Сценарий 5 млрд ₽ выручки + повторная утечка
С 30.05.2025 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 работает в полную силу. Для компаний с выручкой 5 млрд ₽ и более повторная утечка персональных данных автоматически переводит дело в оборотный состав. Это уже не административный штраф в сотни тысяч рублей — это потенциальные 50–150 млн ₽ по одному постановлению. В этой статье разобраны три сценария, в которых оказываются CEO таких компаний, и инструменты снижения ответственности по действующему законодательству.
Как устроен оборотный штраф по ч. 15 ст. 13.11 КоАП с 30.05.2025?
До ФЗ-420 максимальный штраф за утечку персональных данных для юридического лица составлял 500 тыс. ₽. После вступления в силу поправок архитектура ответственности изменилась кардинально. Ст. 13.11 КоАП теперь содержит 18 частей, из которых ч. 12–14 регулируют первичные утечки по размеру базы, а ч. 15 вводит оборотный состав для повторных нарушителей.
При выручке 5 млрд ₽ за год расчёт выглядит так: нижняя граница — 1% от 5 млрд = 50 млн ₽, верхняя — 3% = 150 млн ₽. Абсолютный минимум по закону — 20 млн ₽, но он применяется только если 1% выручки меньше этой суммы. При выручке 5 млрд ₽ собственный расчёт уже превышает 20 млн ₽, поэтому минимальная планка не работает как ограничитель — реальный минимум в таком деле равен 50 млн ₽.
Повторность определяется по дате вступления в силу предыдущего постановления по ч. 12–18 ст. 13.11 КоАП. Срок — один год. Если в этот период зафиксирована новая утечка, квалификация автоматически переходит на ч. 15. Важно: ч. 15 применяется не за факт утечки как таковой, а именно за повторность при наличии состава утечки по ч. 12–14.
Подсудность дел по ст. 13.11 КоАП после ФЗ-508 от 28.12.2025 — мировые судьи. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды, затем подсудность вернули к мировым.
Получили протокол по ст. 13.11 КоАП за повторную утечку?
CEO компании с выручкой от 5 млрд ₽ при наличии предыдущего постановления по ст. 13.11 КоАП находится в зоне ч. 15: штраф 50–150 млн ₽ без права заменить на предупреждение по ст. 4.1.1 КоАП. Цена ошибки в позиции защиты — разница между минимальным и максимальным размером оборотного штрафа. Юристы DATUM оспорят протокол и постановление, применят ст. 4.1 КоАП для смягчения, задействуют инвестиционный аргумент по примечанию 3.4-2 к ст. 4.1 КоАП.
Защитить от штрафа 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Когда применяется минимум 20 млн ₽ и что такое инвестиционный аргумент?
Порог 20 млн ₽ как абсолютный минимум по ч. 15 ст. 13.11 КоАП имеет значение для компаний с небольшой выручкой. При выручке 5 млрд ₽ этот порог не защищает: 1% от 5 млрд уже составляет 50 млн ₽. Однако законодатель предусмотрел отдельный механизм снижения штрафа для операторов, инвестирующих в информационную безопасность.
Расчёт инвестиционного аргумента при выручке 5 млрд ₽ в год: за три года совокупная выручка — 15 млрд ₽. Требуемый порог инвестиций в ИБ — 0,1% = 15 млн ₽ за три года. Если компания документально подтверждает такие вложения, штраф ограничивается диапазоном 15–50 млн ₽ вместо 50–150 млн ₽. Разница — от 0 до 100 млн ₽ в пользу компании.
Ключевое требование — документальное подтверждение. Договоры с ИБ-подрядчиками, акты выполненных работ, внутренние приказы о выделении бюджета на ИБ, платёжные поручения — всё это формирует доказательную базу. Данные за три года, предшествующих году утечки, суммируются. При отсутствии структурированных документов инвестиционный аргумент суд не примет.
Ещё один инструмент — ст. 4.1 КоАП в части общих смягчающих обстоятельств: добровольное устранение нарушения, уведомление РКН в установленные сроки, содействие расследованию, возмещение вреда субъектам. Каждое обстоятельство фиксируется в позиции защиты отдельным доводом.
Если у вас уже есть первое постановление по ст. 13.11 КоАП — время документировать инвестиции в ИБ и готовить позицию защиты до следующего инцидента. 24 часа на первичное уведомление РКН об утечке (ч. 3.1 ст. 21 ФЗ-152) — срок не восстанавливается.
Защитить от штрафа 13.11Три сценария для CEO: как развивается дело о повторной утечке?
Ниже — три типовых ситуации для компаний с выручкой 5 млрд ₽ и более, где уже зафиксировано первое нарушение по ст. 13.11 КоАП.
Сценарий А. Первое постановление получено, второй инцидент произошёл до истечения года. Ситуация: в 2025 году компания получила постановление по ч. 13 ст. 13.11 КоАП за утечку 50 000 субъектов. В начале 2026 года — новый инцидент с 15 000 субъектов. Доказательства: дата вступления в силу первого постановления, дата обнаружения второго инцидента. Вероятный исход: квалификация по ч. 15, штраф 50–150 млн ₽ при выручке 5 млрд ₽. Стратегия: немедленное уведомление РКН в 24 часа (ч. 3.1 ст. 21 ФЗ-152), документирование инвестиций в ИБ за три года, применение примечания 3.4-2 к ст. 4.1 КоАП — снижение потолка до 50 млн ₽.
Сценарий Б. Первое дело закрыто предупреждением, второе — уже не может. Ситуация: небольшая первая утечка была квалифицирована по ч. 12 ст. 13.11 КоАП, и компания получила предупреждение по ст. 4.1.1 КоАП. Через восемь месяцев — повторный инцидент. Доказательства: предупреждение — это форма административного наказания, оно фиксирует привлечение к ответственности по ч. 12. Вероятный исход: при наличии нового состава по ч. 12–14 — применяется ч. 15. Ст. 4.1.1 КоАП (замена штрафа предупреждением) к ч. 15 не применяется — прямой запрет в законе. Стратегия: оспорить квалификацию как «повторной» (если предупреждение выдавалось по иной части), задействовать инвестиционный аргумент, обжаловать постановление через мирового судью.
Сценарий В. Утечка через подрядчика — кто платит? Ситуация: персональные данные клиентов утекли через внешнего обработчика данных (маркетинговую платформу или облачный сервис). Первое постановление в отношении компании-оператора уже есть. Доказательства: по устоявшейся позиции судов, оператор отвечает за действия обработчика, которому передал данные по договору поручения (ч. 3 ст. 6 ФЗ-152). Наличие договора с обработчиком — смягчающее, но не освобождающее обстоятельство. Вероятный исход: оборотный штраф по ч. 15 применяется к оператору, а не к обработчику. Стратегия: оговорить в договоре с обработчиком компенсацию штрафа, доказать надлежащий контроль за обработчиком, зафиксировать инвестиции в аудит цепочки обработки данных.
Что подготовить CEO до следующей проверки РКН
- Выписка из реестра операторов с pd.rkn.gov.ru — актуальность сведений об объёме и целях обработки
- Документы об инвестициях в ИБ за три предшествующих года (договоры, акты, платёжные поручения) — для применения примечания 3.4-2 к ст. 4.1 КоАП
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и актуальная политика обработки ПДн
- Регламент реагирования на инциденты с фиксацией 24-часового и 72-часового порядка уведомления РКН (Приказ РКН №187)
- Договоры поручения обработки со всеми внешними обработчиками (ч. 3 ст. 6 ФЗ-152) с условием об ответственности обработчика
Как это применяется на практике
Кейс 1. Производственная компания Уральского ФО (осень 2025) получила постановление по ч. 13 ст. 13.11 КоАП за утечку данных 30 000 контрагентов. Штраф — в нижней части диапазона для ч. 13 (5–10 млн ₽). Через семь месяцев — второй инцидент. Юристы, подключившиеся до передачи дела в суд, сформировали пакет документов об инвестициях в ИБ за 2022–2024 годы на сумму свыше 0,1% трёхлетней выручки. По итогам рассмотрения дела у мирового судьи штраф по ч. 15 был рассчитан с применением примечания 3.4-2: 1/10 минимума, в пределах 15–50 млн ₽. Без этого аргумента расчётный штраф составлял бы 60–80 млн ₽.
Кейс 2. Торговая компания Центрального ФО (начало 2026) — оператор с выручкой около 6 млрд ₽ — получила протокол по ч. 15 ст. 13.11 КоАП после второй утечки данных покупателей через маркетинговую платформу. Первое дело было закрыто предупреждением по ст. 4.1.1 КоАП. Защита настаивала на том, что предупреждение не формирует «повторности» в смысле ч. 15. Суд эту позицию не принял: предупреждение является административным наказанием и фиксирует факт привлечения. Инвестиционный аргумент был частично принят — штраф назначен в нижней части коридора 15–50 млн ₽ с применением примечания 3.4-2.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1
- Аудит соответствия 152-ФЗ — проверка готовности к повторной проверке РКН, приоритизированный план устранений
- Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30.05.2025 в силе редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей. Для юридических лиц за первичную утечку: ч. 12 (1 000–10 000 субъектов) — 3–5 млн ₽; ч. 13 (10 000–100 000 субъектов) — 5–10 млн ₽; ч. 14 (более 100 000 субъектов) — 10–15 млн ₽. За повторную утечку — ч. 15: оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Также введена ч. 17 за утечку биометрических данных — 15–20 млн ₽.
2. Что такое оборотный штраф 1–3% по ч. 15 ст. 13.11 КоАП?
Оборотный штраф — это санкция, рассчитываемая от выручки оператора, а не в фиксированной сумме. Применяется по ч. 15 ст. 13.11 КоАП при повторном нарушении: если компания ранее привлекалась по ч. 12–14 или ч. 15–18 ст. 13.11 КоАП, и в течение года допустила новую утечку. Ставка — 1–3% совокупной выручки за предшествующий календарный год. При выручке 5 млрд ₽ диапазон составляет 50–150 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.
3. Когда применяется минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП?
Порог 20 млн ₽ как абсолютный нижний предел применяется только если 1% годовой выручки оператора меньше этой суммы. При выручке свыше 2 млрд ₽ расчётный 1% уже превышает 20 млн ₽, поэтому минимальная планка не работает как реальное ограничение. Для компаний с выручкой 5 млрд ₽ реальный минимум по ч. 15 — 50 млн ₽. Снизить штраф ниже 15 млн ₽ можно только через инвестиционный аргумент (примечание 3.4-2 к ст. 4.1 КоАП), но не ниже абсолютного минимума 15 млн ₽.
4. Можно ли заменить оборотный штраф по ч. 15 ст. 13.11 КоАП на предупреждение?
Нет. Ст. 4.1.1 КоАП, допускающая замену штрафа предупреждением для микропредприятий и субъектов малого и среднего предпринимательства при первичном нарушении без вреда, прямо не применяется к ч. 15 и ч. 18 ст. 13.11 КоАП — оборотным составам. Это прямое законодательное ограничение, введённое ФЗ-420. Единственный инструмент снижения — примечание 3.4-2 к ст. 4.1 КоАП (инвестиции в ИБ), общие смягчающие обстоятельства по ст. 4.1 КоАП и оспаривание квалификации как «повторной».
5. Какая подсудность дел по ст. 13.11 КоАП действует после ФЗ-508 от 28.12.2025?
С принятием ФЗ-508 от 28.12.2025 подсудность дел по ст. 13.11 КоАП возвращена мировым судьям. В переходный период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. С 28.12.2025 — снова мировые судьи. Это влияет на процессуальную стратегию: порядок обжалования постановлений мирового судьи отличается от арбитражного. Апелляция подаётся в районный суд, кассация — в суд субъекта РФ.
Итог
Для компании с выручкой 5 млрд ₽ повторная утечка персональных данных после 30.05.2025 — это дело по ч. 15 ст. 13.11 КоАП с расчётным штрафом 50–150 млн ₽. Единственный законодательно предусмотренный механизм снижения ниже расчётного минимума — примечание 3.4-2 к ст. 4.1 КоАП, требующее документально подтверждённых инвестиций в ИБ в размере не менее 0,1% выручки за три года. Без заблаговременной подготовки доказательной базы этот аргумент недоступен.
DATUM сопровождает оспаривание протоколов и постановлений по ст. 13.11 КоАП, включая оборотные составы ч. 15 и ч. 18. Юристы практики формируют позицию с использованием ст. 4.1 КоАП, инвестиционного аргумента и процессуальных оснований.