аналитика 11 января 2028 По состоянию на 11 января 2028

Внутреннее расследование при подготовке к ч. 12

Внутреннее расследование после утечки персональных данных — это не процедурная формальность, а доказательная база, от которой зависит размер штрафа по ст. 13.11 КоАП.

С 30.05.2025 утечка от 1 000 до 10 000 субъектов квалифицируется по ч. 12 ст. 13.11 КоАП с штрафом 3–5 млн ₽. При повторности — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Если вы CEO и в компании произошёл инцидент с ПДн — у вас 72 часа на отчёт для РКН и одновременно нужно выстраивать защитную позицию на случай ч. 12. → Разбираем, как это сделать.

В редакции ст. 13.11 КоАП, действующей с 30.05.2025 по ФЗ-420 от 30.11.2024, появилась принципиально новая логика: штраф за утечку теперь прямо привязан к числу пострадавших субъектов. Руководитель компании, получивший протокол по ч. 12, одновременно решает три задачи — уведомить РКН в срок, провести внутреннее расследование и подготовить материалы для оспаривания. Цена ошибки в любой из них — от 3 млн ₽ по первичному эпизоду до сотен миллионов при повторности. В этом материале — конкретная схема действий.

Что изменилось в ст. 13.11 КоАП с 30.05.2025 и при чём здесь ч. 12?

ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП с 7 до 18 частей. Три из них — ч. 12, 13 и 14 — устанавливают прогрессивные штрафы в зависимости от масштаба утечки. Ч. 12 применяется при утечке от 1 000 до 10 000 субъектов или от 10 000 до 100 000 уникальных идентификаторов. Штраф для юридического лица — 3–5 млн ₽.

«Ст. 13.11 ч. 12 КоАП (ред. с 30.05.2025) — утечка ПДн от 1 000 до 10 000 субъектов: штраф для юрлица 3 000 000 — 5 000 000 ₽. Ч. 13 — от 10 000 до 100 000 субъектов: 5 000 000 — 10 000 000 ₽. Ч. 14 — свыше 100 000 субъектов: 10 000 000 — 15 000 000 ₽.»

Ключевое отличие от старой редакции: прежде любая утечка квалифицировалась по ч. 1 с максимумом 150 000 ₽. Это объясняет, почему дело из дела АС Москвы № А40-263126/2025 завершилось штрафом 150 000 ₽ при 26 млн записей — утечка произошла до 01.06.2025 и суд применил нормы старой редакции. Компании, чьи инциденты датированы после 30.05.2025, попадают под новую шкалу.

Параллельно работает ч. 11: неуведомление или несвоевременное уведомление РКН об инциденте в 24-часовой срок — отдельный штраф 1–3 млн ₽. Таким образом, один инцидент может дать сразу два состава: по ч. 11 за нарушение срока уведомления и по ч. 12–14 за сам факт утечки.

CEO узнал об инциденте с ПДн — что делать в первые 6 часов?

24-часовой срок первичного уведомления РКН по ч. 3.1 ст. 21 ФЗ-152 — не восстанавливается. Упущенное время автоматически добавляет второй протокол по ч. 11 ст. 13.11 КоАП (1–3 млн ₽) к возможному штрафу по ч. 12. Юристы DATUM возьмут реагирование с первого часа: подготовят первичное уведомление в РКН, зафиксируют доказательную базу и выстроят защитную позицию для протокола.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как провести внутреннее расследование, чтобы оно стало защитным документом?

Внутреннее расследование по ч. 3.1 ст. 21 ФЗ-152 формально обязательно: его результаты передаются в РКН через 72 часа после первичного уведомления по Приказу РКН № 187 от 14.11.2022. Однако содержание этого документа напрямую влияет на квалификацию и размер штрафа в административном деле. Правильно оформленное расследование работает как смягчающее обстоятельство по ст. 4.1 КоАП.

Что должно войти во внутреннее расследование

Хронология инцидента: время обнаружения, источник сигнала (SIEM, жалоба, внешний отчёт), кто зафиксировал факт и каким способом.
Объём и состав затронутых ПДн: число субъектов, категории данных (общие / специальные по ст. 10 ФЗ-152 / биометрические), идентификаторы — это определяет, какая часть ст. 13.11 применима.
Причина инцидента: уязвимость инфраструктуры, ошибка персонала, действия подрядчика, внешняя атака — разграничение влияет на оценку вины оператора по ст. 4.1 КоАП.
Принятые меры: блокировка доступа, уведомление субъектов, взаимодействие с CERT, изменения в настройках ИСПДн — это база для аргументации об устранении последствий.
Подтверждение инвестиций в ИБ: справка о расходах на средства защиты за 3 последних года — для применения льготного расчёта по ст. 4.1 КоАП (снижение оборотного штрафа до 1/10 при инвестициях ≥ 0,1% выручки).

Особое внимание — к установлению числа субъектов. Именно этот показатель определяет, применяется ч. 12, 13 или 14. В судебной практике 2025–2026 годов фиксируются случаи, когда оператор оспаривал методику подсчёта РКН: регулятор считал по числу записей в утечке, оператор — по числу уникальных физических лиц. Разница могла переводить дело из ч. 14 в ч. 12 и снижать максимальный штраф с 15 до 5 млн ₽.

Как применяются ст. 4.1 и ст. 4.1.1 КоАП при штрафе по ч. 12?

Ст. 4.1 КоАП устанавливает перечень обстоятельств, которые суд или должностное лицо РКН обязаны учесть при назначении штрафа. Для дел по ч. 12–14 ст. 13.11 к смягчающим обстоятельствам относятся: добровольное устранение нарушения, возмещение вреда субъектам, активное содействие расследованию. Оперативное уведомление РКН в 24 часа и качественный отчёт по 72-часовому дедлайну фиксируются как факт содействия.

«Ст. 4.1 КоАП, Примечание 3.4-2: при инвестициях в ИБ не менее 0,1% совокупной выручки за 3 предшествующих года штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) назначается в размере 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽.»

Ст. 4.1.1 КоАП — замена штрафа на предупреждение — применима к ч. 12, если одновременно выполнены три условия: субъект малого или среднего предпринимательства (микропредприятие или МСП), нарушение совершено впервые, вред субъектам ПДн не причинён или устранён. По делу АС Москвы № А40-351064/2025 учебному заведению, квалифицированному как микропредприятие, штраф по ч. 14 (10–15 млн ₽) был снижен до 400 000 ₽ за счёт правил расчёта для микропредприятий. Для крупного бизнеса ст. 4.1.1 КоАП не работает, но ст. 4.1 КоАП — работает и позволяет добиться нижней границы диапазона или ниже.

Важно: ст. 4.1.1 КоАП прямо не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные). Для оборотного штрафа единственный законодательный механизм снижения — доказательство инвестиций в ИБ по примечанию 3.4-2 к ст. 4.1 КоАП.

Если CEO получил протокол по ч. 12 ст. 13.11 — срок на подачу возражений в РКН или обжалование в суде ограничен. Каждый день без защитной позиции сужает процессуальные возможности. Юристы DATUM специализируются на оспаривании протоколов по ст. 13.11 КоАП в редакции ФЗ-420, включая применение ст. 4.1 и ст. 4.1.1 КоАП.

Защитить от штрафа 13.11

Как складывается практика по ч. 12 в 2025–2026 году?

Практика применения новых норм ФЗ-420 накапливается медленнее, чем ожидалось. По данным отчёта InfoWatch за начало 2026 года, за весь 2025 год назначено лишь 6 штрафов по новым нормам ст. 13.11 на общую сумму около 570 тыс. ₽. Суды и регулятор отрабатывали переходный период: ряд крупных инцидентов, произошедших до 30.05.2025, квалифицировался по старой редакции. Ситуация меняется: инциденты 2025 года, которые попадают в протоколы 2026 года, уже рассматриваются по новой шкале.

Кейс 1. Компания сектора логистики (Центральный ФО, осень 2025) подверглась хакерской атаке; утекло около 4 500 записей пользователей с контактными данными. Первичное уведомление в РКН направлено за 20 часов, 72-часовой отчёт содержал хронологию, перечень уязвимостей и план устранения. Протокол составлен по ч. 12. При рассмотрении дела оператор представил справку об инвестициях в ИБ за три года. Мировой суд назначил штраф в нижней трети диапазона — около 3,2 млн ₽ вместо 5 млн ₽. Апелляция не подавалась. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. По делу АС Санкт-Петербурга и Ленинградской области № А56-4733/2026 от 10.03.2026 цифровая платформа инвестпроектов допустила утечку около 70 000 субъектов — ФИО, должность, служебный email и телефон — в результате хакерской атаки. Квалификация — ч. 14 ст. 13.11 КоАП (свыше 100 000 субъектов по идентификаторам). Суд применил смягчающие обстоятельства и назначил штраф ниже середины диапазона. Кейс показывает: даже при квалификации по ч. 14 качество расследования и доказательная база оператора влияют на итоговую сумму.

Что грозит CEO при повторной утечке: ч. 15 и уголовная ответственность

Ч. 15 ст. 13.11 КоАП — оборотный штраф — применяется при повторном нарушении по ч. 12, 13 или 14: то есть если оператор уже привлекался по этим частям или по ч. 16–18. Размер: 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотным штрафам не применяется.

«Ст. 13.11 ч. 15 КоАП (ред. с 30.05.2025) — повторная утечка: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽. Льгота по ст. 4.1 КоАП (1/10 минимума) — только при документальном подтверждении инвестиций в ИБ ≥ 0,1% выручки за 3 года.»

Параллельно с административным треком с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024). Она устанавливает уголовную ответственность за незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей ПДн. Максимальное наказание по ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Уголовное дело возбуждается не против юрлица, а против конкретных физических лиц — руководителя, CISO, сотрудника, допустившего утечку. Это меняет логику реагирования: правильное внутреннее расследование должно разграничивать организационную ответственность компании и личные действия сотрудников.

Матрица сценариев для CEO

Сценарий 1 — первичная утечка, 1 500 субъектов. Ситуация: атака на подрядчика по договору поручения обработки; оператор уведомил РКН за 22 часа. Доказательства: договор поручения с требованиями по ИБ (ст. 6 ч. 3 ФЗ-152), 72-часовой отчёт с перечнем уязвимостей подрядчика, справка об инвестициях. Вероятный исход: протокол по ч. 12, штраф 3–3,5 млн ₽, возможна ст. 4.1.1 КоАП при статусе МСП. Стратегия: оспорить методику подсчёта субъектов, представить доказательства договорных требований к подрядчику, заявить о смягчающих обстоятельствах по ст. 4.1 КоАП.

Сценарий 2 — квалификация под ч. 14, 120 000 субъектов. Ситуация: утечка через внутренний API без аутентификации; обнаружена по репортажу в СМИ. Доказательства: журналы доступа за предшествующий период, заключение по анализу уязвимостей, план устранения. Вероятный исход: протокол по ч. 14, штраф 10–15 млн ₽. Стратегия: добиться нижней границы через ст. 4.1 КоАП, задокументировать оперативное устранение уязвимости, представить ИБ-инвестиции. При наличии повторности — готовить аргументы против ч. 15 через технические доказательства прекращения обработки.

Сценарий 3 — повторность и угроза оборотного штрафа. Ситуация: за предыдущий год компания уже платила штраф по ч. 12, новый инцидент — 3 000 субъектов. Вероятный исход: ч. 15, оборотный штраф не менее 20 млн ₽. Стратегия: оспорить факт «повторности» (разные операторы при реорганизации, разные ИСПДн), применить льготу по примечанию 3.4-2 ст. 4.1 КоАП при наличии документов об ИБ-расходах — это позволяет снизить штраф до 15–50 млн ₽ вместо расчёта от выручки.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1.
Аудит соответствия 152-ФЗ — проверка готовности оператора до инцидента, включая документацию для ст. 4.1 КоАП.
Сопровождение проверок РКН — представление интересов при проверке, подготовка к составлению протокола.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 в силу вступил ФЗ-420 от 30.11.2024, расширивший ст. 13.11 КоАП до 18 частей. За утечку от 1 000 до 10 000 субъектов — ч. 12, штраф 3–5 млн ₽. От 10 000 до 100 000 — ч. 13, 5–10 млн ₽. Свыше 100 000 субъектов — ч. 14, 10–15 млн ₽. За неуведомление РКН об инциденте в 24 часа — ч. 11, 1–3 млн ₽. За повторную утечку — оборотный штраф по ч. 15. Нарушения до 30.05.2025 квалифицируются по старой редакции.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП назначается при повторном нарушении — если оператор уже привлекался по ч. 12, 13, 14, 16, 17 или 18 ст. 13.11. Размер: 1–3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 1 млрд ₽ это 10–30 млн ₽ в практическом диапазоне. Досрочная уплата со скидкой 50% по ст. 32.2 КоАП к оборотным штрафам не применяется.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется, если расчёт 1% от выручки даёт сумму меньше 20 млн ₽ — то есть при годовой выручке до 2 млрд ₽. При выручке от 2 млрд ₽ и выше фактический штраф составит 1–3% от этой суммы. Единственный способ снизить оборотный штраф — применить льготу по примечанию 3.4-2 ст. 4.1 КоАП: при документально подтверждённых инвестициях в ИБ ≥ 0,1% выручки за 3 года штраф рассчитывается как 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

4. Можно ли заменить штраф по ч. 12 на предупреждение?

Да, при одновременном выполнении условий: компания относится к микропредприятиям или субъектам МСП, нарушение совершено впервые, вред субъектам ПДн отсутствует или устранён. В этом случае ст. 4.1.1 КоАП позволяет заменить штраф на предупреждение. К оборотным составам — ч. 15 и ч. 18 ст. 13.11 — эта норма не применяется. Для крупного бизнеса механизм замены недоступен, но ст. 4.1 КоАП позволяет добиться нижней границы диапазона через смягчающие обстоятельства.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

ФЗ-508 от 28.12.2025 вернул подсудность дел по ст. 13.11 КоАП мировым судьям. В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. С 28.12.2025 — снова мировые суды. Это влияет на процессуальную тактику: обжалование постановления мирового судьи идёт в районный суд, а не в арбитраж. При уже вынесенных арбитражными судами постановлениях — применяются правила обжалования АПК.

Итог

Внутреннее расследование при подготовке к ч. 12 ст. 13.11 КоАП — это документ двойного назначения: обязательный отчёт для РКН по Приказу № 187 и одновременно доказательная база для административного дела. Качество расследования, точность подсчёта субъектов и документирование инвестиций в ИБ напрямую определяют, получит компания 3 млн ₽ или 15 млн ₽ по первичному эпизоду и удастся ли избежать оборотного штрафа при повторности.

Практика DATUM по защите от штрафов по ст. 13.11 КоАП включает сопровождение с момента инцидента — от первичного уведомления РКН до обжалования постановления у мирового судьи в редакции ФЗ-508.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.