ответственность по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽ для юрлица в новой редакции).

Итог

ФЗ-420 от 30.11.2024 создал качественно иную конструкцию ответственности по ст. 13.11 КоАП. Семь прежних составов сохранены с увеличенными санкциями; одиннадцать новых — направлены на утечки, нарушение локализации и ненадлежащее уведомление РКН. Для юриста критичны два навыка: правильно определить применимую редакцию по дате нарушения и оценить возможность применения смягчающих инструментов — ст. 4.1.1 КоАП для микропредприятий и примечания 3.4-2 к ст. 4.1 для инвестирующих в ИБ.

Практика DATUM по ст. 13.11 КоАП включает анализ протоколов в обеих редакциях, подготовку позиций для арбитражного обжалования и аудит состояния ОРД оператора персональных данных под действующие нормы.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Согласия работников по ст. 9 152-ФЗ в ред. ФЗ-156, обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

19 января 2027 года