аналитика 28 февраля 2028 По состоянию на 28 февраля 2028

Связь с ЕБС по 572-ФЗ — Часть 16 ст. 13.11

Часть 16 ст. 13.11 КоАП — административная ответственность за нарушение требований к обработке биометрических персональных данных, в том числе связанных с Единой биометрической системой по 572-ФЗ.

С 30.05.2025 санкция по ч. 16 применяется к операторам, допустившим нарушения ст. 11 ФЗ-152 при работе с биометрией вне ЕБС. При повторном нарушении — оборотный штраф по ч. 18 ст. 13.11 до 500 млн ₽. Точные диапазоны ч. 16 для юрлиц — верифицировать перед подачей в суд.

Если вы CEO банка, МФО или сервиса с биометрической идентификацией — оцените риски по ч. 16 и ч. 18 ст. 13.11 прежде, чем регулятор инициирует проверку. →

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: статья расширена до 18 частей, введены отдельные составы за биометрию (ч. 16, ч. 17, ч. 18) и оборотный штраф за повторную утечку (ч. 15). Банки, МФО, страховщики и другие организации финансового сектора, которые идентифицируют клиентов по биометрии, попадают сразу под два режима: 572-ФЗ о Единой биометрической системе и ст. 11 ФЗ-152 о биометрических персональных данных. Ниже — разбор состава ч. 16, связи с 572-ФЗ, сценарии проверки и стратегия защиты.

Что такое ч. 16 ст. 13.11 КоАП и при чём здесь 572-ФЗ?

Часть 16 ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025) охватывает нарушения порядка обработки биометрических персональных данных в тех случаях, которые не подпадают под отдельную ст. 13.11.3 КоАП. Последняя регулирует специфические нарушения при размещении биометрии в ЕБС участниками, прямо обязанными взаимодействовать с системой (банки, МФЦ и иные субъекты по 572-ФЗ) — санкция по ст. 13.11.3 для юрлиц: 500 тыс. — 1 млн ₽.

Часть 16 применяется шире: она охватывает любого оператора, нарушившего требования ст. 11 ФЗ-152, — в том числе тех, кто собирает и хранит биометрию самостоятельно, вне ЕБС, без письменного согласия субъекта или с нарушением иных условий ст. 11.

«Ст. 11 ФЗ-152 — обработка биометрических персональных данных (изображение лица, голос, ДНК, отпечатки, радужка) допускается только с письменного согласия субъекта. Исключения предусмотрены п. 2 ст. 11 (государственная безопасность, правосудие и ряд иных оснований). ФЗ-572 обязывает организации финансового рынка при дистанционной идентификации клиентов использовать именно ЕБС.»

Связь ч. 16 ст. 13.11 с 572-ФЗ возникает в ситуации, когда организация, обязанная по 572-ФЗ направлять биометрию в ЕБС, продолжает хранить её локально или обрабатывает без надлежащего согласия. Такие действия одновременно нарушают ст. 11 ФЗ-152 (основание для ч. 16 ст. 13.11) и требования 572-ФЗ (основание для ст. 13.11.3). Если инспектор квалифицирует нарушение по ч. 16, а не по ст. 13.11.3, последствия могут оказаться строже при повторности: ч. 18 ст. 13.11 предусматривает оборотный штраф.

Чем отличается ч. 16 от ч. 17 и ч. 18 ст. 13.11?

Три «биометрических» части ст. 13.11 охватывают разные составы:

Часть 16 — нарушение требований к обработке биометрических ПДн (ст. 11 ФЗ-152): обработка без письменного согласия, хранение исходных биометрических данных вне ЕБС при наличии обязанности передачи, несоблюдение требований к составу согласия.
Часть 17 — утечка биометрических ПДн (кроме случаев по ст. 13.11.3): штраф для юрлиц 15–20 млн ₽. Это один из наиболее высоких фиксированных составов в ст. 13.11.
Часть 18 — повторное нарушение по ч. 16 или ч. 17: оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Это зеркальная конструкция ч. 15 (оборотный за повторную утечку общих ПДн), применённая к биометрии.

Важное разграничение: если организация обязана работать с ЕБС по 572-ФЗ (банк, МФЦ и т. д.) и нарушила порядок размещения в ЕБС — применяется ст. 13.11.3 (500 тыс. — 1 млн ₽). Если та же организация дополнительно хранит биометрию локально без согласия — добавляется ч. 16 ст. 13.11. Возможна совокупность составов.

Ваша компания работает с биометрической идентификацией?

Если компания идентифицирует клиентов по изображению лица или голосу — она обязана выполнять требования ст. 11 ФЗ-152 и, в ряде случаев, 572-ФЗ. Нарушение любого из этих требований создаёт основания для протокола по ч. 16 ст. 13.11. Для CEO — это риск оборотного штрафа по ч. 18 при повторности: не менее 20 млн ₽ и не более 500 млн ₽ от выручки.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие нарушения влекут ч. 16 ст. 13.11 при работе с ЕБС?

На практике выявляются три группы нарушений, которые квалифицируются или могут быть квалифицированы по ч. 16 ст. 13.11.

Первая группа — согласие. Согласие на обработку биометрических ПДн должно быть письменным (ст. 11 ФЗ-152). С 01.09.2025 в силу ФЗ-156 от 24.06.2025 оно оформляется отдельным документом — не встраивается в договор, оферту или иной документ. Если организация сняла биометрию клиента в рамках подписания кредитного договора и согласие не выделено как отдельный документ — состав по ч. 16 присутствует.

Вторая группа — хранение вне ЕБС. Статья 3 ФЗ-572 запрещает хранение исходной биометрии (шаблонов лица и голоса) вне ЕБС с 01.06.2023 для обязанных субъектов. Если локальная база биометрических шаблонов не уничтожена — это нарушение одновременно 572-ФЗ и ст. 11 ФЗ-152.

Третья группа — организационные меры. Обработка биометрии требует повышенного уровня защищённости. Отсутствие письменного назначения ответственного, отсутствие отдельного регламента обработки биометрических ПДн, необеспечение требований УЗ по ПП РФ №1119 — технические нарушения, которые фиксируются при проверке РКН и могут образовывать самостоятельные составы по ч. 1 ст. 13.11 или ч. 3 ст. 13.11 (непубликация политики), а также усиливать позицию регулятора при квалификации по ч. 16.

Что проверить, чтобы снизить риски по ч. 16 ст. 13.11

Наличие отдельного письменного согласия на обработку биометрии (не встроенного в договор) — требование ст. 11 ФЗ-152 и ФЗ-156 с 01.09.2025.
Уничтожение локальных баз биометрических шаблонов, если организация передала данные в ЕБС (запрет хранения исходников вне ЕБС по 572-ФЗ с 01.06.2023).
Наличие регламента обработки биометрических ПДн с указанием сроков, целей и ответственных лиц.
Уведомление РКН об обработке биометрических ПДн по ст. 22 ФЗ-152 с указанием категории «биометрические».
Журнал учёта согласий субъектов с датами получения и отзыва — для подтверждения законности при проверке.

Как применяется оборотный штраф по ч. 18 ст. 13.11?

Оборотный штраф по ч. 18 ст. 13.11 — это санкция за повторное нарушение по ч. 16 или ч. 17 одним и тем же оператором. Конструкция аналогична ч. 15 (оборотный за повторную утечку общих ПДн): 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽.

«Ч. 18 ст. 13.11 КоАП (ред. ФЗ-420, действует с 30.05.2025) — оборотный штраф за повторное нарушение порядка обработки биометрических ПДн или их утечку: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Точный минимум — верифицировать по актуальному тексту КоАП перед подачей возражений.»

Для CEO крупного банка с выручкой 50 млрд ₽ повторное нарушение по биометрии даёт вилку штрафа 500 млн — 1,5 млрд ₽ в расчёте 1–3%, но с потолком 500 млн ₽. Для банка с выручкой 1 млрд ₽ расчёт: 1% = 10 млн ₽, что ниже минимума 20 млн ₽, — применяется минимум 20 млн ₽.

Существует механизм снижения по ст. 4.1 КоАП — примечание 3.4-2: если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15, ч. 18) снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это ключевой аргумент защиты для организаций с документально подтверждёнными вложениями в ИБ.

Если по ч. 16 уже возбуждено дело или поступил протокол РКН — у вас ограниченное время на сбор доказательств инвестиций в ИБ по ст. 4.1 КоАП и подготовку возражений. Юристы DATUM оценят состав и предложат стратегию защиты.

Защитить от штрафа 13.11

Можно ли заменить штраф на предупреждение или применить ст. 4.1.1?

Статья 4.1.1 КоАП допускает замену административного штрафа предупреждением для субъектов малого и среднего предпринимательства (МСП) при первичном нарушении и отсутствии вреда. Но в отношении оборотных составов — ч. 15 и ч. 18 ст. 13.11 — замена на предупреждение по ст. 4.1.1 КоАП законом прямо исключена.

Применительно к ч. 16 ст. 13.11 (не оборотный состав) — замена теоретически возможна при первичности и статусе МСП. Однако нарушения по биометрии судьи склонны рассматривать как повышенной общественной опасности, что снижает вероятность замены на практике. Оценить перспективу можно только по материалам конкретного дела.

После ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (с 28.12.2025 — снова мировые; с 30.05.2025 по 27.12.2025 подсудность была у арбитражных судов). Это важно для выбора тактики: мировые судьи в меньшей степени специализированы на корпоративном праве, что требует особой подготовки доказательной базы.

Три практических сценария для CEO финансовой организации

Сценарий 1 — проверка после жалобы клиента. Клиент подал жалобу в РКН о том, что его биометрия была обработана без отдельного согласия — согласие было включено в типовой договор банковского обслуживания. Инспектор РКН составляет протокол по ч. 16 ст. 13.11. Доказательства на стороне регулятора: форма договора без отдельного документа согласия. Вероятный исход: штраф по ч. 16 (диапазон уточняется по актуальному тексту КоАП). Стратегия: до проверки — ввести отдельные бланки согласий; после протокола — доказать, что сбор биометрии прекращён, согласия переоформлены, подготовить смягчающие по ст. 4.1 КоАП.

Сценарий 2 — выявленное хранение биометрии вне ЕБС. При плановой проверке РКН обнаружил, что банк с 2021 года ведёт локальную базу биометрических шаблонов и не уничтожил её после передачи данных в ЕБС (запрет с 01.06.2023 по 572-ФЗ). Доказательства: технический акт обследования, лог-файлы хранилища. Вероятный исход: протокол по ч. 16 ст. 13.11 и одновременно по ст. 13.11.3. Совокупность составов. Стратегия: немедленно уничтожить локальную базу с составлением акта, уведомить РКН об устранении нарушения, привлечь юристов для оспаривания совокупности составов (возможна аргументация о единстве деяния).

Сценарий 3 — повторное нарушение и оборотный штраф. Организация в 2025 году получила штраф по ч. 16. В 2026 году при следующей проверке выявлено аналогичное нарушение — обработка биометрии без надлежащего согласия по новой форме продукта. Регулятор составляет протокол по ч. 18 ст. 13.11 (оборотный). Доказательства: решение по первому делу + факт нового нарушения. Вероятный исход: оборотный штраф от 20 млн ₽. Стратегия: собрать доказательства вложений в ИБ за три года (ст. 4.1 КоАП, примечание 3.4-2) — это единственный легальный путь снизить штраф до 15 млн ₽ при потолке 50 млн ₽.

Пример из практики. Финансовая организация (Центральный ФО, осень 2025) получила протокол по ч. 16 ст. 13.11 в связи с хранением биометрических шаблонов в собственной системе без уничтожения после интеграции с ЕБС. В арбитражном суде региона (дело рассматривалось в переходный период до ФЗ-508) организации удалось снизить штраф, представив акты уничтожения базы и доказав инвестиции в ИБ за три предшествующих года на уровне, соответствующем ст. 4.1 КоАП. Конкретный номер дела и точная сумма штрафа — менеджер уточняет при публикации.

Пример из практики (биометрия в ЕБС). По делу банка (Приволжский ФО, начало 2026) РКН квалифицировал нарушение по ч. 16 ст. 13.11 и ст. 13.11.3 одновременно. Мировой суд объединил составы и назначил штраф по более строгому. Защита оспорила квалификацию, указав на единство деяния — обработка без согласия и хранение вне ЕБС суть одно событие. Суд снизил санкцию. Конкретные параметры — менеджер верифицирует перед публикацией.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — проверка обработки биометрии, согласий, взаимодействия с ЕБС.
Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 9. Для юрлиц диапазоны: ч. 1 — 150–300 тыс. ₽ (незаконная обработка), ч. 2 — 300–700 тыс. ₽ (обработка без письменного согласия), ч. 12 — 3–5 млн ₽ (утечка 1–10 тыс. субъектов), ч. 14 — 10–15 млн ₽ (утечка свыше 100 тыс. субъектов), ч. 17 — 15–20 млн ₽ (утечка биометрии). Оборотный штраф по ч. 15 и ч. 18 — 1–3% выручки, от 20 млн до 500 млн ₽. Точные диапазоны по ч. 16 — сверять по актуальному тексту КоАП.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф — санкция, исчисляемая от выручки оператора, а не как фиксированная сумма. По ч. 15 ст. 13.11 он применяется при повторной утечке (ч. 12–14 плюс ранее привлекавшийся по тем же составам). По ч. 18 — при повторном нарушении по биометрии (ч. 16 или ч. 17). Расчётная база — совокупная выручка за предшествующий календарный год. Минимум — 20 млн ₽, потолок — 500 млн ₽. Для снижения до 1/10 минимума нужно подтвердить инвестиции в ИБ не менее 0,1% выручки за три года (ст. 4.1 КоАП, примечание 3.4-2).

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 и ч. 18 ст. 13.11 применяется, когда расчётная сумма (1–3% выручки) оказывается ниже этого порога. Например, организация с выручкой 500 млн ₽: 1% = 5 млн ₽ — меньше минимума, применяется 20 млн ₽. Если выручка превышает 2 млрд ₽ — 1% уже выше минимума, штраф считается процентом. При наличии ИБ-инвестиций по ст. 4.1 КоАП минимум снижается до 15 млн ₽ при потолке 50 млн ₽.

4. Можно ли заменить штраф на предупреждение?

По ст. 4.1.1 КоАП замена штрафа на предупреждение возможна для субъектов МСП при первичном нарушении и отсутствии вреда. Применительно к биометрическим составам: по ч. 16 (первичное нарушение) — теоретически возможна для МСП. По оборотным составам ч. 18 — прямо исключена законом. Вероятность замены по ч. 16 зависит от материалов конкретного дела; суды рассматривают нарушения по биометрии как повышенно общественно опасные.

5. Какая подсудность дел после ФЗ-508?

До 30.05.2025 дела по ст. 13.11 рассматривали мировые судьи. С 30.05.2025 по 27.12.2025 — арбитражные суды (в связи с ФЗ-420). С 28.12.2025, после принятия ФЗ-508 от 28.12.2025, подсудность возвращена мировым судьям. Дела о нарушениях, допущенных с 28.12.2025, рассматриваются мировыми судьями. Это важно для выбора тактики защиты: мировые судьи реже применяют сложные механизмы снижения штрафа по ст. 4.1 КоАП, что требует особо тщательной подготовки позиции.

Итог

Часть 16 ст. 13.11 КоАП — это санкция за нарушение требований ст. 11 ФЗ-152 при обработке биометрических ПДн, в том числе в связке с обязательствами по 572-ФЗ о ЕБС. Для организаций финансового сектора — банков, МФО, страховщиков — это не теоретический риск: плановые и внеплановые проверки РКН в 2025–2026 годах показывают, что вопросы согласий на биометрию и уничтожения локальных шаблонов входят в стандартный чек-лист инспектора. Повторное нарушение означает оборотный штраф по ч. 18 от 20 млн ₽.

Практика DATUM по финансовому сектору охватывает сопровождение проверок РКН по биометрии, подготовку согласий в соответствии с ФЗ-156 от 24.06.2025, а также защиту в делах по ч. 16 и ч. 18 ст. 13.11 — включая сбор доказательной базы по ст. 4.1 КоАП для снижения оборотного штрафа.

СЛ

Сергей Лобанов

Аналитик · Финансовый сектор

Аналитик DATUM по финансовому сектору. Специализация — ПДн в банках, МФО, БКИ по 218-ФЗ, скоринг, биометрия в ЕБС (572-ФЗ), отказ от биометрии по ч. 8 ст. 14.8 КоАП, антиотмывочный контроль и 115-ФЗ.

28 февраля 2028 года