Связь с ЕБС по 572-ФЗ — Часть 18 ст. 13.11

С 30.05.2025 вступили в силу поправки к ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024. Статья расширена с 7 до 18 частей. Для CEO, чья компания работает с биометрическими персональными данными через Единую биометрическую систему (ЕБС) или вне её, это означает прямой риск оборотного штрафа при повторном нарушении. Ниже — анализ состава ч. 18 ст. 13.11, связи с ФЗ-572, условий применения оборотного механизма и инструментов защиты.

Что такое ЕБС и какие обязательства возникают по 572-ФЗ?

Единая биометрическая система — государственная информационная система, оператором которой является АО «Центр Биометрических Технологий». ФЗ-572 от 29.12.2022 обязал банки, МФЦ и иные уполномоченные организации размещать биометрические ПДн граждан исключительно через ГИС ЕБС. Хранение исходной биометрии вне ЕБС запрещено с 01.06.2023.

По ст. 11 ФЗ-152 биометрические персональные данные — это сведения, характеризующие физиологические и биологические особенности человека: изображение лица, голос, отпечатки пальцев, радужная оболочка. Обработка биометрии допускается только с письменного согласия субъекта, за исключением прямо предусмотренных законом случаев.

Для организаций, которые размещают биометрию в ЕБС (банки при открытии счетов, МФЦ при оказании госуслуг), обязательства включают: использование только сертифицированных технических средств, соблюдение порядка получения согласия, передачу данных через защищённые каналы, исключение хранения исходного биометрического шаблона на собственных мощностях.

Отдельный состав — ст. 13.11.3 КоАП: нарушение требований при размещении биометрии непосредственно в ЕБС (неправильный порядок, технические нарушения). Для юридических лиц по этой статье предусмотрен штраф 500 тыс. — 1 млн ₽. Ст. 13.11.3 применяется к нарушениям самой процедуры передачи в ЕБС, тогда как ч. 16–18 ст. 13.11 — к нарушениям при обработке биометрии в целом.

Как устроена часть 18 ст. 13.11 — состав и механизм оборотного штрафа

Часть 18 ст. 13.11 КоАП (в редакции ФЗ-420, действует с 30.05.2025) устанавливает оборотный штраф за повторное совершение нарушений, предусмотренных ч. 16 или ч. 17 той же статьи. Повторность фиксируется, если лицо ранее привлекалось к ответственности по ч. 16, ч. 17 или самой ч. 18 ст. 13.11.

Размер штрафа по ч. 18 — от 1 до 3% совокупной выручки юридического лица за предшествующий календарный год. Установлен нижний порог: не менее 20 млн ₽ (точный минимум требует верификации по актуальному тексту КоАП непосредственно перед подачей). Верхний предел — 500 млн ₽. Это означает: даже для компании с выручкой 200 млн ₽ минимальный штраф по ч. 18 составит 20 млн ₽, а не 1% от выручки (2 млн ₽).

Для сравнения: ч. 17 ст. 13.11 (первичная утечка биометрии) предусматривает фиксированный диапазон 15–20 млн ₽. Переход в оборотный состав по ч. 18 при повторности означает, что штраф для крупного оператора биометрии может исчисляться сотнями миллионов рублей.

Срок привлечения к ответственности по ч. 18 исчисляется с момента совершения повторного нарушения. Давность по ч. 18 — общая для КоАП. Важно: административное наказание по ч. 16 или ч. 17 должно вступить в законную силу до совершения нового нарушения — иначе повторность не считается.

Когда применяется скидка за инвестиции в ИБ и как её использовать?

Примечание 3.4-2 к ст. 4.1 КоАП содержит специальную норму для оборотных составов. Если оператор подтверждает, что его совокупные расходы на информационную безопасность за три предшествующих года составили не менее 0,1% годовой выручки — штраф по ч. 18 ст. 13.11 рассчитывается в размере одной десятой от минимального значения оборотного штрафа. Однако не менее 15 млн ₽ и не более 50 млн ₽.

На практике это означает: компания с выручкой 10 млрд ₽ вместо минимального штрафа 100 млн ₽ (1% от 10 млрд) заплатит 15 млн ₽ при подтверждённых вложениях в ИБ. Для применения льготы необходимо документально подтвердить расходы: договоры на ИБ-услуги, закупки СЗИ, обучение персонала, сертификацию. Суды требуют бухгалтерское подтверждение, а не декларации.

Ст. 4.1 КоАП также предусматривает общие смягчающие обстоятельства: добровольное устранение нарушения, содействие расследованию, возмещение вреда субъектам. Применительно к биометрическим утечкам суды учитывают скорость уведомления РКН (24 часа по ч. 3.1 ст. 21 ФЗ-152) и полноту отчёта за 72 часа по Приказу РКН №187.

Типовые ситуации: как компании попадают под ч. 18 ст. 13.11

Ситуация 1. Банк, хранящий биометрические шаблоны вне ЕБС после 01.06.2023. Банк провёл первичную идентификацию клиентов до вступления в силу ФЗ-572 и продолжил хранить шаблоны в собственной ИС. РКН выявил нарушение при плановой проверке, составил протокол по ч. 16 ст. 13.11 — штраф. При повторной проверке через год ситуация не устранена. РКН составляет протокол по ч. 18. Доказательная база — логи ИС, результаты технического аудита, отсутствие договора с ЦБТ. Стратегия защиты: оспаривание факта «хранения» (если шаблоны обезличены до стандарта РКН), применение ст. 4.1 через подтверждённые расходы на ИБ, ходатайство о снижении до минимума 20 млн ₽.

Ситуация 2. МФЦ, получившее протокол за сбор биометрии без согласия, и повторное нарушение. МФЦ субъекта РФ получило протокол по ч. 16 (обработка биометрии без надлежащего письменного согласия). Постановление вступило в силу. Через 8 месяцев при повторной проверке зафиксировано аналогичное нарушение. Квалификация — ч. 18 ст. 13.11. Государственное учреждение как оператор не освобождено от административной ответственности. Оборотный штраф рассчитывается от выручки бюджетного учреждения; суд вправе применить ст. 4.1 с учётом бюджетного финансирования. Стратегия: доказать отсутствие умысла, содействие расследованию, устранение нарушения до вынесения постановления.

Ситуация 3. Утечка биометрических ПДн у оператора с ранее вынесенным штрафом по ч. 17. Оператор биометрической идентификации для СКУД получил постановление по ч. 17 ст. 13.11 (утечка биометрии, 15–20 млн ₽) в 2025 году. В 2026 году произошла повторная утечка. РКН передаёт дело по ч. 18. Совокупная выручка оператора — 3 млрд ₽. Минимальный оборотный штраф — 30 млн ₽ (1% от 3 млрд). При подтверждённых расходах на ИБ 0,1% выручки в год за 3 года — применяется льгота: 1/10 от минимума, но не менее 15 млн ₽. Итог — 15 млн ₽ вместо 30–90 млн ₽.

Как реагировать на утечку биометрических ПДн за 24 и 72 часа?

При обнаружении инцидента с биометрическими ПДн алгоритм реагирования регулируется ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН №187 от 14.11.2022. У оператора есть 24 часа на первичное уведомление РКН и 72 часа на направление отчёта о результатах внутреннего расследования.

Первичное уведомление включает: дату и время обнаружения, предположительный характер инцидента, категории затронутых ПДн (для биометрии — обязательно указать), ориентировочное число субъектов, принятые меры. Неуведомление или нарушение срока — состав по ч. 11 ст. 13.11 КоАП (1–3 млн ₽). При наличии ранее вынесенного постановления за биометрические нарушения — каждое нарушение в рамках инцидента может стать основанием для квалификации по ч. 18.

Как это применяется на практике

Кейс 1. Финансовая организация в Приволжском ФО (конец 2025 года) получила протокол по ч. 16 ст. 13.11 за ненадлежащее согласие при сборе биометрии. Штраф был уплачен. Через 9 месяцев при внеплановой проверке РКН зафиксировал аналогичное нарушение. Протокол составлен по ч. 18 ст. 13.11; выручка организации за предшествующий год — около 2 млрд ₽. Размер требуемого штрафа составил сотни миллионов рублей. Юрист, привлечённый к защите, оспорил факт повторности (постановление по первому делу было обжаловано и находилось в стадии пересмотра). Арбитражный суд региона приостановил исполнение до завершения обжалования по первому делу.

Кейс 2. В деле компании-оператора СКУД в Северо-Западном ФО (начало 2026 года) утечка биометрических шаблонов сотрудников произошла через уязвимость подрядчика. Основным оператором по ст. 3 ФЗ-152 признана сама компания, а не подрядчик. Первое постановление по ч. 17 ст. 13.11 вступило в силу. Компания немедленно задокументировала расходы на ИБ за три предшествующих года (более 0,1% выручки ежегодно) и заключила соглашение об устранении нарушений. При рассмотрении второго эпизода суд применил льготу по примечанию 3.4-2 к ст. 4.1 КоАП: итоговый штраф составил 15 млн ₽ вместо расчётных 40 млн ₽.

Услуги DATUM по теме

• Защита при штрафе в арбитраже — оспаривание протоколов по ч. 16–18 ст. 13.11, применение ст. 4.1 КоАП.
• Аудит соответствия 152-ФЗ — проверка документации по биометрии, ЕБС, согласиям.
• Сопровождение проверок РКН — представление интересов при внеплановых проверках по 572-ФЗ.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 насчитывает 18 частей. По нарушениям, связанным с биометрией: ч. 16 — нарушение порядка обработки биометрических ПДн (точный диапазон для юрлиц верифицировать по актуальному тексту КоАП); ч. 17 — утечка биометрии, 15–20 млн ₽; ч. 18 — повторное нарушение по ч. 16 или ч. 17, оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Отдельная ст. 13.11.3 — нарушение при размещении биометрии в ЕБС, 500 тыс. — 1 млн ₽.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП рассчитывается от совокупной выручки юридического лица за предшествующий календарный год (по данным налоговой отчётности). Регулятор или суд вправе установить размер в диапазоне 1–3% от этой суммы. При этом нижний предел — не менее 20 млн ₽, верхний — не более 500 млн ₽. Для компании с выручкой 500 млн ₽ минимальный оборотный штраф — 20 млн ₽, а не 5 млн (1% от 500 млн).

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется всегда, когда расчётная величина (1–3% выручки) оказывается ниже этой суммы. Это актуально для компаний с выручкой менее 2 млрд ₽: 1% от 1 млрд = 10 млн ₽, но штраф всё равно составит не менее 20 млн ₽. Льгота по примечанию 3.4-2 к ст. 4.1 КоАП снижает базу расчёта до 1/10 от минимума, но с нижним порогом 15 млн ₽.

4. Можно ли заменить оборотный штраф на предупреждение?

Нет. Ст. 4.1.1 КоАП (замена штрафа на предупреждение для субъектов МСП) прямо не применяется к ч. 15 и ч. 18 ст. 13.11 КоАП — оборотным составам. Для нарушений по ч. 16 и ч. 17 (первичных) замена на предупреждение при первичности и отсутствии вреда теоретически возможна, однако на практике РКН применяет её редко. Снижение суммы оборотного штрафа возможно только через ст. 4.1 КоАП — смягчающие обстоятельства и подтверждённые расходы на ИБ.

5. Какая подсудность дел по ст. 13.11 КоАП после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи (ФЗ-508 от 28.12.2025 вернул прежний порядок). В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Это важно для планирования защитной стратегии: обжалование постановлений мирового судьи идёт в районный суд, а не в арбитраж. Для дел, возбуждённых в «арбитражный» период, порядок обжалования сохраняется арбитражный до вступления в силу итогового акта.

Итог

Часть 18 ст. 13.11 КоАП — наиболее жёсткий санкционный инструмент для операторов биометрических персональных данных. Связь с ФЗ-572 и ЕБС означает, что банки, МФЦ и операторы биометрической идентификации работают в условиях повышенного риска: первое нарушение по ч. 16 или ч. 17 автоматически создаёт условие повторности для оборотного штрафа. Минимизация риска — это документально подтверждённые расходы на ИБ, надлежащие согласия и немедленное уведомление РКН при инцидентах.

Практика DATUM по биометрии и ЕБС включает сопровождение проверок РКН, оспаривание протоколов по ч. 16–18 ст. 13.11 и подготовку доказательной базы для применения льготы по ст. 4.1 КоАП.

21 февраля 2028 года