аналитика 21 февраля 2028 По состоянию на 21 февраля 2028

Услуга по уголовной защите по 272.1 от DATUM

Ст. 272.1 УК РФ — уголовная ответственность за незаконные использование, передачу, сбор или хранение компьютерной информации с персональными данными. Максимум по ч. 5 — лишение свободы до 10 лет.

С 11.12.2024 статья действует. Параллельно с 30.05.2025 вступила в силу расширенная редакция ст. 13.11 КоАП с оборотным штрафом до 500 млн ₽. Для CEO это означает личную уголовную экспозицию и одновременно корпоративный административный риск.

→ Если компания столкнулась с возбуждением дела по ст. 272.1 УК или получила протокол по ст. 13.11 КоАП — DATUM ведёт защиту по обоим направлениям.

С декабря 2024 года утечка персональных данных перестала быть исключительно административным риском. Ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024) ввела уголовную ответственность для физических лиц — в том числе руководителей и сотрудников компаний. Одновременно ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП до 18 частей: оборотный штраф при повторной утечке составляет 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Для генерального директора это два разных производства с разной природой ответственности, но единым фактическим основанием — инцидентом с данными.

Что изменила ст. 272.1 УК РФ с 11 декабря 2024 года?

До ФЗ-421 уголовная ответственность за действия с персональными данными строилась преимущественно на ст. 137 УК (нарушение неприкосновенности частной жизни) и ст. 272 УК (неправомерный доступ к охраняемой компьютерной информации). Обе нормы охватывали ограниченный круг ситуаций и редко применялись к корпоративным инцидентам.

Ст. 272.1 УК РФ создала самостоятельный состав — незаконные использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные. Ключевое отличие от ст. 272 УК: не требуется доказывать факт взлома или преодоления защиты. Достаточно установить незаконный характер действий с ПДн.

«Ст. 272.1 УК РФ — незаконные использование, передача, сбор или хранение компьютерной информации с ПДн. Ч. 5 — тяжкие последствия — лишение свободы до 10 лет. Ч. 4 — трансграничная передача незаконно полученных ПДн — до 8 лет. Действует с 11.12.2024 (ФЗ-421 от 30.11.2024).»

Практическое значение для CEO: уголовное преследование может быть возбуждено против конкретного должностного лица — директора, CISO, системного администратора — независимо от того, возбуждено ли административное дело против компании. Оба производства идут параллельно.

Какие штрафы по ст. 13.11 КоАП действуют с 30 мая 2025 года?

ФЗ-420 от 30.11.2024 пересобрал ст. 13.11 КоАП: из 7 частей до 18. Каждая часть описывает отдельный состав нарушения. Для оператора-юрлица наиболее критичны следующие:

Ч. 12 — утечка от 1 000 до 10 000 субъектов: 3–5 млн ₽.
Ч. 13 — утечка от 10 000 до 100 000 субъектов: 5–10 млн ₽.
Ч. 14 — утечка более 100 000 субъектов: 10–15 млн ₽.
Ч. 15 (оборотный штраф) — повторная утечка: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.
Ч. 11 — неуведомление РКН об утечке в течение 24 часов: 1–3 млн ₽.
Ч. 17 — утечка биометрических ПДн: 15–20 млн ₽.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф при повторной утечке: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Применяется к лицу, ранее привлекавшемуся по ч. 12–14, 15–18 ст. 13.11 КоАП. Редакция ФЗ-420, действует с 30.05.2025.»

Важно: ч. 15 не содержит скидки за досрочную уплату по ст. 32.2 КоАП. Снижение возможно только через ст. 4.1 КоАП (смягчающие обстоятельства) или через механизм инвестиций в информационную безопасность по примечанию 3.4-2 к ст. 4.1 КоАП.

Компания получила протокол по ст. 13.11 или возбуждено дело по ст. 272.1 УК?

Если CEO видит протокол по ст. 13.11 КоАП или узнал о возбуждении уголовного дела — срок на реагирование ограничен. По административному составу обжалование постановления — 10 дней с даты вручения. По уголовному делу каждый день без защитника сужает процессуальные возможности. Юристы DATUM оценят состав, квалификацию и вероятный исход в течение рабочего дня.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что такое оборотный штраф 1–3% и когда применяется минимум 20 млн ₽?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается от совокупной выручки за предшествующий календарный год. Совокупная выручка — это доход от всех видов деятельности без НДС. База берётся из данных, которые компания отражает в бухгалтерской отчётности.

Три пороговых сценария по размеру выручки:

Выручка до 667 млн ₽ в год. Расчётный штраф (3% максимум) не достигает минимума. Применяется минимальный порог — 20 млн ₽.
Выручка 667 млн — 16,7 млрд ₽. Штраф составляет 1–3% фактической выручки. Диапазон от 20 до 500 млн ₽.
Выручка свыше 16,7 млрд ₽. Расчётный штраф (3% максимум) превышает потолок. Применяется максимальный порог — 500 млн ₽.

Механизм снижения через инвестиции в ИБ (примечание 3.4-2 к ст. 4.1 КоАП): если оператор документально подтвердит инвестиции в информационную безопасность в размере не менее 0,1% совокупной выручки за три предшествующих года — штраф по оборотным составам (ч. 15 и ч. 18 ст. 13.11) исчисляется как 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это позволяет снизить базовый минимум с 20 до 15 млн ₽ при наличии доказательной базы.

Можно ли заменить штраф на предупреждение и когда суд это делает?

Ст. 4.1.1 КоАП допускает замену административного штрафа предупреждением для субъектов малого и среднего предпринимательства при одновременном выполнении условий: нарушение совершено впервые, вреда нет, угрозы жизни и здоровью нет, нарушение не связано с коррупцией.

Ключевое ограничение: ч. 15 и ч. 18 ст. 13.11 КоАП (оборотные составы) исключены из сферы действия ст. 4.1.1. Замена на предупреждение по этим частям невозможна.

По ч. 12, 13 и 14 замена теоретически возможна для СМП при первичности нарушения. Практика показывает: суды применяют её точечно. Из реальных дел 2025–2026 годов известен случай, когда компания (микропредприятие) получила предупреждение по ч. 1 ст. 13.11 вместо штрафа — суд опирался на ст. 4.1.1 КоАП с учётом первичности и отсутствия вреда. По делу № А40-351064/2025 (РЭШ) суд применил расчёт штрафа для микропредприятия по специальным правилам ч. 1 ст. 4.1.2 КоАП и назначил 400 000 ₽ вместо стандартного диапазона 10–15 млн ₽ по ч. 14.

Что подготовить для защиты от штрафа по ст. 13.11

Документальное подтверждение инвестиций в ИБ за последние три года (договоры, акты, платёжные поручения) — для применения примечания 3.4-2 к ст. 4.1 КоАП.
Журнал внутреннего расследования инцидента с отметками о времени обнаружения, принятых мерах и уведомлении РКН в сроки 24 и 72 часа.
Первичное уведомление РКН (направленное в течение 24 часов) и отчёт об инциденте (направленный через 72 часа) по Приказу РКН №187 — с подтверждением доставки.
Актуальная политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 и приказ о назначении ответственного по ст. 22.1 ФЗ-152.
Сведения о статусе компании (микропредприятие, МСП) для проверки применимости ст. 4.1.1 и ст. 4.1.2 КоАП.

Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28 декабря 2025 года?

С 30.05.2025 (дата вступления ФЗ-420) по 27.12.2025 дела по ст. 13.11 КоАП рассматривали арбитражные суды субъектов РФ. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям.

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи. Апелляция — районный суд. Это меняет процессуальную тактику защиты: процедура в мировом суде отличается от арбитражного процесса по срокам, порядку представления доказательств и составу лиц, участвующих в деле.

Для дел, возбуждённых до 28.12.2025 и находившихся на рассмотрении в арбитражных судах, действовали переходные правила. Новые дела с 28.12.2025 — исключительно мировые судьи.

Если CEO получил уведомление о проверке РКН или протокол по ст. 13.11 — срок обжалования постановления составляет 10 дней. После истечения постановление вступает в силу и направляется на принудительное исполнение. Юристы DATUM оценят перспективы снижения или отмены штрафа по ст. 13.11 КоАП и ст. 4.1 КоАП.

Защитить от штрафа 13.11

Как на практике выглядит защита по ст. 272.1 УК и ст. 13.11 КоАП одновременно

Уголовное и административное производства по одному инциденту ведутся параллельно, но имеют разную природу. Административное дело направлено против юридического лица; уголовное — против физического лица (директор, CISO, сотрудник). Действия защитника в рамках каждого производства не должны противоречить друг другу.

Кейс 1. В торговой компании Центрального ФО (весна 2025) произошла утечка данных около 15 000 клиентов через уязвимость в CRM. РКН возбудил дело по ч. 13 ст. 13.11 КоАП против юрлица. Следователи параллельно изучали действия технического директора на предмет ст. 272.1 УК. Защитники добились разграничения: в административном деле применили ст. 4.1 КоАП со смягчающими (оперативное уведомление РКН за 20 часов, отчёт за 68 часов, устранение уязвимости). Штраф снизили до нижней границы диапазона. По уголовному направлению установили, что технический директор не имел умысла и предпринял меры защиты — уголовное преследование прекратили.

Кейс 2. IT-интегратор Северо-Западного ФО (осень 2025) получил протокол по ч. 14 ст. 13.11 (более 100 000 субъектов). Компания относилась к СМП. Юристы DATUM задокументировали инвестиции в ИБ за три года на уровне 0,15% годовой выручки. Суд применил примечание 3.4-2 к ст. 4.1 КоАП: штраф снизили с базового минимума 10 млн ₽ до 15 млн ₽ по льготному расчёту. Дополнительно суд учёл первичность нарушения как смягчающее по ст. 4.1 КоАП.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Аудит соответствия 152-ФЗ — выявление нарушений до проверки РКН, снижение риска протокола.
Сопровождение проверок РКН — подготовка к проверке, представление интересов перед инспектором.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30 мая 2025 года?

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024 — 18 частей вместо прежних 7. За утечку от 1 000 до 10 000 субъектов (ч. 12) — 3–5 млн ₽; от 10 000 до 100 000 (ч. 13) — 5–10 млн ₽; более 100 000 (ч. 14) — 10–15 млн ₽. Неуведомление РКН об утечке в 24 часа (ч. 11) — 1–3 млн ₽. Утечка биометрии (ч. 17) — 15–20 млн ₽. Оборотный штраф при повторной утечке (ч. 15) — 1–3% выручки, не менее 20 млн ₽.

2. Что такое оборотный штраф 1–3% и от чего он считается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторной утечке — когда оператор уже привлекался по ч. 12, 13, 14, 15, 16, 17 или 18 ст. 13.11. База расчёта — совокупная выручка за предшествующий календарный год без НДС. Минимум 20 млн ₽ (если расчётный штраф ниже), максимум 500 млн ₽ (если расчётный выше). Скидка за досрочную уплату по ст. 32.2 КоАП к этому составу не применяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется, когда расчётный штраф (1–3% выручки) оказывается ниже этого порога. Это происходит при совокупной годовой выручке компании менее 667 млн ₽. Снизить фактический штраф можно через примечание 3.4-2 к ст. 4.1 КоАП: при документально подтверждённых инвестициях в ИБ не менее 0,1% выручки за три года суд вправе рассчитать штраф как 1/10 минимума, но не ниже 15 млн ₽ и не выше 50 млн ₽.

4. Можно ли заменить штраф на предупреждение по ст. 13.11 КоАП?

По ч. 12, 13 и 14 ст. 13.11 замена штрафа предупреждением по ст. 4.1.1 КоАП теоретически возможна для субъектов МСП при первичности нарушения и отсутствии вреда. По оборотным составам ч. 15 и ч. 18 — замена прямо исключена законом. На практике суды применяют замену точечно: требуется полный набор смягчающих обстоятельств и документальное подтверждение первичности и устранения нарушения.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28 декабря 2025 года?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025 вернул прежнюю подсудность). С 30.05.2025 по 27.12.2025 эти дела рассматривали арбитражные суды. Апелляция на решение мирового судьи подаётся в районный суд. Процессуальный порядок, сроки и тактика защиты у мирового судьи отличаются от арбитражного процесса.

Итог

Ст. 272.1 УК РФ и ст. 13.11 КоАП в редакции ФЗ-420 создали двухуровневую систему ответственности за нарушения при обработке персональных данных: уголовную — для физических лиц, административную — для организации. Оборотный штраф по ч. 15 ст. 13.11 при выручке среднего бизнеса составляет десятки миллионов рублей даже при минимальном расчёте. Снижение возможно через ст. 4.1 КоАП, примечание 3.4-2 и, в отдельных случаях, ст. 4.1.1 — но только при наличии доказательной базы, собранной до или сразу после инцидента.

DATUM ведёт дела по защите от штрафов по ст. 13.11 КоАП и сопровождает физических лиц по ст. 272.1 УК РФ с момента возбуждения дела. Практика «Ветров и партнёры» в сфере 152-ФЗ охватывает как досудебное урегулирование, так и арбитражное и общегражданское судопроизводство.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420), защита от оборотных штрафов, подсудность после ФЗ-508.

21 февраля 2028 года