Уголовка для CEO: когда наступает по ст. 272.1
С декабря 2024 года уголовная ответственность за нарушения в сфере персональных данных перестала быть теорией. Статья 272.1 УК введена ФЗ-421 от 30.11.2024 и действует с 11.12.2024. Одновременно ФЗ-420 расширил ст. 13.11 КоАП до 18 частей с оборотными штрафами, вступившими в силу 30.05.2025. Для CEO это означает: одна и та же утечка может повлечь административный штраф на компанию и уголовное дело лично на руководителя.
Что такое ст. 272.1 УК и кому она адресована?
Статья 272.1 УК — самостоятельный состав, отличный от ст. 272 (неправомерный доступ). Её предмет — компьютерная информация, содержащая персональные данные: незаконный сбор, хранение, использование или передача такой информации.
Субъект преступления — физическое лицо. Для CEO это означает прямую персональную ответственность, а не только санкции для юридического лица. Уголовное дело возбуждается против конкретного человека: руководителя, который принял решение об обработке ПДн, утвердил систему защиты или допустил её отсутствие.
Базовые составы ч. 1–3 охватывают незаконный сбор, хранение, использование данных. Отягчающие обстоятельства по ч. 4 и ч. 5 — трансграничная передача и тяжкие последствия — дают следствию инструмент для серьёзного давления на руководителя крупной компании.
Какой порог ответственности по ст. 13.11 КоАП с 30.05.2025?
Административная ответственность по обновлённой ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024) выстроена в 18 частях. Для CEO принципиально важны три уровня.
Оборотный штраф по ч. 15 — это повторность. Компания, которая однажды уже привлекалась по ч. 12–14, при следующей утечке получает расчёт от годовой выручки. Для бизнеса с оборотом 3 млрд ₽ минимальный оборотный штраф составит 30–90 млн ₽ при формальном расчёте по 1–3%, но не менее 20 млн ₽.
Ст. 4.1 КоАП предусматривает снижение штрафа при инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года: штраф по ч. 15 в таком случае составит 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это единственный законный механизм снижения оборотного штрафа.
Получили запрос из следственных органов или уведомление от РКН?
Если вы CEO и в компанию пришёл следователь или РКН начал проверку после утечки — административная и уголовная линии ответственности разворачиваются параллельно. Промедление с позицией по уголовной линии прямо влияет на размер административного штрафа и наоборот.
Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для смягчения, выстроят единую линию защиты по обеим линиям ответственности.
Защитить от штрафа по ст. 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Когда CEO становится фигурантом уголовного дела по ст. 272.1?
Уголовное преследование по ст. 272.1 требует умысла или грубой халатности руководителя. Следствие устанавливает: знал ли CEO о существующих уязвимостях; принимались ли решения об экономии на защите ПДн; подписывались ли приказы, снижающие уровень защиты информационных систем.
Три типовых сценария, при которых риск уголовного дела для CEO существенно возрастает.
Сценарий 1 — осознанное невыполнение требований. Компания прошла аудит, отчёт выявил критические уязвимости, CEO утвердил отчёт, но финансирование мер защиты не выделил. Утечка произошла через те самые уязвимости. Следствие получает прямую цепочку: знал — не устранил — последствие наступило. Это основание для ч. 1–3 ст. 272.1, а при большом объёме данных — для квалификации по ч. 5 как тяжкие последствия.
Сценарий 2 — трансграничная передача без уведомления. Компания использует зарубежные CRM, облачные аналитические платформы или передаёт ПДн партнёрам за рубежом без уведомления РКН. Ч. 4 ст. 272.1 прямо квалифицирует трансграничную передачу незаконно полученных ПДн как отдельный состав с санкцией до 8 лет. Для IT-компаний и e-commerce с иностранными подрядчиками это актуальный риск с декабря 2024 года.
Сценарий 3 — утечка через подрядчика при отсутствии договора поручения. Оператор несёт ответственность за действия лица, обрабатывающего ПДн по поручению, в том числе уголовную — если CEO подписал договор без раздела об обязательствах подрядчика по защите ПДн или вовсе передал данные без договора. Ст. 6 ч. 3 ФЗ-152 требует оформленного поручения; его отсутствие — признак умысла или грубой халатности для следствия.
Если в компании не проведён аудит соответствия 152-ФЗ — следствие может квалифицировать это как систематическое игнорирование требований закона. Аудит фиксирует статус-кво и служит доказательством добросовестности руководителя.
Заказать аудит 152-ФЗЧто такое оборотный штраф и когда применяется минимум 20 млн ₽?
Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении: компания уже привлекалась по ч. 12, 13 или 14 за утечку данных, и у неё произошла ещё одна утечка. Расчётная база — совокупная выручка за предшествующий календарный год. Диапазон: 1–3% выручки, но не менее 20 млн ₽ и не более 500 млн ₽.
Минимум 20 млн ₽ активируется, когда 1% выручки меньше этой суммы, то есть при годовой выручке до 2 млрд ₽. Для среднего бизнеса с выручкой 200–500 млн ₽ оборотный штраф всегда будет не менее 20 млн ₽ — независимо от масштаба утечки.
Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным штрафам по ч. 15 не применяется. Единственный механизм снижения — документально подтверждённые инвестиции в ИБ не менее 0,1% выручки за три года (ст. 4.1 КоАП): в таком случае штраф составит 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.
Что подготовить CEO для снижения рисков по ст. 272.1 УК и ст. 13.11 КоАП
- Актуальный отчёт по аудиту соответствия 152-ФЗ с датой и подписью ответственного — подтверждает, что меры защиты анализировались
- Документы об инвестициях в ИБ за три последних года с расчётом доли от выручки — основание для ст. 4.1 КоАП при оборотном штрафе
- Договоры поручения со всеми подрядчиками, обрабатывающими ПДн, по ст. 6 ч. 3 ФЗ-152 — снимает риск по трансграничным и субподрядным сценариям
- Уведомление в реестре РКН с актуальными данными по ст. 22 ФЗ-152 — первый документ, который запрашивает следствие и РКН при проверке
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с описанием его функций — разграничивает ответственность CEO и исполнителя
Как это применяется на практике
Кейс 1. Торговая компания (Центральный ФО, начало 2026) прошла внеплановую проверку РКН после жалобы субъектов. Договоры с двумя CRM-сервисами не содержали раздела о поручении обработки ПДн. РКН выдал предписание и составил протокол по ч. 1 ст. 13.11 КоАП. Генеральный директор инициировал подготовку комплекта ОРД и договоров поручения до заседания по существу. Арбитражный суд региона применил ст. 4.1.1 КоАП и заменил штраф на предупреждение с учётом первичности нарушения и устранения недостатков. Уголовное дело не возбуждалось.
Кейс 2. IT-компания (Северо-Западный ФО, осень 2025) допустила утечку клиентских данных через скомпрометированный API подрядчика. Объём — более 50 000 субъектов. РКН возбудил дело по ч. 13 ст. 13.11 КоАП (5–10 млн ₽). Следствие изучало переписку CEO с руководителем ИБ: из неё следовало, что генеральный директор был уведомлён об устаревших библиотеках API за три месяца до инцидента. Уголовное дело по ч. 1 ст. 272.1 было возбуждено. Административное производство и уголовное шли параллельно. Юристы на административной линии добились снижения штрафа за счёт документированных инвестиций в ИБ по ст. 4.1 КоАП — итоговый штраф составил сумму в нижней части допустимого диапазона.
Можно ли заменить штраф на предупреждение и какова подсудность после ФЗ-508?
Замена штрафа на предупреждение по ст. 4.1.1 КоАП применима при одновременном соблюдении условий: субъект малого или среднего предпринимательства, нарушение — первичное, вред не причинён. Для оборотных составов — ч. 15 и ч. 18 ст. 13.11 — замена на предупреждение прямо исключена. Для ч. 1–14 замена возможна, если компания подпадает под реестр МСП.
С 28.12.2025 подсудность дел по ст. 13.11 КоАП возвращена мировым судьям (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. Это влияет на процессуальную тактику: порядок обжалования постановления мирового суда отличается от арбитражного.
Сопровождение проверки РКН включает взаимодействие с инспектором до составления протокола — этот этап принципиален. Позиция, изложенная до вынесения постановления, влияет на квалификацию нарушения и применение смягчающих обстоятельств по ст. 4.1 КоАП.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
- Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с планом устранения нарушений
- Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписаний
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?
С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей в редакции ФЗ-420 от 30.11.2024. За утечку ПДн от 1 000 до 10 000 субъектов — штраф для юридического лица 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13); более 100 000 субъектов — 10–15 млн ₽ (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.
2. Что такое оборотный штраф 1–3%?
Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается от совокупной выручки компании за предшествующий календарный год. Применяется только при повторном нарушении — если компания уже привлекалась по ч. 12, 13, 14, 16, 17 или 18. Диапазон 1–3% означает, что суд выбирает ставку в зависимости от тяжести и обстоятельств. Абсолютный минимум — 20 млн ₽, абсолютный максимум — 500 млн ₽, независимо от расчётного результата.
3. Когда применяется минимум 20 млн ₽?
Минимум 20 млн ₽ применяется, когда расчётная сумма (1–3% выручки) оказывается ниже этого порога. Для компании с годовой выручкой до 2 млрд ₽ минимальный порог всегда будет 20 млн ₽. Для компаний с выручкой свыше 2 млрд ₽ расчётная сумма превысит 20 млн ₽, и штраф составит от 20 до 500 млн ₽ в зависимости от ставки и выручки. Снизить оборотный штраф позволяет только документально подтверждённые инвестиции в ИБ по ст. 4.1 КоАП.
4. Можно ли заменить штраф на предупреждение?
Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для субъектов МСП при первичном нарушении и отсутствии вреда. Это применимо к ч. 1–14 ст. 13.11. Для оборотных составов — ч. 15 и ч. 18 ст. 13.11 — замена на предупреждение прямо исключена законом. Практика 2025–2026 годов подтверждает: суды применяют ст. 4.1.1 при наличии всех условий, включая устранение нарушений до заседания.
5. Какая подсудность дел после ФЗ-508?
С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 подсудность была у арбитражных судов. Возврат к мировым судьям меняет процессуальный порядок обжалования: апелляция идёт в районный суд, а не в арбитражный апелляционный суд. Это влияет на сроки и тактику защиты.
Итог
Ст. 272.1 УК и обновлённая ст. 13.11 КоАП создают двойной периметр ответственности для CEO: административный штраф на компанию и уголовное дело лично на руководителя. Оба инструмента могут применяться к одному инциденту. Ключевые факторы риска — отсутствие аудита, незадокументированные отношения с подрядчиками и неподтверждённые инвестиции в ИБ.
Практика DATUM включает сопровождение по ст. 13.11 КоАП с 30.05.2025, выстраивание единой линии защиты при параллельных административных и уголовных производствах, применение ст. 4.1 КоАП для снижения оборотных штрафов.