Перейти к содержанию
аналитика 19 января 2028 По состоянию на 19 января 2028

Юр. услуга защиты по биометрии

Обработка биометрических персональных данных с нарушением требований ст. 11 ФЗ-152 с 30.05.2025 влечёт штраф до 20 млн ₽ по ч. 17 ст. 13.11 КоАП, а при повторности — оборотный штраф до 500 млн ₽ по ч. 18.
С момента вступления в силу ФЗ-420 от 30.11.2024 компании, использующие биометрию в СКУД, сервисах идентификации или ЕБС, оказались под прямым административным риском с шестизначными и семизначными суммами. Уголовная ответственность по ст. 272.1 УК РФ (с 11.12.2024) добавила личный риск для руководителя.
→ Если вы CEO и ваша компания собирает биометрию без письменных согласий или хранит её вне ЕБС — у вас уже есть основание для протокола по ч. 16 или ч. 17 ст. 13.11 КоАП.

С 30.05.2025 биометрические персональные данные выделены в ст. 13.11 КоАП в самостоятельный блок составов — ч. 16, 17, 18. Минимальный штраф за утечку биометрии для юридического лица составляет 15 млн ₽, при повторности запускается оборотный механизм — 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Параллельно с декабря 2024 года действует ст. 272.1 УК РФ: незаконные сбор, хранение и передача персональных данных через компьютерные системы грозят лишением свободы до 10 лет по ч. 5. Ниже — разбор составов, условий смягчения и алгоритм защиты для компании, которая уже получила протокол или готовится к проверке.

Какие штрафы по ст. 13.11 КоАП применяются к биометрии с 30.05.2025?

ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП с 7 до 18 частей. Для биометрических персональных данных введены три специальных состава.

«Ч. 16 ст. 13.11 КоАП — обработка биометрических ПДн с нарушением требований ст. 11 ФЗ-152 (в том числе без письменного согласия субъекта), кроме случаев, подпадающих под ст. 13.11.3 КоАП. Ч. 17 — утечка биометрических ПДн. Ч. 18 — повторное совершение нарушений по ч. 16 или 17: оборотный штраф 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽, не более 500 млн ₽.»

По ч. 17 для юридических лиц установлен диапазон 15–20 млн ₽. Это в 3–4 раза выше, чем штраф за утечку общих ПДн от 100 000 субъектов по ч. 14 той же статьи (10–15 млн ₽). Разница отражает повышенную чувствительность биометрических данных: их нельзя «перевыпустить» после утечки, как пароль или номер карты.

Отдельная статья — ст. 13.11.3 КоАП — регулирует нарушения при размещении биометрии в Единой биометрической системе (ЕБС): для юридических лиц предусмотрен штраф 500 тыс. – 1 млн ₽. Это касается банков, МФЦ и иных субъектов, обязанных размещать биометрию в ЕБС по ФЗ-572.

Срок давности привлечения к ответственности по биометрическим составам — 1 год с момента совершения правонарушения или обнаружения утечки. Это означает, что инцидент 2024 года может быть квалифицирован уже по новым нормам, если обнаружен после 30.05.2025.

Получили протокол по ч. 16 или ч. 17 ст. 13.11 КоАП?

Биометрические составы не предполагают замену штрафа на предупреждение при наличии вреда субъектам. Срок на подачу возражений — 10 дней с момента составления протокола. Чем раньше подключается юрист — тем шире набор инструментов: ст. 4.1, ст. 4.1.1 КоАП, расчёт инвестиций в ИБ по Примечанию 3.4-2 ст. 4.1 КоАП. После вынесения постановления возможности сужаются до апелляции.

Защитить от штрафа по биометрии

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что такое оборотный штраф по ч. 18 ст. 13.11 и когда он применяется?

Оборотный штраф — это административное взыскание, размер которого привязан к финансовым показателям компании, а не к фиксированной сумме. По ч. 18 ст. 13.11 КоАП он применяется при повторном совершении правонарушения по ч. 16 или ч. 17 в течение срока, пока лицо считается подвергнутым административному наказанию (1 год после исполнения предыдущего постановления).

«Ч. 18 ст. 13.11 КоАП: 1–3% совокупной выручки от реализации товаров (работ, услуг) за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽.»

Для компании с выручкой 1 млрд ₽ нижняя граница оборотного штрафа по ч. 18 составит 20 млн ₽ (минимум применяется, если 1% выручки ниже порога). Для компании с выручкой 5 млрд ₽ расчётный штраф при ставке 1% — 50 млн ₽. Верхняя граница в 500 млн ₽ достигается при выручке свыше 16,7 млрд ₽ и ставке 3%.

Ключевое условие смягчения оборотного штрафа — Примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420): если компания инвестировала в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф рассчитывается как 1/10 минимального размера. Итоговая сумма — не менее 15 млн ₽ и не более 50 млн ₽. Это ключевой инструмент защиты, требующий документального подтверждения расходов на ИБ.

Скидка 50% за быструю уплату штрафа по ст. 32.2 КоАП к оборотным составам ч. 15 и ч. 18 не применяется.

Как применяется ст. 272.1 УК РФ к биометрическим данным?

Статья 272.1 УК РФ введена ФЗ-421 от 30.11.2024 и действует с 11.12.2024. Она устанавливает уголовную ответственность за незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные. Биометрические данные — прямой объект этой нормы.

«Ст. 272.1 УК РФ, ч. 5: незаконные действия с ПДн, повлёкшие тяжкие последствия, — лишение свободы до 10 лет. Ч. 4: трансграничная передача незаконно полученных ПДн — до 8 лет.»

Для CEO риск возникает в ситуациях: сотрудник скачал базу биометрических шаблонов на внешний носитель, подрядчик интегратора получил несанкционированный доступ к СКУД, часть данных ЕГИСЗ или ЕБС оказалась в общем доступе. Если следствие установит умысел или халатность руководителя — вопрос переходит из административной плоскости в уголовную.

Административная и уголовная ответственность не исключают друг друга. Компания платит штраф по ч. 17 ст. 13.11 КоАП, а физическое лицо — директор, CISO, сотрудник — может быть привлечено по ст. 272.1 УК РФ одновременно.

Если в компании зафиксирован инцидент с биометрией — у вас 24 часа на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152. Неуведомление добавляет штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП к уже существующему риску по ч. 17.

Защитить от штрафа по биометрии

Типовые сценарии: как CEO оказывается под риском по биометрическим составам

Сценарий 1. Биометрия в СКУД без письменных согласий. Компания установила систему контроля доступа по лицу или отпечатку пальца. Согласия работников включены в трудовой договор общим пунктом. После 01.09.2025 такое оформление не соответствует требованиям ст. 9 ФЗ-152 в редакции ФЗ-156: согласие должно быть отдельным документом с указанием перечня биометрических данных, цели, срока и способа отзыва. Инспектор РКН при плановой проверке квалифицирует нарушение по ч. 16 ст. 13.11 КоАП. Стратегия: переоформить согласия, предоставить доказательства исправления до вынесения постановления, заявить ходатайство о применении ст. 4.1.1 КоАП при отсутствии вреда.

Сценарий 2. Утечка биометрических шаблонов через подрядчика. Интегратор СКУД имел доступ к серверу с биометрическими шаблонами для технической поддержки. После смены подрядчика база не была ограничена, и данные оказались скомпрометированы. Оператор (компания) несёт ответственность за действия обработчика по принципу, закреплённому в судебной практике ВС РФ. Квалификация — ч. 17 ст. 13.11 КоАП, штраф 15–20 млн ₽. Уведомление РКН в течение 24 часов с момента обнаружения — обязательное условие, несоблюдение которого добавляет отдельный штраф по ч. 11. Доказательство оперативного реагирования и инвестиций в ИБ — единственный путь к снижению суммы.

Сценарий 3. Повторное нарушение — запуск ч. 18 (оборотного). Компания уже привлекалась по ч. 16 ст. 13.11 КоАП в 2025 году и уплатила штраф. В 2026 году при внеплановой проверке РКН выявил повторное нарушение требований к биометрии. Постановление выносится по ч. 18 — оборотный штраф. При выручке компании 2 млрд ₽ расчётная сумма по ставке 1% составит 20 млн ₽ (применяется минимум). Документально подтверждённые расходы на ИБ в размере 0,1% выручки за три года позволяют применить Примечание 3.4-2 и снизить штраф до 15 млн ₽.

Что подготовить для защиты по биометрическим составам

  • Отдельные письменные согласия на обработку биометрических ПДн от каждого субъекта (работника, посетителя) с реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025
  • Документы, подтверждающие инвестиции в информационную безопасность за три предшествующих года (договоры, акты, платёжные поручения) для расчёта по Примечанию 3.4-2 ст. 4.1 КоАП
  • Журнал инцидентов и уведомлений РКН с отметками о соблюдении 24-часового и 72-часового сроков по Приказу РКН №187
  • Договор поручения с интегратором СКУД или иным обработчиком биометрии с разделом об обязательствах по безопасности
  • Политика обработки биометрических ПДн, опубликованная на сайте или размещённая в точке сбора данных (требование ст. 18.1 ФЗ-152)

Как применяются ст. 4.1 и ст. 4.1.1 КоАП при защите по биометрическим составам?

Ст. 4.1 КоАП устанавливает общие правила назначения административного наказания. При определении размера штрафа учитываются смягчающие обстоятельства: добровольное устранение нарушения, содействие расследованию, возмещение ущерба, явка с признанием. Для оборотного штрафа по ч. 18 специальным механизмом смягчения служит Примечание 3.4-2 — снижение до 1/10 минимума при документально подтверждённых расходах на ИБ.

Ст. 4.1.1 КоАП позволяет заменить штраф на предупреждение при одновременном соблюдении условий: субъект МСП или микропредприятие, нарушение совершено впервые, вреда субъектам не причинено, нет угрозы жизни и здоровью. Применительно к биометрическим составам это работает по ч. 16 при первичном нарушении без утечки. К ч. 17 (утечка) и ч. 18 (оборотный) замена на предупреждение не применяется.

В арбитражной практике 2025–2026 годов суды рассматривают как смягчающее обстоятельство: оперативное уведомление РКН об инциденте в пределах 24 часов, самостоятельное выявление нарушения до проверки, наличие утверждённого регламента реагирования на инциденты. Каждый из этих факторов сам по себе не снижает штраф автоматически, но в совокупности формирует позицию для суда.

Практика защиты по биометрическим составам ст. 13.11 КоАП

Кейс 1. Производственная компания Уральского ФО (зима 2025–2026) использовала СКУД с распознаванием лиц для 400 сотрудников. Согласия были включены в трудовые договоры без выделения в отдельный документ. После планового аудита кадровый юрист выявил несоответствие ещё до прихода РКН. Компания переоформила согласия, уведомила РКН об изменении в реестре операторов. При плановой проверке инспектор констатировал нарушение, но суд применил ст. 4.1.1 КоАП — первичность и самостоятельное устранение. Штраф заменён на предупреждение.

Кейс 2. Логистическая компания Центрального ФО (осень 2025) получила протокол по ч. 17 ст. 13.11 КоАП после утечки биометрических шаблонов из базы СКУД через уязвимость у подрядчика. Штраф в постановлении — в диапазоне 15–20 млн ₽. Юристы представили суду документы об инвестициях в ИБ за 2022–2024 годы на сумму, превышавшую 0,1% совокупной выручки за указанный период. Суд применил Примечание 3.4-2 к ст. 4.1 КоАП, назначив итоговый штраф в нижней границе допустимого диапазона с учётом смягчающих обстоятельств.

Связанные услуги DATUM

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП применяются к биометрии с 30.05.2025?

С 30.05.2025 действуют три специальных состава: ч. 16 — нарушение требований к обработке биометрических ПДн (без письменного согласия и т. п.), ч. 17 — утечка биометрических ПДн с диапазоном 15–20 млн ₽ для юридических лиц, ч. 18 — повторное нарушение по ч. 16 или 17, влекущее оборотный штраф 1–3% совокупной выручки, не менее 20 млн ₽ и не более 500 млн ₽. Составы введены ФЗ-420 от 30.11.2024 и существенно жёстче, чем штрафы за общие ПДн.

2. Что такое оборотный штраф 1–3% и как рассчитывается минимум 20 млн ₽?

Оборотный штраф по ч. 18 ст. 13.11 КоАП рассчитывается как процент от совокупной выручки компании за предшествующий календарный год. Минимум 20 млн ₽ применяется, когда расчётная сумма (1–3% выручки) оказывается ниже этого порога — например, у компании с выручкой менее 2 млрд ₽. Максимум 500 млн ₽ ограничивает штраф для крупных структур. Если компания документально подтвердила инвестиции в ИБ не менее 0,1% выручки за три года, штраф снижается до 1/10 минимума, но не ниже 15 млн ₽ и не выше 50 млн ₽ по Примечанию 3.4-2 к ст. 4.1 КоАП.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ применяется всегда, когда расчётная сумма в процентах от выручки оказывается ниже этого порога. Например, компания с выручкой 500 млн ₽ и ставкой 1% получила бы 5 млн ₽ расчётного штрафа — но минимальный предел поднимает его до 20 млн ₽. Снизить эту сумму до 15 млн ₽ можно только через механизм Примечания 3.4-2 при наличии документально подтверждённых расходов на информационную безопасность.

4. Можно ли заменить штраф по биометрическим составам на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП теоретически применима к ч. 16 при первичном нарушении без факта утечки и при статусе субъекта МСП. К ч. 17 (утечка биометрии) и ч. 18 (оборотный) замена не применяется. В практике 2025–2026 годов суды заменяли штрафы на предупреждения по ч. 16 при самостоятельном устранении нарушения до проверки и отсутствии ущерба субъектам. Ключевой документ — доказательства исправления до вынесения постановления.

5. Какая подсудность дел по ст. 13.11 КоАП после ФЗ-508 от 28.12.2025?

До 27.12.2025 дела по ст. 13.11 КоАП рассматривали арбитражные суды (с 30.05.2025). ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. С 28.12.2025 протоколы по всем частям ст. 13.11, включая биометрические составы ч. 16–18, направляются мировым судьям. Это влияет на процессуальную стратегию: мировые суды имеют иную практику применения ст. 4.1.1 КоАП и Примечания 3.4-2, чем арбитражные.

Итог

Биометрические составы ст. 13.11 КоАП (ч. 16–18) — наиболее дорогостоящий блок административных рисков по 152-ФЗ с 30.05.2025. Минимальный штраф за утечку биометрии составляет 15 млн ₽, оборотный при повторности — от 20 млн ₽ до 500 млн ₽. Параллельно действует уголовная ответственность по ст. 272.1 УК РФ. Единственные рабочие инструменты снижения — Примечание 3.4-2 ст. 4.1 КоАП, доказательства инвестиций в ИБ и оперативность при инциденте.

Практика DATUM по защите от штрафов по ст. 13.11 КоАП включает сопровождение на стадии протокола, арбитражное обжалование и документальную подготовку к применению механизмов смягчения. Специализация на биометрических составах — с момента вступления ФЗ-420 в силу.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП в ред. ФЗ-420, защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

Протокол по биометрии или риск оборотного штрафа — оценим за 2 часа

Защитить от штрафа по биометрии

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (983) 510-38-76 · +7 (383) 310-38-76 · info@vitveteam.ru · Telegram