аналитика 4 февраля 2028 По состоянию на 4 февраля 2028

Внутреннее расследование при подготовке к ч. 14

Часть 14 ст. 13.11 КоАП — это штраф 10–15 млн ₽ за утечку более 100 000 субъектов. При повторности — оборотный штраф до 500 млн ₽ по ч. 15.

Внутреннее расследование, проведённое до подачи 72-часового отчёта в Роскомнадзор, формирует доказательную базу, которая определяет исход дела по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024.

Если вы CEO и в компании произошла крупная утечка — у вас 72 часа на отчёт РКН и окно для выстраивания защитной позиции. → Оценить риски по 152-ФЗ

С 30.05.2025 действует расширенная редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024): утечка более 100 000 субъектов влечёт штраф 10–15 млн ₽ по ч. 14, а повторная утечка — оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ по ч. 15. Внутреннее расследование — не формальность: это инструмент, который либо снижает штраф, либо открывает путь к его замене на предупреждение. В материале разобраны структура расследования, доказательная ценность каждого шага и практика применения ст. 4.1 и 4.1.1 КоАП в делах по ч. 14.

Что такое ч. 14 ст. 13.11 КоАП и почему она важна для CEO?

Часть 14 ст. 13.11 КоАП введена ФЗ-420 от 30.11.2024 и действует с 30.05.2025. Она квалифицирует утечку персональных данных более 100 000 субъектов или более 1 000 000 уникальных идентификаторов как отдельный состав правонарушения. Штраф для юридического лица — от 10 до 15 млн ₽. Состав — формальный: факт утечки доказывается независимо от наступления конкретного вреда субъектам.

«Ст. 13.11 ч. 14 КоАП (ред. с 30.05.2025) — штраф для юрлица за утечку более 100 000 субъектов или более 1 000 000 идентификаторов: от 10 000 000 до 15 000 000 рублей.»

Для CEO критично понимать цепочку: ч. 14 при первичной утечке, ч. 15 при повторной. Часть 15 — оборотный штраф: 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Для компании с выручкой 2 млрд ₽ это диапазон 20–60 млн ₽. Для компании с выручкой 10 млрд ₽ — 100–300 млн ₽. При этом скидка в размере половины штрафа за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

Подсудность с 28.12.2025 вернулась к мировым судьям (ФЗ-508 от 28.12.2025). С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Разница существенная: мировой судья рассматривает дело единолично, возможности процессуального манёвра ограничены. Обжалование — в районный суд.

Утечка уже произошла — как выстроить защиту с первых часов?

Каждое действие в первые 72 часа фиксируется и используется в деле. Неправильно составленный 72-часовой отчёт или запоздалое уведомление РКН автоматически добавляют состав по ч. 11 ст. 13.11 (1–3 млн ₽). Юристы DATUM оспорят протокол и постановление в суде, применят ст. 4.1 и ст. 4.1.1 КоАП для смягчения или замены штрафа.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как структурировать внутреннее расследование для подготовки к ч. 14?

Внутреннее расследование при подготовке к ч. 14 выполняет две функции. Первая — формирование доказательной базы для переговоров с РКН и суда. Вторая — демонстрация добросовестности оператора, что влияет на квалификацию по ч. 1 ст. 4.1 КоАП при назначении наказания.

Расследование строится по четырём этапам, каждый из которых документируется отдельным внутренним актом.

Этап 1. Фиксация факта и масштаба. В течение первых 24 часов составляется протокол обнаружения инцидента: дата и время обнаружения, источник информации (внутренний мониторинг, сообщение подрядчика, внешний репорт, публикация в даркнете), предварительная оценка числа затронутых субъектов и категорий данных. Этот документ — основа первичного уведомления в РКН по ч. 3.1 ст. 21 ФЗ-152.

Этап 2. Анализ вектора утечки. Установление технического механизма: несанкционированный доступ, ошибка конфигурации, инсайдерская угроза, уязвимость подрядчика. Каждый сценарий требует разных доказательств. При атаке извне — логи SIEM, данные SOC, отчёт криминалистической экспертизы. При инсайде — документы о разграничении доступа, журналы выгрузки, данные DLP. При ошибке подрядчика — договор поручения обработки, переписка, технические логи.

Этап 3. Оценка ущерба и принятые меры. Фиксируются меры, принятые немедленно: блокировка уязвимости, отзыв доступов, изоляция системы. Параллельно оценивается, какие данные утекли: общие категории (контакты, идентификаторы) или специальные (здоровье, финансы, судимость). Специальные категории по ст. 10 ФЗ-152 — это отягчающее обстоятельство при квалификации.

Этап 4. Подготовка 72-часового отчёта. Отчёт в РКН по Приказу РКН №187 должен содержать: установленный вектор, число субъектов (уточнённое), принятые меры, запланированные меры. Неполный отчёт — основание для возбуждения самостоятельного дела по ч. 11 ст. 13.11. Штраф по ч. 11 — от 1 до 3 млн ₽ дополнительно.

Что подготовить для внутреннего расследования по ч. 14

Протокол обнаружения инцидента с временной меткой — основа 24-часового уведомления РКН
Логи SIEM, DLP, журналы доступа за период инцидента — доказательство вектора утечки
Договор поручения обработки ПДн с подрядчиком (если утечка через третью сторону) — доказательство надлежащей организации
Документы о принятых мерах защиты до инцидента — основание для применения ст. 4.1 КоАП
Приказ о создании комиссии по расследованию с указанием ответственных и сроков

Как применяются ст. 4.1 и ст. 4.1.1 КоАП при делах по ч. 14?

Статья 4.1 КоАП регулирует общие правила назначения наказания. При наличии смягчающих обстоятельств суд вправе назначить наказание ниже минимума. Для дел по ч. 14 минимум — 10 млн ₽. Снижение ниже минимума возможно при наличии исключительных обстоятельств, связанных с характером правонарушения и его последствиями.

«Ст. 4.1 КоАП — примечание 3.4-2: при документально подтверждённых инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам (ч. 15, ч. 18 ст. 13.11) составляет 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.»

Норма примечания 3.4-2 ст. 4.1 КоАП применяется именно к ч. 15 и ч. 18 (оборотным), не к ч. 14 напрямую. Это означает: при первичной утечке по ч. 14 инвестиционная льгота не снижает штраф с 10–15 млн ₽. Но при повторной утечке — оборотный штраф по ч. 15 при наличии документов об ИБ-инвестициях фактически ограничивается диапазоном 15–50 млн ₽ вместо потенциальных 100–500 млн ₽.

Статья 4.1.1 КоАП позволяет заменить штраф предупреждением для субъектов малого и среднего предпринимательства (МСП) при первичности нарушения и отсутствии вреда. Ограничение критическое: норма прямо исключает применение к ч. 15 и ч. 18. По ч. 14 — замена теоретически возможна, если компания имеет статус МСП. На практике суды применяют её осторожно при утечках такого масштаба.

Если вы CEO и компания получила протокол по ч. 14 — срок на обжалование исчисляется с даты вручения постановления. Промедление закрывает процессуальные возможности. Юристы DATUM подготовят позицию по ст. 4.1 и ст. 4.1.1 КоАП.

Защитить от штрафа 13.11

Типовые сценарии при подготовке к ч. 14

Сценарий 1. Утечка через подрядчика — оператор не знал. Ситуация: данные CRM-системы получены через взлом IT-подрядчика. Оператор обнаружил факт из внешнего источника через 36 часов после предполагаемого события. Доказательства: договор поручения обработки с разделом об ответственности подрядчика, логи, подтверждающие, что первичная компрометация произошла на стороне подрядчика, и переписка с подрядчиком с требованием устранить уязвимость. Вероятный исход: РКН возбуждает дело по ч. 14 против оператора — ответственность оператора за действия подрядчика установлена практикой. Стратегия: доказать надлежащий договор поручения, оперативное уведомление за 24/72 часа и отсутствие умысла — это смягчающие обстоятельства для снижения к минимуму 10 млн ₽.

Сценарий 2. Уведомление РКН подано в срок, но 72-часовой отчёт неполный. Ситуация: первичное уведомление направлено за 18 часов, отчёт за 72 часа отправлен без точного числа субъектов — на тот момент расследование не завершено. РКН возбуждает дело по ч. 11 (неполный отчёт) дополнительно к ч. 14. Доказательства: временные метки уведомлений, переписка с РКН, внутренний журнал расследования. Вероятный исход: два протокола одновременно. Стратегия: оспорить квалификацию по ч. 11, указав на содержательное соответствие отчёта Приказу РКН №187, — неполнота данных на момент подачи не тождественна невыполнению обязанности.

Сценарий 3. Повторная утечка — угроза оборотного штрафа по ч. 15. Ситуация: компания ранее привлекалась по ч. 12 (утечка 1 000–10 000 субъектов). Новая утечка — более 100 000 субъектов. РКН квалифицирует как ч. 14 с последующим переходом на ч. 15. Доказательства: материалы предыдущего дела, инвестиции в ИБ за три года (подтверждённые документально). Вероятный исход: оборотный штраф по ч. 15. Стратегия: применить примечание 3.4-2 ст. 4.1 КоАП — при ИБ-инвестициях не менее 0,1% выручки за три года штраф ограничивается 15–50 млн ₽ вместо рыночного диапазона.

Как это применяется на практике

Кейс 1. В деле Арбитражного суда Москвы № А40-351064/2025 (материал по РЭШ, начало 2026) оператор допустил утечку более 100 000 субъектов и был квалифицирован по ч. 14 ст. 13.11 КоАП. Суд применил правила расчёта для субъектов малого бизнеса и назначил штраф 400 000 ₽ — существенно ниже стандартного диапазона. Кейс демонстрирует: правовой статус юридического лица напрямую влияет на итоговую сумму даже при одинаковой квалификации.

Кейс 2. В деле Арбитражного суда Санкт-Петербурга и Ленинградской области № А56-4733/2026 оператор — цифровая платформа — допустил утечку около 70 000 субъектов через хакерскую атаку. Квалификация — ч. 14 ст. 13.11. Суд применил смягчающие обстоятельства: оперативное уведомление РКН, меры по устранению уязвимости. Итоговый штраф назначен ниже верхней границы диапазона. Позиция компании строилась на документах внутреннего расследования, подтверждавших добросовестность оператора.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и 4.1.1 КоАП
Аудит соответствия 152-ФЗ — проверка 38 пунктов, отчёт с планом устранения нарушений
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписания

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. За утечку от 1 000 до 10 000 субъектов — ч. 12 (3–5 млн ₽), от 10 000 до 100 000 — ч. 13 (5–10 млн ₽), более 100 000 — ч. 14 (10–15 млн ₽). Повторная утечка при наличии предшествующего привлечения по ч. 12–14 — ч. 15 (оборотный штраф). За неуведомление об утечке в 24 часа — ч. 11 (1–3 млн ₽). За нарушение локализации — ч. 8 (1–6 млн ₽), повторно — ч. 9 (6–18 млн ₽).

2. Что такое оборотный штраф 1–3% по ч. 15?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушения по ч. 12–14 лицом, ранее привлекавшимся по тем же или смежным составам. Размер — 1–3% совокупной выручки компании за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется. Для компаний с выручкой свыше 5 млрд ₽ минимальный оборотный штраф составит 50–150 млн ₽.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимум 20 млн ₽ применяется, когда расчётный штраф (1–3% выручки) оказывается меньше этой суммы. Это актуально для компаний с годовой выручкой менее 2 млрд ₽: при 1% от 1 млрд ₽ расчётный показатель составит 10 млн ₽, но штраф всё равно назначается в размере 20 млн ₽. Исключение — применение примечания 3.4-2 ст. 4.1 КоАП при документально подтверждённых инвестициях в ИБ: тогда минимум снижается до 15 млн ₽.

4. Можно ли заменить штраф по ч. 14 на предупреждение?

Теоретически — да, если оператор имеет статус субъекта МСП, нарушение первичное и реальный вред субъектам не причинён (ст. 4.1.1 КоАП). На практике суды крайне редко применяют замену при утечке более 100 000 субъектов: масштаб инцидента рассматривается как признак общественной опасности. По ч. 15 и ч. 18 замена штрафа предупреждением прямо исключена законом.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Обжалование решений мирового судьи — в районный суд общей юрисдикции. Это меняет процессуальную тактику: в арбитражном процессе были шире возможности для представления доказательств и обеспечительных мер.

Итог

Внутреннее расследование при подготовке к ч. 14 ст. 13.11 КоАП — это не только процессуальная обязанность, но и инструмент формирования защитной позиции. Документация по четырём этапам (фиксация, анализ вектора, оценка ущерба, 72-часовой отчёт) определяет, будет ли штраф назначен в минимальном или максимальном диапазоне и применимы ли смягчающие нормы ст. 4.1 и 4.1.1 КоАП.

Юристы DATUM сопровождают оспаривание протоколов и постановлений по ст. 13.11 КоАП в редакции ФЗ-420, включая применение инвестиционной льготы по примечанию 3.4-2 ст. 4.1 КоАП при оборотных составах ч. 15.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.