Перейти к содержанию
аналитика 15 января 2028 По состоянию на 15 января 2028

Юр. услуга защиты по биометрии

С 30.05.2025 нарушения в обработке биометрических ПДн грозят штрафом до 20 млн ₽ за разовую утечку и оборотным штрафом до 500 млн ₽ при повторности — по ч. 17 и ч. 18 ст. 13.11 КоАП в редакции ФЗ-420.
С 30.05.2025 ст. 13.11 КоАП расширена до 18 частей. Биометрические составы выделены в отдельные части 16–18. Параллельно с 11.12.2024 действует ст. 272.1 УК РФ — уголовная ответственность до 10 лет за незаконный оборот ПДн, включая биометрию.
Если вы CEO и компания обрабатывает биометрию сотрудников, клиентов или посетителей — получите правовую оценку рисков до того, как РКН инициирует проверку. → Защитить компанию от штрафа

Биометрические персональные данные — изображение лица, голос, отпечатки пальцев, радужка — отнесены к отдельной категории по ст. 11 ФЗ-152. Их обработка требует письменного согласия субъекта, а нарушения с 30.05.2025 влекут самые высокие санкции в системе ст. 13.11 КоАП: 15–20 млн ₽ за утечку биометрии и до 500 млн ₽ при повторном нарушении. В материале — правовая карта рисков для CEO, разбор составов и стратегия защиты.

Какие штрафы по биометрии установлены ст. 13.11 КоАП с 30.05.2025?

ФЗ-420 от 30.11.2024 кардинально пересобрал ст. 13.11 КоАП: вместо 7 частей — 18. Биометрические составы выделены в три самостоятельных части, которые действуют с 30 мая 2025 года.

«Ч. 16 ст. 13.11 КоАП — обработка биометрических ПДн с нарушением требований ст. 11 ФЗ-152 (без письменного согласия и иные). Ч. 17 — утечка биометрических ПДн: для юрлиц 15 000 000–20 000 000 ₽. Ч. 18 — повторное нарушение по ч. 16 или ч. 17: оборотный штраф 1–3% совокупной выручки за предшествующий год, не менее 20 000 000 ₽, не более 500 000 000 ₽.»

Для сравнения: утечка общих ПДн более 100 000 субъектов (ч. 14) влечёт 10–15 млн ₽. Биометрия — отдельный и более жёсткий трек. Помимо КоАП, с 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024): незаконный сбор, хранение или передача компьютерной информации с ПДн — до 10 лет лишения свободы по ч. 5 (тяжкие последствия). Биометрия попадает в зону этой нормы напрямую.

Важно разграничить составы. Ч. 16 — нарушение порядка обработки (нет письменного согласия, неверный перечень действий, отсутствие обоснования). Ч. 17 — факт утечки биометрии, независимо от того, соблюдался ли порядок. Ч. 18 применяется при повторности: если компания уже привлекалась по ч. 16 или ч. 17 — следующее нарушение считается по оборотному составу. Отдельно стоит ст. 13.11.3 КоАП: нарушения при размещении биометрии в ЕБС банками и МФЦ — санкция для юрлиц 500 тыс.–1 млн ₽.

Получили запрос РКН или обнаружили инцидент с биометрией?

Если РКН инициировал проверку или зафиксирован несанкционированный доступ к биометрическим данным — у компании есть ограниченное окно для формирования позиции. Характер первых ответных действий CEO определяет, по какой части ст. 13.11 пройдёт квалификация. Юристы DATUM оценят состав нарушения, подготовят возражения и выстроят линию защиты в арбитраже или у мирового судьи.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Что такое оборотный штраф по биометрии и когда он применяется?

Оборотный штраф по ч. 18 ст. 13.11 КоАП — это санкция, привязанная к выручке компании, а не к фиксированной сумме. Рассчитывается от совокупной выручки за предшествующий календарный год: 1–3%. Нижний предел — 20 млн ₽, верхний — 500 млн ₽. Для компании с выручкой 1 млрд ₽ это 10–30 млн ₽; для компании с выручкой 10 млрд ₽ — уже 100–300 млн ₽.

Условие применения — повторность. Компания должна уже быть привлечена к ответственности по ч. 16 или ч. 17 ст. 13.11. Если это произошло — любое следующее нарушение в области биометрии квалифицируется по оборотному составу. Срок «сгорания» предыдущего нарушения для целей повторности — один год с даты исполнения постановления (ст. 4.6 КоАП). Это означает: первичное нарушение формирует риск оборотного штрафа на год вперёд.

Существует механизм снижения по ст. 4.1 КоАП (примечание 3.4-2): если организация за три предшествующих года инвестировала в информационную безопасность не менее 0,1% совокупной выручки — штраф по оборотным составам снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Документирование таких инвестиций — прямой инструмент снижения санкции. Однако быстрая уплата штрафа по ст. 32.2 КоАП (скидка 50%) к оборотным составам не применяется.

Что подготовить для защиты по биометрическому составу

  • Письменные согласия субъектов на обработку биометрии (ст. 11 ФЗ-152) с актуальными реквизитами по ст. 9 в ред. ФЗ-156 от 24.06.2025 — отдельный документ с 01.09.2025
  • Приказ об уровне защищённости ИСПДн (УЗ-1 или УЗ-2 при биометрии по ПП РФ №1119) и технические меры по Приказу ФСТЭК №21
  • Регламент реагирования на инциденты: журнал с временными метками обнаружения и уведомления РКН за 24/72 часа по Приказу РКН №187
  • Документация об инвестициях в ИБ за три года — для применения льготы по ст. 4.1 КоАП (минимизация оборотного штрафа)
  • Договоры поручения обработки с подрядчиками (видеонаблюдение, СКУД, HR-платформы) — ответственность оператора за утечку через подрядчика

Можно ли оспорить протокол по биометрии или заменить штраф на предупреждение?

Возможности защиты зависят от состава нарушения, стадии процесса и характеристик компании. По ст. 4.1.1 КоАП штраф может быть заменён предупреждением — но только для микропредприятий и субъектов МСП при первичности нарушения и отсутствии вреда. К ч. 18 ст. 13.11 (оборотный) эта норма не применяется. К ч. 16 и ч. 17 при соответствии критериям — применяется.

Подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025 вернулась к мировым судьям. С 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Для компаний это означает: обжалование постановлений мировых судей — в районный суд, затем в суд субъекта. Процессуальные окна и сроки обжалования по КоАП жёсткие — 10 суток с момента получения копии постановления.

На уровне протокола ключевые точки атаки: нарушение порядка составления протокола (ст. 28.2 КоАП), истечение срока давности (2 месяца по КоАП — при рассмотрении мировым судьёй), неправильная квалификация состава (ч. 16 vs. ч. 17), отсутствие субъекта правонарушения. На уровне постановления — применение смягчающих обстоятельств по ст. 4.1 КоАП: устранение нарушения до рассмотрения дела, добровольное возмещение ущерба, оперативное уведомление РКН об инциденте.

Если CEO получил постановление о штрафе по биометрическому составу — на обжалование 10 суток. Юристы DATUM оценят постановление и выстроят позицию для мирового суда или арбитража.

Защитить от штрафа 13.11

Как это применяется на практике: сценарии и кейсы

Риски по биометрии в 2025–2026 годах не теоретические. По итогам 2025 года РКН зафиксировал 118 случаев компрометации баз ПДн. Биометрические данные фигурировали в утечках организаций со СКУД, фитнес-клубов, HR-платформ и ритейла. Правоприменение по новым нормам ФЗ-420 только набирает практику, но первые дела уже показывают — суды применяют новые нормы предметно.

Сценарий 1. СКУД с распознаванием лиц, нет письменных согласий. Производственная компания (Уральский ФО, весна 2026) использует систему контроля доступа с видеоидентификацией. Согласия сотрудников включены в трудовой договор, не выделены в отдельный документ. После 01.09.2025 такая форма согласия не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. РКН при плановой проверке фиксирует нарушение — состав ч. 16 ст. 13.11. Штраф для юрлица — в пределах, установленных ч. 16 (верифицировать перед публикацией). Защита: переоформление согласий до проверки снижает риск квалификации как умышленного нарушения.

Сценарий 2. Утечка биометрии через подрядчика. Торговая сеть (Центральный ФО, лето 2025) передала обработку биометрических данных (системы лояльности с распознаванием лиц) подрядчику без надлежащего договора поручения по п. 3 ст. 6 ФЗ-152. Подрядчик допустил утечку базы. По принципу, подтверждённому практикой ВС РФ, ответственность перед РКН несёт оператор, а не подрядчик. Квалификация — ч. 17 ст. 13.11, штраф 15–20 млн ₽. Стратегия: доказать наличие контрольных мер со стороны оператора и инициировать регрессный иск к подрядчику.

Сценарий 3. Повторное нарушение — оборотный штраф. Компания уже привлекалась по ч. 16 ст. 13.11 в 2025 году. В 2026 году фиксируется новое нарушение в обработке биометрии. Квалификация — ч. 18, оборотный штраф. При выручке компании 500 млн ₽ годовых — санкция 5–15 млн ₽, но не менее 20 млн ₽ (применяется минимальный порог). Единственный инструмент снижения — инвестиции в ИБ от 0,1% выручки за три года (ст. 4.1 КоАП, примечание 3.4-2): штраф сокращается до 1/10 минимума, но не менее 15 млн ₽.

Услуги DATUM по теме

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП за биометрию с 30.05.2025?

С 30.05.2025 действуют три специальных состава: ч. 16 — нарушение порядка обработки биометрических ПДн (без письменного согласия и иные нарушения ст. 11 ФЗ-152); ч. 17 — утечка биометрических ПДн, для юрлиц 15–20 млн ₽; ч. 18 — повторное нарушение по ч. 16 или ч. 17, оборотный штраф 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Точные диапазоны по ч. 16 для юрлиц верифицируйте по актуальному тексту КоАП перед применением.

2. Что такое оборотный штраф 1–3% и как он считается?

Оборотный штраф по ч. 18 ст. 13.11 КоАП рассчитывается от совокупной выручки компании за предшествующий календарный год: 1–3% этой суммы. Нижний предел — 20 млн ₽: если 1–3% выручки меньше этого порога, применяется минимум. Верхний предел — 500 млн ₽. Применяется только при повторности (компания уже привлекалась по ч. 16 или ч. 17). Стандартная скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным составам не применяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ по ч. 18 ст. 13.11 КоАП применяется, когда 1–3% совокупной годовой выручки дают сумму ниже этого порога. Например, при выручке 300 млн ₽ в год — 1% составит 3 млн ₽, что ниже 20 млн ₽: назначается минимальные 20 млн ₽. Есть механизм снижения: при документально подтверждённых инвестициях в ИБ от 0,1% выручки за три года (ст. 4.1 КоАП, примечание 3.4-2) штраф снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

4. Можно ли заменить штраф на предупреждение по биометрическому составу?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для микропредприятий и субъектов МСП — при первичном нарушении и отсутствии вреда. К ч. 18 ст. 13.11 (оборотный состав) эта норма не применяется. К ч. 16 и ч. 17 при соответствии критериям МСП и первичности — применяется. Это подтверждается практикой: арбитражные суды и мировые судьи уже выносили предупреждения по ч. 1 ст. 13.11 в аналогичных ситуациях.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

После принятия ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП с 28.12.2025 снова рассматриваются мировыми судьями — как это было до 30.05.2025. В период с 30.05.2025 по 27.12.2025 дела направлялись в арбитражные суды. Это влияет на порядок обжалования: постановление мирового судьи обжалуется в районный суд, затем в суд субъекта. Срок подачи жалобы — 10 суток с момента получения копии постановления.

Итог

Биометрические ПДн с 30.05.2025 обеспечены самым жёстким санкционным треком в ст. 13.11 КоАП: утечка — 15–20 млн ₽, повторное нарушение — оборотный штраф до 500 млн ₽. Параллельно действует уголовная норма ст. 272.1 УК РФ с максимальным наказанием до 10 лет. Для CEO это означает прямую личную и корпоративную ответственность за состояние обработки биометрии в компании.

Юристы DATUM сопровождают компании на всех стадиях: от аудита законности обработки биометрии и подготовки к проверке РКН до оспаривания протоколов и постановлений в суде. Практика охватывает СКУД, HR-платформы с распознаванием лиц, ЕБС и биометрию в потребительском секторе.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.