аналитика 7 февраля 2028 По состоянию на 7 февраля 2028

Юр. услуга по защите от ч. 13 ст. 13.11

Часть 13 ст. 13.11 КоАП — штраф от 5 до 10 млн ₽ за утечку данных от 10 000 до 100 000 субъектов. При повторности — оборотный штраф до 500 млн ₽ по ч. 15.

С 30.05.2025 действует редакция ФЗ-420 от 30.11.2024: 18 частей в ст. 13.11 КоАП, три уровня штрафов за утечки (ч. 12–14), оборотный состав (ч. 15) и уголовная ответственность по ст. 272.1 УК РФ с 11.12.2024.

→ Если ваша компания получила протокол по ч. 13 ст. 13.11 или расследует инцидент с утечкой — у вас ограниченное процессуальное окно для защиты.

Для генерального директора штраф по ч. 13 ст. 13.11 КоАП — это не административная формальность. Это 5–10 млн ₽ по первому делу и потенциальные 20–500 млн ₽ при повторности. Подсудность с 28.12.2025 вернулась к мировым судьям по ФЗ-508 — это меняет тактику защиты. В материале разобраны состав нарушения, механизм оборотного штрафа, доступные правовые инструменты снижения и практика применения ст. 4.1 и ст. 4.1.1 КоАП.

Что такое ч. 13 ст. 13.11 КоАП и кто под неё попадает?

Часть 13 ст. 13.11 КоАП в редакции с 30.05.2025 применяется к операторам персональных данных, допустившим утечку сведений от 10 000 до 100 000 субъектов либо от 100 000 до 1 000 000 уникальных идентификаторов. Оператором признаётся любое юридическое лицо или ИП, самостоятельно или совместно с другими лицами определяющее цели и порядок обработки ПДн (ст. 3 ФЗ-152).

«Ст. 13.11 ч. 13 КоАП — утечка ПДн от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов — штраф для юридического лица от 5 000 000 до 10 000 000 ₽ (в редакции с 30.05.2025, ФЗ-420 от 30.11.2024).»

Порог в 10 000 субъектов достигается быстрее, чем кажется. Интернет-магазин с базой покупателей, HR-система с кандидатами за три года, CRM страховой компании — все они потенциально попадают под ч. 13. При инциденте с участием подрядчика оператор несёт ответственность наравне: практика судов исходит из того, что оператор обязан контролировать лицо, осуществляющее обработку по поручению (ст. 6 ФЗ-152).

Квалификация по ч. 12–14 зависит от числа субъектов или идентификаторов — считается большее из двух значений. Идентификатор — это номер телефона, адрес email, СНИЛС, ИНН и аналогичные данные, позволяющие установить принадлежность к конкретному лицу. Одна запись может содержать несколько идентификаторов, что увеличивает их совокупный счёт.

Получили протокол по ч. 13 ст. 13.11 — что делать в первые 48 часов?

Процессуальные возможности защиты открываются и закрываются в строгой последовательности. Ошибка на стадии составления протокола лишает аргументов при рассмотрении дела. Юристы DATUM оценят основания протокола, подготовят позицию и представят интересы компании перед мировым судьёй — с учётом актуальной подсудности после ФЗ-508 от 28.12.2025.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как работает оборотный штраф по ч. 15 ст. 13.11 и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении по ч. 12–14, ч. 16–18 или самой ч. 15. Повторность означает совершение аналогичного нарушения в течение одного года с момента вступления предыдущего постановления в силу.

«Ст. 13.11 ч. 15 КоАП — повторная утечка ПДн — штраф от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 000 000 ₽ и не более 500 000 000 ₽ (в редакции с 30.05.2025).»

Для компании с выручкой 3 млрд ₽ оборотный штраф составит 30–90 млн ₽. Скидка 50% за добровольную уплату по ст. 32.2 КоАП к оборотным составам не применяется — законодатель прямо исключил эту возможность. Это означает, что минимум 20 млн ₽ придётся платить в полном объёме без процессуальных скидок.

Единственный легальный инструмент снижения оборотного штрафа — примечание к ст. 4.1 КоАП. Если оператор за три предшествующих года инвестировал в информационную безопасность не менее 0,1% совокупной выручки, штраф по ч. 15 рассчитывается в размере 1/10 минимального предела, но не менее 15 млн ₽ и не более 50 млн ₽. Для применения этой нормы нужны документальные подтверждения расходов на ИБ — контракты с вендорами, акты выполненных работ, платёжные поручения.

Какие инструменты снижения штрафа доступны по ст. 4.1 и ст. 4.1.1 КоАП?

Статья 4.1 КоАП устанавливает общий порядок назначения штрафа: суд обязан учитывать обстоятельства смягчающего и отягчающего характера, имущественное положение, характер и степень общественной опасности. При наличии документально подтверждённых инвестиций в ИБ применяется пониженный коэффициент — это прямо предусмотрено нормой для оборотных составов ч. 15 и ч. 18 ст. 13.11.

«Ст. 4.1 КоАП — при назначении наказания суд учитывает смягчающие обстоятельства, в том числе добровольное устранение вреда и содействие расследованию. Для оборотных составов ч. 15 и ч. 18 ст. 13.11 — инвестиции в ИБ не менее 0,1% выручки за 3 года дают право на снижение до 1/10 минимума, но не менее 15 млн ₽.»

Статья 4.1.1 КоАП позволяет заменить штраф предупреждением для микропредприятий и субъектов малого предпринимательства при первичном нарушении и отсутствии реального вреда. Важно: замена недоступна по оборотным составам — ч. 15 и ч. 18. По ч. 13 замена теоретически возможна, если компания является МСП и нарушение первичное, однако на практике суды применяют её редко при утечках от 10 000 субъектов.

Дополнительные смягчающие обстоятельства, которые влияют на нижнюю границу штрафа: добровольное уведомление РКН об утечке в 24 часа, оперативное уведомление субъектов, выявление и устранение уязвимости, отсутствие повторности, минимальные реальные последствия для субъектов. Каждый из этих факторов нужно документировать с момента обнаружения инцидента — не ретроспективно.

Если вы CEO и компания уже привлекалась по ч. 12–14 ст. 13.11 — следующий инцидент запустит оборотный механизм. 24 часа на уведомление РКН (ч. 3.1 ст. 21 ФЗ-152) — срок не восстанавливается. Юристы DATUM оценят риск повторности и подготовят защитную документацию.

Защитить от штрафа 13.11

Как подсудность дел по ст. 13.11 изменилась после ФЗ-508 от 28.12.2025?

С 30.05.2025 по 27.12.2025 дела по ст. 13.11 КоАП рассматривали арбитражные суды субъектов РФ. Это было процессуальное новшество, вызвавшее практические сложности: арбитражные суды не имели устойчивой практики по административным делам о ПДн, сроки рассмотрения затягивались.

С 28.12.2025 ФЗ-508 вернул подсудность мировым судьям. Это означает: протоколы, составленные РКН, направляются мировому судье по месту совершения правонарушения. Для защиты это принципиально — мировые судьи активнее применяют ст. 4.1.1 КоАП и чаще назначают минимальные санкции при наличии смягчающих обстоятельств. Тактика защиты в мировом суде отличается от арбитражной: акцент смещается на процессуальные нарушения при составлении протокола, исследование доказательственной базы и устные пояснения.

«ФЗ-508 от 28.12.2025 — с 28.12.2025 дела по ст. 13.11 КоАП вновь рассматривают мировые судьи по месту совершения правонарушения. В период с 30.05.2025 по 27.12.2025 подсудность принадлежала арбитражным судам.»

Типичные сценарии для генерального директора: ситуация, риск, стратегия

Сценарий 1. Утечка через подрядчика — протокол по ч. 13. Маркетинговое агентство, которому передана база рассылки на 45 000 контактов, допускает утечку. РКН составляет протокол на оператора — основную компанию. Директор считает, что «это не наша вина». Но ст. 6 ФЗ-152 прямо указывает: оператор несёт ответственность за действия лица, осуществляющего обработку по поручению. Штраф по ч. 13 — 5–10 млн ₽. Стратегия: доказать отсутствие прямой причинно-следственной связи между действиями оператора и утечкой, представить договор поручения с жёсткими требованиями безопасности, инициировать регрессный иск к подрядчику.

Сценарий 2. Повторный инцидент — угроза оборотного штрафа. Компания получила постановление по ч. 12 в декабре 2025 года. В мае 2026 года произошёл новый инцидент с утечкой 15 000 субъектов. Это квалифицируется по ч. 13, а при вступлении постановления в силу запустится ч. 15 — оборотный штраф. Стратегия: оспорить постановление декабря 2025 года (чтобы устранить основание повторности), параллельно готовить позицию по новому протоколу, документировать инвестиции в ИБ для применения примечания к ст. 4.1 КоАП.

Сценарий 3. Утечка произошла, уведомление РКН пропущено. Инцидент обнаружен внутренней командой, но служба безопасности решила «разобраться сначала». 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152 пропущен. Теперь помимо штрафа по ч. 13 за утечку возможен штраф по ч. 11 за неуведомление — ещё 1–3 млн ₽. Два протокола вместо одного. Стратегия: оспорить момент «обнаружения» (это момент, когда уполномоченный сотрудник достоверно установил факт утечки, а не первые признаки), задокументировать временну́ю шкалу выявления инцидента.

Практика применения ч. 13 ст. 13.11: что показывают первые дела

По итогам 2025 года РКН зафиксировал 118 случаев компрометации баз данных. Из них по новым нормам ст. 13.11 (редакция с 30.05.2025) назначено 6 административных штрафов на общую сумму около 570 тыс. ₽ (данные InfoWatch, февраль 2026). Такое расхождение между числом инцидентов и числом штрафов объясняется тем, что большинство инцидентов 2025 года произошло до 30.05.2025 и квалифицируется по старым нормам.

Кейс 1. Арбитражный суд Москвы рассмотрел дело по ч. 14 ст. 13.11 об утечке более 100 000 субъектов. Утечка произошла до 01.06.2025, поэтому суд применил нормы в старой редакции и назначил минимальный штраф в 150 000 ₽ (дело А40-263126/2025). Это принципиальный прецедент: дата инцидента, а не дата составления протокола, определяет применимую редакцию закона.

Кейс 2. Арбитражный суд Санкт-Петербурга и Ленинградской области рассмотрел дело по ч. 14 ст. 13.11 в отношении цифровой платформы после хакерской атаки (утечка около 70 000 субъектов — ФИО, должности, служебные контакты). Суд применил смягчающие обстоятельства и назначил штраф ниже максимума. Дело А56-4733/2026 от 10.03.2026 — первый публично известный случай применения новых норм к реальной атаке с подтверждёнными данными по смягчению (источник: ГАРАНТ.РУ, 23.03.2026).

Оба кейса подтверждают: суды готовы работать с доказательствами смягчающих обстоятельств и не применяют автоматически максимальную санкцию. Своевременная юридическая подготовка позволяет влиять на итоговый размер штрафа.

Что подготовить для защиты по ч. 13 ст. 13.11

Внутренний отчёт об инциденте с временно́й шкалой: момент обнаружения, первичная оценка масштаба, принятые меры — составляется немедленно.
Доказательства уведомления РКН: квитанция о подаче первичного уведомления за 24 часа и отчёта за 72 часа по Приказу РКН №187.
Документы об инвестициях в ИБ за последние три года: контракты, акты, платёжные поручения — для применения примечания к ст. 4.1 КоАП.
Договор с подрядчиком (если утечка через него): условия о безопасности ПДн, инструкции по обработке — для разграничения ответственности.
Актуальный пакет ОРД: политика обработки ПДн, приказ о назначении ответственного, регламент реагирования на инциденты — подтверждают системный подход к защите.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1.
Аудит соответствия 152-ФЗ — выявление уязвимостей до проверки РКН, приоритизированный план устранения.
Сопровождение проверок РКН — подготовка, представление интересов, обжалование предписаний.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей. За утечку от 1 000 до 10 000 субъектов — ч. 12, штраф 3–5 млн ₽. За утечку от 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽. За утечку более 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. За неуведомление РКН об утечке в 24 часа — ч. 11, штраф 1–3 млн ₽. Оборотный штраф за повторность — ч. 15, от 1% до 3% выручки, не менее 20 млн ₽ и не более 500 млн ₽. Все части действуют в редакции ФЗ-420 от 30.11.2024.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается как 1–3% совокупной выручки оператора за предшествующий календарный год. Нижняя граница — 20 млн ₽ независимо от выручки, верхняя — 500 млн ₽. Применяется при повторном нарушении по ч. 12–14, ч. 16–18 или самой ч. 15 в течение одного года с момента вступления в силу предыдущего постановления. Скидка 50% за добровольную уплату по ст. 32.2 КоАП к оборотному составу не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ применяется по ч. 15 ст. 13.11 КоАП при повторной утечке, если 1–3% годовой выручки оператора дают сумму ниже 20 млн ₽. То есть для компании с выручкой менее 667 млн ₽ реальный штраф будет именно 20 млн ₽ — выше, чем процентный расчёт. Инвестиции в ИБ не менее 0,1% выручки за три года снижают штраф до 1/10 минимума — но не ниже 15 млн ₽ и не выше 50 млн ₽ (примечание к ст. 4.1 КоАП).

4. Можно ли заменить штраф на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП при первичном нарушении и отсутствии реального вреда. По ч. 13 теоретически применима, если компания имеет статус МСП и нарушение первое. Однако к оборотным составам — ч. 15 и ч. 18 ст. 13.11 — замена прямо запрещена. На практике суды редко применяют ст. 4.1.1 при утечках от 10 000 субъектов, поскольку масштаб инцидента расценивается как признак существенного вреда.

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 по ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи по месту совершения правонарушения. В период с 30.05.2025 по 27.12.2025 подсудность принадлежала арбитражным судам субъектов РФ. Дела, поданные в арбитражные суды до 28.12.2025, рассматривались ими до вступления в силу ФЗ-508 — порядок передачи незавершённых дел регулировался переходными положениями.

Итог

Часть 13 ст. 13.11 КоАП — это штраф 5–10 млн ₽ за утечку от 10 000 субъектов в первый раз и оборотный механизм с минимумом 20 млн ₽ при повторности. Редакция ФЗ-420 от 30.11.2024, действующая с 30.05.2025, делает административную ответственность за утечки сопоставимой с уголовной по ст. 272.1 УК РФ по экономическим последствиям. Возможности для снижения штрафа существуют — ст. 4.1, ст. 4.1.1 КоАП, документально подтверждённые инвестиции в ИБ — но требуют подготовки до завершения административного производства.

DATUM сопровождает компании в делах по ст. 13.11 КоАП с момента составления протокола: оценка оснований, разработка позиции, представление интересов перед мировым судьёй, применение инструментов снижения санкции. Практика — с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.