Перейти к содержанию
аналитика 16 февраля 2028 По состоянию на 16 февраля 2028

Внеплановая проверка после крупной утечки

Внеплановая проверка Роскомнадзора после крупной утечки — это прямое следствие уведомления оператора по ч. 3.1 ст. 21 ФЗ-152. Она начинается в течение нескольких недель после инцидента и завершается протоколом по ст. 13.11 КоАП.
С 30.05.2025 штраф за утечку от 100 000 субъектов — 10–15 млн ₽ по ч. 14 ст. 13.11 КоАП. При повторном инциденте оборотный штраф по ч. 15 составляет 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.
Если вы CEO и компания уже направила уведомление об утечке — у вас есть несколько недель до прихода инспектора. Используйте это время правильно. →

ФЗ-420 от 30.11.2024, вступивший в силу 30.05.2025, кардинально изменил ответственность операторов персональных данных. Статья 13.11 КоАП расширилась с 7 до 18 частей. Крупная утечка теперь почти автоматически влечёт внеплановую проверку: оператор сам уведомляет РКН за 24 часа, а инспектор приходит проверять, насколько системно было допущено нарушение. В этой статье — что происходит после утечки, как строится проверка и что реально снижает штраф.

Почему после крупной утечки почти всегда приходит внеплановая проверка?

Механизм запущен самим законодателем. По ч. 3.1 ст. 21 ФЗ-152 оператор обязан уведомить РКН о факте утечки в течение 24 часов с момента обнаружения. Через 72 часа — направить отчёт о результатах внутреннего расследования по Приказу РКН №187. Уведомление фактически открывает дело.

Роскомнадзор проводит внеплановую документарную проверку по основаниям п. 2 ч. 2 ст. 10 ФЗ-294 «О защите прав юридических лиц» — при поступлении обращений или информации о нарушениях обязательных требований. Уведомление оператора об утечке прямо подпадает под это основание. На практике это означает: подали уведомление — ждите запроса документов.

«Ч. 3.1 ст. 21 ФЗ-152: оператор, допустивший утечку ПДн, уведомляет РКН в течение 24 часов с момента обнаружения, а через 72 часа — направляет отчёт о внутреннем расследовании. Порядок и форма уведомления — Приказ РКН №187 от 14.11.2022.»

При масштабной утечке — от 10 000 субъектов и выше — вероятность внеплановой проверки приближается к 100%. Инспектор устанавливает не только факт утечки, но и системные причины: была ли ОРД, соответствовал ли уровень защищённости ИСПДн требованиям ПП РФ №1119, выполнены ли меры по Приказу ФСТЭК №21. По итогам составляется протокол по одной или нескольким частям ст. 13.11 КоАП.

Уведомление об утечке уже направлено — что делать CEO?

Если компания направила уведомление в РКН, у руководителя есть несколько недель до прихода инспектора. Это время критично: неправильно подготовленный пакет документов или неверные ответы в ходе проверки напрямую влияют на размер штрафа. Штраф по ч. 14 ст. 13.11 КоАП — 10–15 млн ₽; при повторности — оборотный по ч. 15, не менее 20 млн ₽.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как строится внеплановая проверка и что проверяет инспектор?

Стандартная внеплановая документарная проверка по ФЗ-294 занимает до 20 рабочих дней. Инспектор направляет запрос: перечень документов, которые оператор обязан предоставить в течение 10 рабочих дней. Если в запросе есть противоречия — оператор вправе уведомить об этом в течение 3 рабочих дней, и инспектор направляет пояснения.

Предмет проверки после утечки охватывает несколько блоков. Первый — уведомительный: зарегистрирован ли оператор в реестре РКН (ст. 22 ФЗ-152), соответствует ли заявленный объём обработки фактическому. Второй — документарный: политика обработки ПДн по ч. 2 ст. 18.1, согласия субъектов, приказ о назначении ответственного по ст. 22.1, журналы учёта обращений. Третий — технический: соответствие уровня защищённости ИСПДн требованиям ПП РФ №1119, реализация мер по Приказу ФСТЭК №21, наличие регламента реагирования на инциденты.

«Ч. 12–14 ст. 13.11 КоАП (редакция с 30.05.2025): утечка 1 000–10 000 субъектов — 3–5 млн ₽; 10 000–100 000 субъектов — 5–10 млн ₽; более 100 000 субъектов — 10–15 млн ₽. Это фиксированные диапазоны независимо от причины утечки.»

По итогам проверки инспектор составляет акт. Если выявлены нарушения — протокол об административном правонарушении. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи, что существенно влияет на тактику защиты: мировой судья рассматривает дело единолично, без коллегии.

Что подготовить до прихода инспектора

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru — актуальная на дату проверки
  • Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
  • Журнал учёта обращений субъектов с ответами за последние 12 месяцев
  • Документация по инциденту: хронология обнаружения, копии уведомлений в РКН (24 ч и 72 ч), перечень затронутых субъектов и категорий ПДн

Что реально снижает штраф по ст. 13.11 КоАП после утечки?

Размер штрафа в рамках санкции определяется судьёй с учётом смягчающих и отягчающих обстоятельств по ст. 4.1 КоАП. Для оборотного штрафа по ч. 15 ст. 13.11 существует специальная льгота — Примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420): если оператор за три предшествующих года инвестировал в информационную безопасность не менее 0,1% совокупной выручки, штраф снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.

Стандартные смягчающие обстоятельства по ст. 4.1 КоАП: добровольное устранение нарушения, содействие контрольному органу, возмещение ущерба. Всё это суд вправе учесть при назначении штрафа в нижней части санкции. Для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда суд может заменить штраф предупреждением по ст. 4.1.1 КоАП. Исключение — части 15 и 18 ст. 13.11 (оборотные): к ним ст. 4.1.1 не применяется.

Если CEO получил протокол по ч. 12–15 ст. 13.11 КоАП — оспорить его можно в течение 10 дней с момента вручения постановления. Пропуск срока обжалования в мировом суде закрывает большинство процессуальных возможностей для снижения штрафа.

Защитить от штрафа 13.11

Три сценария для CEO после крупной утечки

Сценарий 1. Утечка обнаружена, уведомление направлено вовремя, ОРД в порядке. Оператор направил первичное уведомление в РКН за 18 часов, отчёт о расследовании — за 68 часов. Политика и согласия актуальны, регламент реагирования на инциденты задокументирован. Инспектор проверяет документацию, составляет акт с минимальными замечаниями. Протокол — по ч. 12 или ч. 13 ст. 13.11 (3–10 млн ₽). Позиция в мировом суде: применение ст. 4.1 КоАП — назначение штрафа у нижней границы санкции. При наличии инвестиций в ИБ свыше 0,1% выручки — ходатайство о применении льготы по Примечанию 3.4-2 к ст. 4.1 КоАП.

Сценарий 2. Уведомление направлено, но ОРД неполная — нет регламента реагирования, политика устарела. Инспектор фиксирует несколько нарушений: ч. 3 ст. 13.11 (не опубликована актуальная политика), ч. 13 или ч. 14 (утечка). Совокупность составов увеличивает штраф. Стратегия: устранить нарушения до рассмотрения дела судьёй (ст. 4.1 КоАП — добровольное устранение как смягчающее), представить доказательства инвестиций в ИБ, ходатайствовать о минимальном штрафе в рамках санкции.

Сценарий 3. Повторная утечка — применяется ч. 15 ст. 13.11 (оборотный штраф). Компания уже привлекалась к ответственности по ч. 12–14 ст. 13.11 КоАП. Новый инцидент — основание для оборотного штрафа: 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Ст. 4.1.1 КоАП не применяется. Единственный реальный инструмент снижения — Примечание 3.4-2 к ст. 4.1 КоАП (инвестиции в ИБ ≥ 0,1% выручки за 3 года): штраф снижается до 15–50 млн ₽ вместо максимальных 500 млн ₽. Этот аргумент требует документального подтверждения: бюджеты на ИБ, договоры с интеграторами, лицензии ФСТЭК/ФСБ.

Как это работает на практике

Кейс 1. IT-компания (Сибирский ФО, осень 2025): утечка данных около 80 000 пользователей SaaS-платформы через скомпрометированный API. Первичное уведомление направлено за 21 час, отчёт — за 70 часов. При внеплановой проверке инспектор запросил 18 документов. ОРД оказалась неполной: не было утверждённого регламента реагирования и актуальной модели угроз. Протокол — по ч. 13 ст. 13.11 КоАП (5–10 млн ₽). В мировом суде юристы подтвердили инвестиции в ИБ и добровольное устранение нарушений; штраф назначен у нижней границы санкции.

Кейс 2. Торговая сеть (Центральный ФО, начало 2026): повторная утечка — данные программы лояльности более 200 000 клиентов. Первый инцидент в 2025 году завершился штрафом по ч. 12 ст. 13.11. Новый протокол — по ч. 15 (оборотный штраф). Компания подтвердила документально инвестиции в ИБ за три года в размере 0,15% годовой выручки. Мировой судья применил Примечание 3.4-2 к ст. 4.1 КоАП: штраф составил 1/10 минимума по ч. 15, что существенно ниже базового расчёта от выручки. Без юридического сопровождения этот аргумент не был бы своевременно заявлен.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 статья 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. За утечку 1 000–10 000 субъектов — 3–5 млн ₽ (ч. 12), 10 000–100 000 субъектов — 5–10 млн ₽ (ч. 13), более 100 000 субъектов — 10–15 млн ₽ (ч. 14). За неуведомление РКН об утечке в течение 24 часов — 1–3 млн ₽ (ч. 11). За первичные нарушения в ОРД — от 30 тыс. до 700 тыс. ₽ в зависимости от состава (ч. 1–6).

2. Что такое оборотный штраф 1–3%?

Оборотный штраф предусмотрен ч. 15 ст. 13.11 КоАП за повторную утечку — если компания уже привлекалась к ответственности по ч. 12–14, 15, 16–18 той же статьи. Размер — 1–3% совокупной выручки за предшествующий календарный год. Минимум — 20 млн ₽, максимум — 500 млн ₽. Ст. 4.1.1 КоАП (замена на предупреждение) к оборотному штрафу не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется, когда расчётный штраф (1–3% выручки) оказывается ниже этой суммы. Например, если выручка компании за год составила 400 млн ₽, то 1% — это 4 млн ₽, но штраф всё равно будет не менее 20 млн ₽. При документально подтверждённых инвестициях в ИБ ≥ 0,1% выручки за три года минимум снижается до 15 млн ₽ по льготе Примечания 3.4-2 к ст. 4.1 КоАП.

4. Можно ли заменить штраф на предупреждение?

Замена штрафа предупреждением по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии вреда. Это применимо к ч. 1–6, ч. 10 ст. 13.11. Для составов, связанных с утечкой (ч. 12–14) — суд может применить смягчение по ст. 4.1, но не предупреждение. К оборотным составам (ч. 15, ч. 18) ст. 4.1.1 не применяется вообще.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП снова рассматриваются мировыми судьями. До этого, с 30.05.2025 по 27.12.2025, их рассматривали арбитражные суды. Возврат подсудности мировым судьям меняет процессуальную тактику: решение принимается единолично, сроки рассмотрения короче, апелляция — в районный суд общей юрисдикции.

Итог

Внеплановая проверка после крупной утечки — не случайный визит, а прямое следствие уведомительного механизма, который оператор запускает сам по ч. 3.1 ст. 21 ФЗ-152. Размер штрафа зависит от масштаба инцидента (ч. 12–15 ст. 13.11 КоАП), состояния ОРД и технических мер, а также от того, насколько грамотно выстроена позиция на этапе проверки и в мировом суде.

DATUM сопровождает операторов на всех стадиях: подготовка к внеплановой проверке, представление интересов при взаимодействии с инспектором, оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение льготы по инвестициям в ИБ для снижения оборотного штрафа.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и ст. 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

16 февраля 2028 года