аналитика 19 января 2028 По состоянию на 19 января 2028

Стратегия снижения штрафа по ч. 14: 5 рычагов

Часть 14 ст. 13.11 КоАП — штраф 10–15 млн ₽ за утечку более 100 000 субъектов. При повторности — оборотный штраф до 500 млн ₽ по ч. 15.

С 30.05.2025 действует ФЗ-420: 18 частей ст. 13.11, пять из которых напрямую затрагивают крупных операторов. У компании с выручкой от 1 млрд ₽ первичный штраф по ч. 14 выглядит терпимо — до тех пор, пока не наступает повторность и прокурор не просит суд назначить 1% выручки.

Если вы CEO и получили протокол по ч. 14 ст. 13.11 — у вас есть 5 правовых рычагов, которые суды уже применяют в 2025–2026 гг. Разбираем каждый.

Реестр операторов пополняется ежедневно, а РКН с 30.05.2025 возбуждает дела по новым составам. По данным InfoWatch, в 2025 году суды рассмотрели шесть дел по обновлённой ст. 13.11 — общая сумма назначенных штрафов составила около 570 тыс. ₽, что кратно ниже теоретических максимумов. Причина: суды активно применяют смягчающие обстоятельства и процессуальные инструменты КоАП. В этом материале — системная карта пяти рычагов снижения штрафа по ч. 14, включая расчёт экономии для компаний с разным объёмом выручки.

Что такое ч. 14 ст. 13.11 КоАП и кому она грозит?

Часть 14 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (действует с 30.05.2025) охватывает случаи утечки персональных данных более 100 000 субъектов или более 1 000 000 идентификаторов. Штраф для юридических лиц — от 10 до 15 млн ₽. Это не оборотный состав: сумма фиксированная, её нижняя граница не зависит от выручки компании. Однако состав становится опасным по двум причинам.

Первая: ч. 14 является квалифицирующим основанием для оборотного штрафа по ч. 15. Если компанию уже привлекали по ч. 12–14, 16–18 или ч. 15, следующее нарушение автоматически переходит в оборотный состав — 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 10 млрд ₽ это означает минимум 100 млн ₽.

Вторая: параллельно с административным делом прокуратура вправе возбудить уголовное производство по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024). При тяжких последствиях — лишение свободы до 10 лет. Это меняет переговорную позицию компании принципиально.

«Ч. 14 ст. 13.11 КоАП: утечка ПДн более 100 000 субъектов — штраф для юрлица 10 000 000–15 000 000 ₽ (ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025). Ч. 15: при повторности — 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽.»

Типичный субъект ч. 14 — средняя или крупная компания: ретейл, медицина, банк, маркетплейс, телеком. Порог 100 000 субъектов для таких операторов — стандартная клиентская база. Поэтому стратегия снижения штрафа актуальна как проактивная подготовка, а не только как реакция на уже поданный протокол.

Получили протокол по ч. 14 или ч. 15 ст. 13.11?

Если вы CEO и компания уже получила протокол — срок на подачу объяснений исчисляется сутками. Правовая позиция формируется на этапе административного расследования, а не в суде. Юристы DATUM специализируются на защите от штрафов по ст. 13.11 КоАП в редакции ФЗ-420: оспаривают протоколы, применяют ст. 4.1 и ст. 4.1.1 КоАП, готовят доказательную базу по инвестициям в ИБ.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Рычаг 1: ст. 4.1 КоАП — смягчающие обстоятельства и назначение ниже минимума

Статья 4.1 КоАП содержит перечень обстоятельств, которые суд обязан учесть при назначении наказания. Для составов по ч. 14 ст. 13.11 стандартный минимум — 10 млн ₽. Суд вправе назначить штраф в нижней трети диапазона при совокупности смягчающих.

Смягчающие обстоятельства, которые суды принимают по делам об утечках: добровольное уведомление РКН о факте инцидента до возбуждения дела; оперативное устранение последствий — уведомление субъектов, блокировка скомпрометированных данных; отсутствие умысла; первичность нарушения; активное содействие расследованию; возмещение вреда субъектам.

Ключевой инструмент — примечание 3.4-2 к ст. 4.1 КоАП: если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15 и ч. 18 ст. 13.11) назначается в размере 1/10 минимального — но не менее 15 млн ₽ и не более 50 млн ₽. Для ч. 14 (фиксированный состав) этот механизм напрямую не применяется, однако инвестиции в ИБ фиксируются как смягчающее и влияют на выбор судом суммы внутри диапазона.

«Ст. 4.1 КоАП — назначение наказания с учётом смягчающих обстоятельств. Примечание 3.4-2: инвестиции в ИБ ≥ 0,1% выручки за 3 года → штраф по ч. 15 и ч. 18 ст. 13.11 = 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.»

Рычаг 2: ст. 4.1.1 КоАП — замена штрафа на предупреждение

Статья 4.1.1 КоАП позволяет заменить административный штраф предупреждением для субъектов малого и среднего предпринимательства при одновременном соблюдении условий: нарушение совершено впервые, отсутствует имущественный вред, нет угрозы жизни и безопасности, нарушение не связано с коррупцией.

Прямое ограничение: ст. 4.1.1 КоАП не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы). К ч. 14 запрета нет. Практика 2025–2026 годов подтверждает применение нормы: в одном из дел (Сибирский ФО, начало 2026) компания с базой менее 1000 субъектов получила предупреждение вместо штрафа по ч. 1 ст. 13.11 — суд опирался на первичность и статус микропредприятия. По ч. 14 аналогичная логика требует более сильной доказательной базы, но инструмент работает.

Для компании с выручкой до 800 млн ₽ (критерий СМП) и первичной утечкой более 100 000 субъектов — замена штрафа на предупреждение сохраняет от 10 до 15 млн ₽. Условие: суд должен убедиться в отсутствии реального вреда субъектам и в принятых мерах по устранению.

Рычаг 3: процессуальные нарушения при составлении протокола

Протокол об административном правонарушении по ст. 13.11 составляется должностным лицом РКН или прокурором. Нарушения при его составлении — самостоятельное основание для прекращения дела по ст. 24.5 КоАП без рассмотрения по существу.

Типичные нарушения, которые встречаются в практике: неверное описание события правонарушения — отсутствие точного момента обнаружения утечки; неправильно определён субъект — протокол на аффилированную структуру, а не на фактического оператора; нарушена процедура вручения — протокол направлен не уполномоченному лицу; истёк срок давности привлечения (для большинства составов ст. 13.11 — 1 год с момента обнаружения нарушения).

Для ч. 14 ст. 13.11 критична точность в квалификации: момент возникновения утечки, дата её обнаружения оператором и дата фактического распространения данных — три разные точки отсчёта. Если РКН неверно установил любую из них, протокол уязвим.

Что проверить в протоколе по ч. 14 ст. 13.11

Дата события правонарушения: совпадает ли с датой обнаружения утечки в журнале инцидентов
Субъект нарушения: является ли компания оператором ПДн по ст. 3 ФЗ-152 применительно к скомпрометированной базе
Объём утечки: на чём основан расчёт числа субъектов — реестровые данные или оценка РКН
Срок давности: не прошёл ли 1 год с момента, когда РКН мог установить факт нарушения
Полномочия должностного лица: есть ли у подписанта приказ о праве составлять протоколы по ст. 13.11

Рычаг 4: доказательство надлежащих мер защиты по ст. 19 ФЗ-152 и Приказу ФСТЭК №21

Статья 19 ФЗ-152 обязывает оператора принять организационные и технические меры защиты. Конкретный состав определяется уровнем защищённости ИСПДн (УЗ-1–4) по ПП РФ №1119 от 01.11.2012 и мерами из Приказа ФСТЭК №21 от 18.02.2013 (109 мер в 15 группах).

В деле по ч. 14 оператор, который документально подтвердит: что определял уровень защищённости, реализовал базовый набор мер по Приказу №21, проводил оценку угроз — получает аргумент для снижения штрафа. Логика суда: если меры были приняты, но утечка всё равно произошла — это свидетельствует об отсутствии умысла и о форс-мажорном характере инцидента.

Для базы более 100 000 субъектов с общими категориями ПДн при угрозах 3-го типа применяется УЗ-3 или УЗ-4 — конкретный уровень зависит от типа ИСПДн. Наличие аттестованной системы защиты информации или заключения по результатам оценки соответствия по Приказу ФСТЭК №21 существенно усиливает позицию в суде.

Важно: документы должны быть датированы до инцидента. Ретроактивно подготовленная документация создаёт риск обвинения в фальсификации. Поэтому аудит ОРД и технической защиты — это проактивный инструмент, а не реакция на протокол.

Если в компании нет актуального пакета ОРД по 152-ФЗ и документации по ФСТЭК №21 — после первого протокола по ч. 14 время на подготовку уже истекает. Аудит ОРД и оценка уровня защищённости занимают 3–4 недели; суд назначается раньше.

Заказать аудит 152-ФЗ

Рычаг 5: оперативное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152 как процессуальный актив

Статья 21 ч. 3.1 ФЗ-152 устанавливает двухэтапный порядок уведомления РКН при утечке: первичное уведомление — в течение 24 часов с момента обнаружения; отчёт о результатах внутреннего расследования — в течение 72 часов. Порядок закреплён в Приказе РКН №187 от 14.11.2022.

Нарушение этих сроков — отдельный состав по ч. 11 ст. 13.11 КоАП, штраф 1–3 млн ₽. Но главное — неуведомление лишает компанию важнейшего процессуального актива в деле по ч. 14. Суды рассматривают своевременное уведомление как признак добросовестности оператора и учитывают его при выборе суммы штрафа внутри диапазона 10–15 млн ₽.

Практика: в деле «ПКР Аналитика» (АС Санкт-Петербурга, дело № А56-4733/2026 от 10.03.2026) при утечке около 70 000 субъектов суд применил смягчающие обстоятельства, в том числе оперативное взаимодействие с РКН. Дело было квалифицировано по ч. 14 ст. 13.11 КоАП, назначен штраф ниже максимума. В деле РЭШ (АС Москвы, № А40-351064/2025) суд учёл статус организации как микропредприятия и применил расчёт по правилам для ИП, снизив штраф до 400 000 ₽ при составе, предусматривающем 10–15 млн ₽.

Матрица сценариев: как рычаги работают в конкретных ситуациях

Сценарий 1. Первая утечка, компания — СМП, база 120 000 субъектов, уведомление РКН направлено за 20 часов. Ситуация: квалификация по ч. 14, штраф 10–15 млн ₽. Доказательства: статус СМП по реестру ФНС, акт уведомления РКН с отметкой о времени, журнал инцидентов. Вероятный исход: суд применяет ст. 4.1.1 КоАП — замена на предупреждение при отсутствии документально подтверждённого вреда субъектам. Стратегия: подать ходатайство о замене на предупреждение одновременно с объяснениями по протоколу.

Сценарий 2. Первая утечка, крупный оператор (выручка 5 млрд ₽), база 500 000 субъектов, уведомление РКН опоздало на 6 часов, ОРД частично отсутствует. Ситуация: ч. 14 + ч. 11 (за нарушение 24-часового срока). Доказательства: документация об инвестициях в ИБ за 3 года, заключение по Приказу ФСТЭК №21, объяснение причин задержки уведомления. Вероятный исход: штраф по ч. 14 в нижней половине диапазона — 10–12 млн ₽; по ч. 11 — 1–1,5 млн ₽ с учётом смягчающих. Стратегия: отдельно работать с каждым составом, фиксировать инвестиции в ИБ через форму отчётности.

Сценарий 3. Повторная утечка (компания уже привлекалась по ч. 13), база 200 000 субъектов, данные появились в даркнете. Ситуация: состав переходит в ч. 15 — оборотный штраф 1–3% выручки, не менее 20 млн ₽. При выручке 2 млрд ₽ — минимальный штраф 20 млн ₽. Доказательства: доказательство применения примечания 3.4-2 (инвестиции ≥ 0,1% выручки за 3 года) — снижение до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽. Стратегия: немедленно готовить документацию по инвестициям в ИБ; параллельно — оспаривать факт повторности, если предыдущее постановление не вступило в силу.

Как это применяется на практике

Кейс 1. Торговая компания (Центральный ФО, весна 2026) с базой клиентов 180 000 субъектов получила протокол по ч. 14 ст. 13.11 КоАП после хакерской атаки на CRM. Юристы DATUM установили процессуальное нарушение: в протоколе момент обнаружения утечки был определён неверно — на трое суток позже фактической даты из журнала инцидентов. Это изменило расчёт срока подачи 24-часового уведомления: уведомление оказалось своевременным. Суд учёл смягчающие, назначил штраф в нижней части диапазона. Оборотный состав по ч. 15 не применялся — нарушение было первичным.

Кейс 2. В деле «РЭШ» (АС Москвы, № А40-351064/2025) при утечке данных более 100 000 субъектов суд квалифицировал нарушение по ч. 14 ст. 13.11 КоАП (штраф 10–15 млн ₽ для юрлиц), однако применил расчёт по правилам для ИП с учётом статуса организации как микропредприятия по ч. 1 ст. 4.1.2 КоАП. Итоговый штраф — 400 000 ₽. Кейс зафиксирован как первый прецедент по крупной утечке в новых составах ст. 13.11 (источник: ГАРАНТ.РУ, 23.03.2026).

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1
Аудит соответствия 152-ФЗ — проверка ОРД, уровней защищённости, уведомления в реестре РКН
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписаний

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей вместо прежних семи. Для утечек: ч. 12 (1 000–10 000 субъектов) — 3–5 млн ₽, ч. 13 (10 000–100 000 субъектов) — 5–10 млн ₽, ч. 14 (более 100 000 субъектов) — 10–15 млн ₽. За неуведомление РКН об утечке в 24 часа — ч. 11, штраф 1–3 млн ₽. Оборотный штраф по ч. 15 (повторность) — 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Подсудность с 28.12.2025 — мировые судьи (ФЗ-508).

2. Что такое оборотный штраф 1–3% и как он считается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП назначается при повторном нарушении, если компания уже привлекалась по ч. 12–14, ч. 16–18 или ч. 15. База расчёта — совокупная выручка за предшествующий календарный год по данным бухгалтерской отчётности. Суд вправе назначить от 1% до 3% этой суммы, но не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 500 млн ₽ минимальный штраф всё равно составит 20 млн ₽, поскольку 1% от 500 млн = 5 млн — ниже законодательного минимума.

3. Когда применяется снижение штрафа по инвестициям в ИБ?

Примечание 3.4-2 к ст. 4.1 КоАП применяется только к оборотным составам — ч. 15 и ч. 18 ст. 13.11. Условие: инвестиции в информационную безопасность составляют не менее 0,1% совокупной выручки за три года, предшествующих году нарушения. При соблюдении условия штраф назначается в размере 1/10 минимального по оборотному составу, но не менее 15 млн ₽ и не более 50 млн ₽. Для фиксированного состава по ч. 14 (10–15 млн ₽) это примечание напрямую не применяется, но документация об инвестициях в ИБ учитывается судом как смягчающее обстоятельство по ст. 4.1 КоАП.

4. Можно ли заменить штраф по ч. 14 на предупреждение?

Замена административного штрафа предупреждением по ст. 4.1.1 КоАП возможна при совокупности условий: субъект малого или среднего предпринимательства, нарушение совершено впервые, нет документально подтверждённого вреда субъектам ПДн. Для ч. 14 запрета на применение ст. 4.1.1 КоАП нет — в отличие от ч. 15 и ч. 18, где закон прямо исключает замену. На практике суды применяют ст. 4.1.1 к ч. 14 при сильной доказательной базе: первичность, добросовестность, оперативное устранение последствий.

5. Какая подсудность дел по ст. 13.11 КоАП после ФЗ-508?

До 30.05.2025 дела по ст. 13.11 рассматривались мировыми судьями. С 30.05.2025 по 27.12.2025 — арбитражными судами. С 28.12.2025 ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. Это влияет на стратегию защиты: мировые судьи чаще применяют ст. 4.1.1 КоАП для малого бизнеса; арбитражные суды в период своей юрисдикции выработали практику по применению примечания 3.4-2 к ст. 4.1 КоАП. Обжалование постановлений мирового судьи — в районный суд.

Итог

Штраф по ч. 14 ст. 13.11 КоАП в диапазоне 10–15 млн ₽ — управляемый риск при правильно выстроенной стратегии защиты. Пять рычагов — смягчающие обстоятельства по ст. 4.1 КоАП, замена на предупреждение по ст. 4.1.1, процессуальные нарушения в протоколе, документация по ст. 19 ФЗ-152 и Приказу ФСТЭК №21, своевременное уведомление РКН — дают системный инструментарий как до инцидента, так и после получения протокола. Критическое условие: большинство рычагов работают только при наличии документов, подготовленных до нарушения.

Юристы DATUM сопровождают дела по ст. 13.11 КоАП с момента возбуждения дела до вступления постановления в силу. Практика охватывает как первичные нарушения с применением ст. 4.1.1 КоАП, так и оборотные составы по ч. 15 с расчётом льготы по инвестициям в ИБ.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов, ст. 4.1 и 4.1.1 КоАП. Подсудность после ФЗ-508 — мировые судьи.

19 января 2028 года