аналитика 12 апреля 2028 По состоянию на 12 апреля 2028

Юр. услуга защиты по биометрии

Нарушение требований к обработке биометрических ПДн — основание для штрафа от 15 до 20 млн ₽ по ч. 17 ст. 13.11 КоАП; при повторности применяется оборотный состав с минимумом 20 млн ₽.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: биометрия выделена в отдельные составы (ч. 16–18), оборотный штраф привязан к годовой выручке компании.

Если вы CEO и ваша компания собирает, хранит или передаёт биометрические данные — оцените риски до того, как РКН выставит протокол. → Защитить от штрафа по 13.11

Биометрические персональные данные с 2024–2025 годов стали самостоятельной зоной риска по ст. 13.11 КоАП. ФЗ-420 от 30.11.2024, вступивший в силу 30.05.2025, добавил к базовым составам три специальных части — ч. 16, ч. 17 и ч. 18 — именно для биометрии. Одновременно ФЗ-421 от 30.11.2024 ввёл уголовную ответственность по ст. 272.1 УК РФ, которая действует с 11.12.2024. Для CEO это означает, что за систематические нарушения в обработке биометрии ответственность переходит из административной плоскости в уголовную. В этом материале разобраны составы, размеры санкций, инструменты защиты и практика применения норм.

Какие штрафы по ст. 13.11 КоАП с 30.05.2025 грозят за нарушения с биометрией?

Статья 13.11 КоАП в редакции ФЗ-420 насчитывает 18 частей. Биометрические составы сосредоточены в трёх из них. Часть 16 охватывает обработку биометрических ПДн с нарушением требований ст. 11 ФЗ-152: отсутствие письменного согласия субъекта, неправомерная передача биометрии третьим лицам, нарушение условий хранения. Часть 17 — это отдельный состав за утечку биометрических данных. Часть 18 — оборотный штраф при повторном нарушении по ч. 16 или ч. 17.

«Ч. 16 ст. 13.11 КоАП — обработка биометрических ПДн с нарушением требований ст. 11 ФЗ-152; ч. 17 — утечка биометрических ПДн (15–20 млн ₽ для юрлица); ч. 18 — повторное нарушение по ч. 16 или ч. 17, оборотный штраф от 1 до 3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Редакция с 30.05.2025 (ФЗ-420 от 30.11.2024).»

Параллельно действуют общие составы ст. 13.11. Если биометрия обрабатывается без уведомления РКН — штраф по ч. 10 (100–300 тыс. ₽). Если об утечке биометрии не уведомили РКН в течение 24 часов — ч. 11 (1–3 млн ₽). Если утечка затронула от 1 000 до 10 000 субъектов — ч. 12 (3–5 млн ₽), от 10 000 до 100 000 субъектов — ч. 13 (5–10 млн ₽), более 100 000 субъектов — ч. 14 (10–15 млн ₽). При повторной утечке любого масштаба применяется ч. 15 — оборотный штраф от 1 до 3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

Отдельно существует ст. 13.11.3 КоАП — нарушения при размещении биометрии в ЕБС (единой биометрической системе). Её применяют к банкам, МФЦ и иным субъектам, обязанным размещать биометрию в ГИС ЕБС. Штраф для юрлица — 500 тыс. — 1 млн ₽. Эта статья применяется параллельно с общей ст. 13.11, если нарушение охватывает оба состава.

Протокол по ст. 13.11 уже составлен или РКН запросил документы?

Если CEO получил уведомление о проверке или протокол по биометрическим составам — у вас ограниченное время на сбор доказательств смягчающих обстоятельств. Чем раньше подключается юридическая защита, тем шире набор инструментов: от переквалификации состава до применения ст. 4.1.1 КоАП. Юристы DATUM оспорят протокол и постановление в арбитраже, применят ст. 4.1 и ст. 4.1.1 КоАП для снижения санкции.

Защитить от штрафа по 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что такое оборотный штраф и когда применяется минимум 20 млн ₽?

Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП — это санкция, размер которой привязан к объёму бизнеса нарушителя. База расчёта — совокупная выручка компании за предшествующий календарный год. Диапазон ставки — от 1 до 3%. Минимальный размер штрафа — 20 млн ₽; максимальный — 500 млн ₽.

Оборотный состав наступает при повторности: если компания уже привлекалась по ч. 12–14 (утечки по числу субъектов) или по ч. 15–18 и допустила новое нарушение. Для биометрии порог повторности — повторное нарушение по ч. 16 или ч. 17. Период «повторности» отсчитывается со дня вступления в силу первого постановления.

«Ст. 4.1 КоАП, примечание 3.4-2: при инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по ч. 15 и ч. 18 ст. 13.11 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Источник: ФЗ-420 от 30.11.2024.»

Это значит, что компания с выручкой 3 млрд ₽ при стандартном расчёте может получить оборотный штраф от 30 до 90 млн ₽. При доказанных инвестициях в ИБ на уровне 0,1% выручки за три года тот же штраф снижается до диапазона 15–50 млн ₽. Размер инвестиций нужно подтверждать документально: договора с подрядчиками по ИБ, акты, счета-фактуры, бухгалтерские регистры.

Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотным составам (ч. 15, ч. 18) не применяется. Это отдельно проговорено в правоприменительной практике по первым делам 2025–2026 годов.

Когда можно заменить штраф по ст. 13.11 на предупреждение?

Статья 4.1.1 КоАП предусматривает замену штрафа на предупреждение для микропредприятий и субъектов малого и среднего предпринимательства при совокупности условий: первичность нарушения, отсутствие причинения вреда охраняемым интересам, отсутствие угрозы жизни и здоровью. Эта возможность прямо исключена для оборотных составов — ч. 15 и ч. 18 ст. 13.11 КоАП.

Для необоротных биометрических составов (ч. 16, ч. 17) замена на предупреждение теоретически допустима, если компания соответствует критериям МСП. На практике суды при крупных утечках биометрии воздерживаются от применения ст. 4.1.1 даже при формальном соответствии критериям, поскольку биометрические данные относятся к категории, требующей усиленной защиты по ст. 11 ФЗ-152.

Что подготовить для защиты в деле по биометрии

Письменные согласия субъектов на обработку биометрических ПДн по ст. 9 и ст. 11 ФЗ-152 — отдельным документом, с обязательными реквизитами.
Приказ о назначении ответственного за обработку биометрии и регламент доступа к биометрическим базам.
Журнал уведомлений РКН об утечках: первичное за 24 часа и отчёт за 72 часа по Приказу РКН №187.
Документы, подтверждающие инвестиции в информационную безопасность за три предшествующих года (для применения льготы по ст. 4.1 КоАП).
Договор с обработчиком биометрии (при поручении обработки): поручение с описанием целей, объёма и мер защиты по ст. 6 ч. 3 ФЗ-152.

Какие сценарии защиты применяются на практике?

Защита по биометрическим составам ст. 13.11 строится по нескольким моделям в зависимости от стадии и обстоятельств дела.

Сценарий 1. Протокол составлен, постановление ещё не вынесено. На этой стадии ключевая задача — сформировать доказательную базу смягчающих обстоятельств до решения суда. Суд обязан учитывать добровольное устранение нарушений, возмещение вреда субъектам, оперативное уведомление РКН. Если компания является субъектом МСП — готовится ходатайство о замене на предупреждение по ст. 4.1.1 КоАП. При наличии задокументированных инвестиций в ИБ — подаётся расчёт льготного штрафа по ст. 4.1 (до 1/10 от минимума при соблюдении порога 0,1% выручки).

Сценарий 2. Постановление вынесено, штраф по ч. 17 — 15–20 млн ₽. Обжалование в арбитражный суд (после ФЗ-508 от 28.12.2025 — к мировому судье; для юрлиц с крупными суммами суды общей юрисдикции). Основания для снижения: несоразмерность санкции масштабу нарушения, первичность, отсутствие корыстного умысла, добровольное уведомление РКН об утечке. Суды в 2025–2026 годах принимают доводы о добровольном уведомлении как значимое смягчающее обстоятельство.

Сценарий 3. Возбуждено дело по ст. 272.1 УК РФ. Уголовный состав применяется с 11.12.2024 и предусматривает до 10 лет лишения свободы по ч. 5 за тяжкие последствия. В таких делах административная и уголовная линии защиты должны быть согласованы: позиции в протоколе по КоАП и объяснения в рамках уголовного дела не должны противоречить друг другу. Ошибка на этапе КоАП-дела может стать доказательством по уголовному.

Если CEO столкнулся с делом по биометрии — 24 часа на первичное уведомление РКН не восстанавливаются, а ошибка в первых объяснениях фиксируется навсегда. Юристы DATUM оспорят протокол, применят ст. 4.1 КоАП для расчёта льготного штрафа и синхронизируют позиции по КоАП и УК.

Защитить от штрафа по 13.11

Как это применяется на практике

Кейс 1. Торговая компания Сибирского федерального округа (осень 2025) применяла СКУД с биометрической идентификацией сотрудников без оформления письменных согласий по ст. 11 ФЗ-152. РКН по результатам плановой проверки составил протокол по ч. 16 ст. 13.11 КоАП. Компания относилась к субъектам МСП, нарушение было первичным. Юристы DATUM подготовили ходатайство о замене штрафа на предупреждение по ст. 4.1.1 КоАП, одновременно оформили пакет согласий и приказ об ответственном. Суд заменил штраф на предупреждение. Параллельно было подано уведомление в РКН об изменении сведений об обработке ПДн по ст. 22 ФЗ-152, что устранило риск повторного протокола. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Финансовая организация Центрального федерального округа (начало 2026) допустила утечку биометрических шаблонов клиентов через уязвимость в стороннем сервисе идентификации. Объём — более 12 000 субъектов. РКН возбудил дела по ч. 11 (неуведомление за 24 часа) и ч. 17 (утечка биометрии). Совокупная санкция по двум составам превышала 17 млн ₽. Юристы DATUM доказали, что первичное уведомление было направлено в установленный срок, однако с техническими ошибками в форме. Суд квалифицировал это как ненадлежащее, а не несвоевременное уведомление, что позволило снизить штраф по ч. 11. По ч. 17 был представлен расчёт инвестиций в ИБ, подтверждающий порог 0,1% выручки за три года, что активировало льготу по ст. 4.1 КоАП. Итоговый штраф оказался существенно ниже первоначальных требований. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — проверка обработки биометрии, согласий по ст. 11, ОРД по биометрическим ИСПДн.
Сопровождение проверок РКН — подготовка к биометрическим проверкам, представительство перед инспектором.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025 применяются за нарушения с биометрией?

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024. За обработку биометрии с нарушением ст. 11 ФЗ-152 — ч. 16 (диапазон для юрлиц уточняется по тексту КоАП). За утечку биометрических ПДн — ч. 17, штраф 15–20 млн ₽. За повторное нарушение по ч. 16 или ч. 17 — ч. 18, оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Параллельно могут применяться ч. 11 (за неуведомление об утечке) и ч. 12–14 (за масштаб утечки по числу субъектов).

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 и ч. 18 ст. 13.11 КоАП рассчитывается как 1–3% от совокупной выручки компании за предшествующий календарный год. Минимальный размер — 20 млн ₽, максимальный — 500 млн ₽. Применяется при повторности: если компания ранее уже привлекалась по утечечным составам (ч. 12–14 или ч. 15–18) и допустила повторное нарушение. При инвестициях в ИБ на уровне не менее 0,1% выручки за три предшествующих года штраф снижается до 1/10 минимума по ст. 4.1 КоАП — не менее 15 млн ₽ и не более 50 млн ₽.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется всегда, когда расчётная сумма 1–3% выручки оказывается ниже этой отметки. Например, при годовой выручке 500 млн ₽ расчётный штраф 1% составит 5 млн ₽ — но суд назначит не менее 20 млн ₽. Исключение — при доказанных инвестициях в ИБ: тогда минимальный порог снижается до 15 млн ₽ по льготе ст. 4.1 КоАП. Верхний предел в 500 млн ₽ применяется при выручке свыше 16,7 млрд ₽ (3% ставка).

4. Можно ли заменить штраф по ст. 13.11 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для субъектов МСП при первичном нарушении и отсутствии вреда. Однако для оборотных составов — ч. 15 и ч. 18 ст. 13.11 — эта замена прямо исключена законом. По необоротным биометрическим составам (ч. 16, ч. 17) замена теоретически допустима, но суды применяют её редко, так как биометрические данные относятся к категории с усиленными требованиями защиты по ст. 11 ФЗ-152.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

ФЗ-508 от 28.12.2025 вернул дела по ст. 13.11 КоАП к мировым судьям. С 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. С 28.12.2025 подсудность снова у мировых судей. Это влияет на выбор стратегии защиты и порядок обжалования: решения мирового судьи обжалуются в районный суд, а не в арбитражный. Для юрлиц с оборотными штрафами крупного размера возможны споры о подсудности — этот вопрос требует отдельного анализа по каждому делу.

Итог

Биометрические составы ст. 13.11 КоАП — ч. 16, ч. 17, ч. 18 — образуют самостоятельный регуляторный контур с санкциями от единиц миллионов до 500 млн ₽. Одновременно с 11.12.2024 действует ст. 272.1 УК РФ, которая переводит систематические нарушения в уголовную плоскость с максимальным сроком до 10 лет. Для CEO это означает, что биометрия — не технический вопрос ИБ-подразделения, а прямой финансовый и личный риск.

Практика DATUM по защите от штрафов по ст. 13.11 КоАП включает оспаривание протоколов на стадии до постановления, применение льготного расчёта по ст. 4.1 при инвестициях в ИБ и синхронизацию позиций по административным и уголовным делам.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы, ст. 4.1 и 4.1.1 КоАП. Подсудность после ФЗ-508 — мировые судьи.