Внутреннее расследование при защите по ч. 13
С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, оборотный штраф за повторную крупную утечку и отдельные составы за биометрию. Для CEO компании среднего и крупного бизнеса ч. 13 — наиболее вероятный состав при инциденте, затронувшем клиентскую базу: диапазон 10 000–100 000 субъектов охватывает большинство корпоративных утечек. В этой статье разбираем, что именно должно содержать внутреннее расследование, как оно влияет на позицию в деле и какие ошибки при его проведении превращают смягчающее обстоятельство в отягчающее.
Что означает ч. 13 ст. 13.11 КоАП и когда она применяется?
Часть 13 ст. 13.11 КоАП предусматривает ответственность за утечку персональных данных от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов. Штраф для юридических лиц — 5–10 млн ₽. Это квалифицированный состав: правонарушение считается совершённым в момент, когда неправомерный доступ к ПДн стал возможен, — независимо от того, воспользовался ли им кто-то фактически.
Состав применяется при трёх условиях одновременно: установлен факт неправомерного доступа, определён объём затронутых субъектов (10 000–100 000) и оператор является юридическим лицом. Если субъектов менее 1 000 — применяется ч. 12 (штраф 3–5 млн ₽); если более 100 000 — ч. 14 (штраф 10–15 млн ₽). Повторное нарушение по ч. 12–14 переводит дело в оборотный состав ч. 15.
Важно разграничить ч. 13 и смежные составы. Неуведомление РКН об утечке в 24 часа — отдельное правонарушение по ч. 11 (штраф 1–3 млн ₽). Оба состава могут вменяться одновременно: за сам факт утечки и за нарушение порядка реагирования. Внутреннее расследование непосредственно влияет на доказательную базу по обоим составам.
Почему внутреннее расследование важно для CEO с точки зрения ст. 4.1 КоАП?
Статья 4.1 КоАП устанавливает правила назначения наказания: суд учитывает смягчающие и отягчающие обстоятельства. Для оборотного штрафа по ч. 15 ст. 13.11 предусмотрена специальная льгота: если оператор за три предшествующих года вложил в информационную безопасность не менее 0,1% совокупной выручки, штраф снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП по ФЗ-420). Это единственный законодательно закреплённый механизм снижения оборотного штрафа.
Для необоротных составов (ч. 12–14) смягчающими обстоятельствами служат: добровольное устранение нарушения, содействие расследованию, принятие мер по недопущению повторения. Все три обстоятельства подтверждаются именно материалами внутреннего расследования — приказами, протоколами, журналами, техническими отчётами. Без документальной базы суд не принимает ссылки на смягчение.
Отягчающим обстоятельством по ст. 4.3 КоАП является, в частности, сокрытие следов правонарушения. Если внутреннее расследование проведено формально или документы противоречат сведениям из РКН — это трактуется против оператора. Поэтому расследование должно быть полным и согласованным с уведомлениями, поданными в РКН.
РКН возбудил дело по ч. 13 ст. 13.11 — что делать CEO прямо сейчас?
Если протокол уже составлен или вы получили уведомление о проверке, окно для формирования доказательной базы ограничено. Каждый документ, который появится после начала рассмотрения дела, суд оценивает критически. Юристы DATUM разбирают состав нарушения, проверяют уведомления в РКН и выстраивают стратегию защиты с первого дня.
Защитить от штрафа 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Как правильно провести внутреннее расследование при защите по ч. 13?
Внутреннее расследование при инциденте с ПДн состоит из шести обязательных этапов. Каждый должен быть задокументирован отдельным актом или протоколом с датой и подписями.
Первый этап: фиксация факта инцидента. Приказ о создании комиссии по расследованию с указанием состава и срока. Дата в приказе определяет точку отсчёта 24-часового срока уведомления РКН по ч. 3.1 ст. 21 ФЗ-152. Если инцидент обнаружен позже реального времени утечки — это объясняется в тексте приказа со ссылкой на технические логи.
Второй этап: определение объёма утечки. Технический отчёт с указанием категорий ПДн (общие, специальные, биометрические), количества субъектов и типа идентификаторов. Именно этот документ определяет, по какой части ст. 13.11 будет квалифицировано нарушение. Если объём оказывается менее 10 000 субъектов — нарушение переходит в ч. 12 с более низким штрафом.
Третий этап: установление причин. Анализ точки входа (внешняя атака, внутренний инсайдер, уязвимость подрядчика). Если утечка произошла через подрядчика — оператор всё равно несёт ответственность как лицо, поручившее обработку по п. 3 ст. 6 ФЗ-152, но установление вины подрядчика учитывается при определении степени вины оператора.
Четвёртый этап: оценка принятых мер защиты. Перечень организационных и технических мер, действовавших на момент инцидента: уровень защищённости по ПП РФ №1119, реализованные меры из Приказа ФСТЭК №21. Если меры соответствовали установленному УЗ — это смягчающее обстоятельство. Если УЗ был определён неверно или меры не реализованы — отягчающее.
Пятый этап: меры по устранению. Конкретные технические и организационные меры, принятые после инцидента: закрытие уязвимости, смена ключей доступа, отзыв токенов, уведомление субъектов (если предусмотрено оператором). Документируется актом с датой завершения.
Шестой этап: подготовка 72-часового отчёта для РКН. По Приказу РКН №187 от 14.11.2022 через 72 часа после первичного уведомления оператор направляет в РКН отчёт о результатах расследования. Этот отчёт должен полностью совпадать с внутренними документами по датам, объёму и категориям ПДн. Расхождения — основание для дополнительных вопросов от регулятора.
Что подготовить для защиты по ч. 13
- Приказ о создании комиссии по расследованию с датой и составом
- Технический отчёт об объёме утечки: категории ПДн, количество субъектов, тип идентификаторов
- Акт об установленных причинах инцидента с указанием точки входа
- Перечень действовавших мер защиты по ПП РФ №1119 и Приказу ФСТЭК №21
- Копии уведомлений в РКН (24 ч и 72 ч) с доказательствами отправки
Какая подсудность дел по ст. 13.11 после ФЗ-508 и как это влияет на стратегию?
До 30 мая 2025 года дела по ст. 13.11 рассматривали мировые судьи. С введением новой редакции по ФЗ-420 с 30 мая 2025 года дела передали арбитражным судам. Федеральный закон №508 от 28.12.2025 вернул подсудность мировым судьям: с 28 декабря 2025 года дела по ст. 13.11 вновь рассматривают мировые суды.
Это имеет практическое значение для стратегии защиты. Мировые судьи в большей степени применяют ст. 4.1.1 КоАП (замена штрафа предупреждением для микропредприятий при первичном нарушении и отсутствии вреда). Арбитражные суды системнее оценивают доказательную базу, но строже относятся к формальным нарушениям процедуры. Для дел, возникших из инцидентов до 28 декабря 2025 года и рассмотренных в арбитраже, сложилась отдельная практика — в частности, по применению минимального штрафа при смягчающих обстоятельствах.
Три сценария при защите по ч. 13: как действует CEO
Сценарий 1. Утечка через внешнюю атаку, уведомление подано в срок. Компания обнаруживает взлом через систему мониторинга. В течение 20 часов подаётся первичное уведомление в РКН (ч. 3.1 ст. 21 ФЗ-152), через 68 часов — отчёт о расследовании. Объём утечки — около 45 000 субъектов (ч. 13). Компания документирует меры защиты по Приказу ФСТЭК №21 и расходы на ИБ за три года. Вероятный исход: штраф в нижней части диапазона (5–6 млн ₽) с применением смягчающих по ст. 4.1 КоАП; при наличии документов об инвестициях в ИБ — аргумент для дополнительного снижения при повторности.
Сценарий 2. Утечка через подрядчика, уведомление просрочено. Данные утекли через CRM-систему стороннего вендора. Оператор узнал об инциденте из публикации в открытом источнике через 36 часов после события. Первичное уведомление в РКН подано с опозданием — нарушение одновременно по ч. 13 (сам факт утечки) и ч. 11 (неуведомление в срок, штраф 1–3 млн ₽). Стратегия: установить вину подрядчика документально, представить доказательства немедленных действий после обнаружения, ходатайствовать о рассмотрении двух составов в совокупности с применением ч. 2 ст. 4.4 КоАП (поглощение менее строгого наказания более строгим).
Сценарий 3. Повторная утечка, риск оборотного штрафа по ч. 15. Компания ранее привлекалась по ч. 12. Новый инцидент затрагивает 30 000 субъектов — квалификация по ч. 13. Повторность переводит дело в ч. 15: оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Ст. 4.1.1 КоАП о замене штрафа предупреждением к ч. 15 не применяется. Единственный инструмент снижения — примечание 3.4-2 к ст. 4.1 КоАП: подтверждение инвестиций в ИБ на уровне 0,1% выручки за три года. При выручке 1 млрд ₽/год — инвестиции от 3 млн ₽ за три года снижают штраф до 1/10 минимума, но не менее 15 млн ₽.
Если ваша компания уже получила протокол по ч. 13 или обнаружила утечку — каждый документ, появившийся после составления протокола, суд оценивает критически. Юристы DATUM проведут экстренный анализ позиции и сформируют стратегию защиты до первого заседания.
Защитить от штрафа 13.11Как это применяется на практике
Кейс 1. Торговая компания (Центральный ФО, осень 2025) столкнулась с утечкой данных покупателей программы лояльности — около 60 000 субъектов. РКН возбудил дело по ч. 13. Генеральный директор инициировал внутреннее расследование в течение четырёх часов после обнаружения, уведомление подано в 22 часа. Отчёт по 72-часовому порядку полностью совпал с внутренними актами по датам и объёму. Суд применил нижнюю границу санкции с учётом смягчающих обстоятельств по ст. 4.1 КоАП. Штраф составил несколько миллионов рублей — в нижней части диапазона по ч. 13.
Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) — утечка данных около 70 000 субъектов через уязвимость подрядчика (дело, схожее по параметрам с делом АС Санкт-Петербурга № А56-4733/2026). Компания доказала принятие организационных мер по ч. 3.1 ст. 21 ФЗ-152 и представила полный пакет документов расследования. Суд применил смягчающие обстоятельства. ⚠️ Точные реквизиты и суммы — менеджер уточняет при публикации.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП
- Аудит соответствия 152-ФЗ — проверка мер защиты и ОРД до проверки РКН
- Сопровождение проверок РКН — представительство при проверках и обжаловании предписаний
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?
С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и насчитывает 18 частей. Диапазоны штрафов для юридических лиц: ч. 12 — 3–5 млн ₽ (утечка до 10 000 субъектов), ч. 13 — 5–10 млн ₽ (10 000–100 000 субъектов), ч. 14 — 10–15 млн ₽ (свыше 100 000 субъектов). Неуведомление об утечке в срок — ч. 11, штраф 1–3 млн ₽. Повторная утечка по ч. 12–14 — оборотный штраф по ч. 15.
2. Что такое оборотный штраф 1–3% и когда он применяется?
Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении по ч. 12–14 или при совершении нарушения лицом, ранее привлекавшимся по ч. 15–18. Размер: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Повторность устанавливается в течение одного года с момента вступления в силу предыдущего постановления. Ст. 4.1.1 КоАП о замене на предупреждение к ч. 15 не применяется.
3. Когда применяется минимум 20 млн ₽ по ч. 15?
Минимум 20 млн ₽ применяется, когда расчётный штраф (1–3% выручки) оказывается ниже этого порога. Например, при выручке 400 млн ₽/год расчётный штраф — 4–12 млн ₽, но назначается минимум 20 млн ₽. Единственный инструмент снижения ниже 20 млн ₽ — примечание 3.4-2 к ст. 4.1 КоАП: подтверждённые инвестиции в ИБ от 0,1% выручки за три года снижают штраф до 1/10 минимума, но не ниже 15 млн ₽ и не выше 50 млн ₽.
4. Можно ли заменить штраф по ч. 13 на предупреждение?
Замена штрафа предупреждением по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии причинённого вреда. По ч. 13 теоретически применима при первичном нарушении — судебная практика 2025–2026 годов показывает единичные случаи такой замены. К ч. 15 (оборотный) ст. 4.1.1 не применяется. Для средних и крупных компаний замена на предупреждение не используется вне зависимости от первичности нарушения.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508?
С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 от 28.12.2025 вернул прежнюю подсудность. В период с 30 мая по 27 декабря 2025 года дела рассматривались арбитражными судами. Дела, поданные в арбитраж до 28 декабря 2025 года, завершаются по ранее установленным правилам. Это влияет на порядок обжалования: постановления мировых судей обжалуются в районный суд, затем в суд субъекта.
Итог
Внутреннее расследование при защите по ч. 13 ст. 13.11 КоАП — не формальность, а доказательная база, которая непосредственно влияет на размер штрафа. Полный пакет документов (приказ, технический отчёт, акт о причинах, перечень мер, копии уведомлений РКН) формирует основу для применения ст. 4.1 КоАП и снижения санкции в нижней части диапазона 5–10 млн ₽. При риске оборотного штрафа по ч. 15 единственный законодательный инструмент — подтверждение инвестиций в ИБ по примечанию 3.4-2 к ст. 4.1 КоАП.
Практика DATUM по защите от штрафов ст. 13.11 включает сопровождение с момента обнаружения инцидента: подготовку уведомлений в РКН, формирование доказательной базы расследования и представительство в суде. Юристы работают с делами с 2014 года в рамках сети «Ветров и партнёры».
21 января 2028 года