Защита микропредприятия по ч. 1 + ст. 4.1.1 КоАП
С 30.05.2025 ст. 13.11 КоАП расширена с 7 до 18 частей. Для CEO микропредприятия это означает: даже «небольшое» нарушение — обработка данных без корректного правового основания или устаревшая политика конфиденциальности — попадает под санкцию от 150 000 ₽. Одновременно ФЗ-420 сохранил механизм ст. 4.1.1 КоАП: для субъектов малого и среднего предпринимательства, включая микропредприятия, штраф может быть заменён предупреждением при соблюдении ряда условий. Ниже — как работает этот механизм, где он не работает и что нужно сделать до и после получения протокола.
Что такое ч. 1 ст. 13.11 КоАП и почему она касается каждого CEO?
Часть 1 ст. 13.11 КоАП (в редакции с 30.05.2025) охватывает два состава: обработку ПДн в случаях, прямо не предусмотренных законом, и обработку, несовместимую с целями, ради которых данные были собраны. Оба состава распространены у небольших компаний: сайт собирает email для рассылки, а менеджер использует базу для обзвона; HR хранит резюме уволенных дольше, чем позволяет ст. 21 ФЗ-152; подрядчик получает полный доступ к клиентской базе без поручения по ст. 6 ФЗ-152.
Штраф для юрлица по ч. 1 — 150 000–300 000 ₽. Повторное нарушение (ч. 1.1) — уже 300 000–500 000 ₽. Роскомнадзор фиксирует нарушение в ходе плановой или внеплановой проверки, а также по жалобе субъекта ПДн. С декабря 2025 года дела снова рассматривают мировые судьи (ФЗ-508 от 28.12.2025), что ускоряет процесс: от протокола до постановления — нередко 30–45 дней.
Для CEO, подписывающего документы и отвечающего за деятельность компании, это не абстрактный риск. Протокол составляется на юрлицо, но руководитель несёт репутационные и операционные последствия: блокировка счетов в период исполнения постановления, запись в реестре операторов с пометкой о нарушении, риск повторной проверки в течение года.
Как работает ст. 4.1.1 КоАП: условия замены штрафа предупреждением
Статья 4.1.1 КоАП позволяет суду или органу, рассматривающему дело, заменить административный штраф предупреждением. Это не автоматическое право компании — это усмотрение суда при одновременном выполнении нескольких условий.
Условие 1: статус субъекта МСП, включая микропредприятие. Компания должна быть включена в Единый реестр субъектов МСП. Микропредприятие — до 15 работников и выручка до 120 млн ₽ в год. Проверяется на дату совершения нарушения, не на дату рассмотрения дела.
Условие 2: нарушение совершено впервые. «Впервые» означает отсутствие вступивших в силу постановлений по ст. 13.11 КоАП в отношении той же организации. Судебная практика трактует это ограничительно: даже одно исполненное постановление за предыдущий период лишает права на замену.
Условие 3: нарушение не причинило вреда и не создало угрозы. Отсутствие реального ущерба субъектам ПДн — ключевой аргумент. Если утечки не было, жалоб от субъектов не поступало, а данные использовались только внутри компании — это подтверждает условие.
Условие 4: нарушение не предусматривает исключений из ст. 4.1.1. Закон прямо запрещает замену штрафа предупреждением по ч. 15 и ч. 18 ст. 13.11 КоАП (оборотные штрафы). По ч. 1 такого запрета нет.
Получили протокол по ч. 1 ст. 13.11 — есть ли шанс на предупреждение?
Замена штрафа предупреждением по ст. 4.1.1 КоАП — это не «удача», а результат правильно оформленных возражений на протокол и позиции в суде. Если протокол уже на руках, время на подготовку аргументов — до первого заседания у мирового судьи. Юристы DATUM оценят состав нарушения, наличие всех четырёх условий ст. 4.1.1 и подготовят возражения с доказательной базой.
Защитить от штрафа по ст. 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Чем ч. 1 отличается от ч. 15: почему оборотный штраф — другая история?
После принятия ФЗ-420 от 30.11.2024 публичные обсуждения сосредоточились на оборотном штрафе — ч. 15 ст. 13.11 КоАП. Для CEO важно понимать разницу: ч. 15 применяется только при повторной утечке ПДн, когда компания уже привлекалась по ч. 12–14, 16–18 или ч. 15. Это квалифицирующий повторный состав за масштабные инциденты. Санкция — 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Скидка за быструю уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.
Часть 1 — другой состав. Это нарушение порядка обработки без связи с утечкой. Нет инцидента, нет пострадавших субъектов, есть только несоответствие целей или отсутствие правового основания. Именно здесь работает ст. 4.1.1 КоАП. По ч. 15 — не работает никогда.
Для микропредприятия с выручкой 50–100 млн ₽ разница принципиальная: ч. 1 с заменой по ст. 4.1.1 = предупреждение (без финансовых последствий), ч. 15 = минимум 20 млн ₽. Поэтому квалификация состава — первое, что нужно проверить при получении протокола.
Что проверить при получении протокола по ч. 1 ст. 13.11
- Статус компании в Едином реестре субъектов МСП на дату нарушения — наличие записи «микропредприятие».
- Отсутствие вступивших в силу постановлений по ст. 13.11 КоАП за предыдущие периоды — запрос через картотеку арбитражных дел и ГАС «Правосудие».
- Описание нарушения в протоколе — убедиться, что состав квалифицирован по ч. 1, а не ч. 2 или ч. 12–14 (утечка).
- Наличие или отсутствие жалоб субъектов ПДн, связанных с нарушением, — запрос в РКН по номеру дела.
- Срок подачи возражений на протокол — как правило, до первого заседания у мирового судьи.
Как применяется ст. 4.1 КоАП при инвестициях в ИБ: смягчение, а не замена
Параллельно со ст. 4.1.1 КоАП существует другой инструмент — примечание 3.4-2 к ст. 4.1 КоАП (введено ФЗ-420). Если компания инвестировала в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15, ч. 18) назначается в размере 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽.
Это инструмент для крупного бизнеса при оборотных штрафах. Для микропредприятия по ч. 1 он менее актуален — потому что ст. 4.1.1 КоАП даёт более радикальный результат (предупреждение вместо штрафа). Но если по каким-то причинам ст. 4.1.1 недоступна — например, нарушение повторное — тогда ст. 4.1 со смягчением становится единственным инструментом снижения санкции.
CEO микропредприятия стоит зафиксировать расходы на ИБ уже сейчас: даже небольшие вложения (обучение сотрудника, покупка антивируса, оплата консультации по 152-ФЗ) при надлежащем документировании формируют доказательную базу для будущих споров.
Типовые сценарии: как CEO микропредприятия сталкивается с ч. 1 ст. 13.11
Сценарий 1. Сайт с формой обратной связи без политики конфиденциальности. РКН получил жалобу от субъекта на использование его email в рассылке, которую он не заказывал. Проверка выявила: политика конфиденциальности не опубликована (нарушение ч. 3 ст. 13.11), данные используются в целях, не заявленных при сборе (ч. 1 ст. 13.11). Компания — микропредприятие, нарушение первичное, пострадавший субъект не понёс имущественного ущерба. Стратегия: в возражениях на протокол — фиксация статуса МСП, отсутствие предшествующих постановлений, отсутствие вреда, ходатайство о применении ст. 4.1.1 КоАП. Вероятный исход: предупреждение вместо штрафа 150 000–300 000 ₽.
Сценарий 2. Подрядчик получил доступ к клиентской базе без договора поручения. IT-компания (микропредприятие) передала подрядчику-разработчику базу клиентов в полном объёме для тестирования. Договор поручения обработки ПДн по п. 3 ст. 6 ФЗ-152 не оформлялся. РКН квалифицировал это как передачу ПДн без правового основания — ч. 1 ст. 13.11. Доказательства отсутствия вреда: данные не распространялись, подрядчик их удалил. Ст. 4.1.1 применима. Дополнительный аргумент: компания устранила нарушение до постановления — заключила договор поручения и получила подтверждение удаления.
Сценарий 3. Нарушение выявлено в ходе плановой проверки реестра операторов. Розничная компания (12 сотрудников, выручка 80 млн ₽) числилась в реестре операторов с уведомлением 2019 года. За это время открылась интернет-торговля, сайт собирает данные покупателей. Фактический объём обработки шире заявленного — нарушение ч. 1 ст. 13.11. Нарушение обнаружено РКН при плановой сверке, не в результате жалобы. Компания немедленно подала уточнённое уведомление в реестр. Это — обстоятельство, смягчающее ответственность по ст. 4.2 КоАП, в совокупности со ст. 4.1.1 — основание для предупреждения.
Если CEO обнаружил нарушение до проверки РКН — это позволяет устранить основание для протокола и сформировать доказательную базу для ст. 4.1.1 КоАП. Оценим ситуацию и подготовим позицию.
Защитить от штрафа по ст. 13.11Как практика 2025–2026 годов применяет ст. 4.1.1 к делам по ст. 13.11
По данным InfoWatch и обзорам правоприменительной практики за 2025 год, из шести административных штрафов по новым нормам ст. 13.11 КоАП суммарный объём составил около 570 тыс. ₽. Это не означает мягкость регулятора — большинство дел, возбуждённых в 2025 году, рассматривались по нормам, действовавшим до 30.05.2025. Дела по ФЗ-420 накапливают практику с середины 2025 года.
Показательный ориентир — дело арбитражного суда по утечке данных образовательной организации (более 100 000 субъектов). Суд квалифицировал нарушение по ч. 14 ст. 13.11, предусматривающей штраф 10–15 млн ₽. Однако с учётом статуса микропредприятия и применения специальных правил расчёта санкции для субъектов МСП итоговый штраф составил 400 000 ₽ — дело РЭШ (АС Москвы, 2026 г.). Это подтверждает: статус МСП влияет на размер санкции даже там, где ст. 4.1.1 формально неприменима (утечка, а не процессуальное нарушение по ч. 1).
Отдельная практика зафиксирована по случаю, когда хакеры похитили базу работников и соискателей (менее 1 000 человек), а дело возбудили по ч. 1 ст. 13.11. Компания с микростатусом получила предупреждение на основании ст. 4.1.1 КоАП — первичность нарушения и отсутствие имущественного вреда субъектам были документально подтверждены.
Что делать до проверки: превентивный комплаенс для микропредприятия
Применение ст. 4.1.1 КоАП — это инструмент реагирования. Но CEO дешевле предотвратить нарушение, чем доказывать его первичность в суде. Для микропредприятия минимально достаточный комплаенс-пакет включает четыре элемента.
Уведомление в реестре РКН — актуальное, с описанием всех целей и оснований обработки ПДн (ст. 22 ФЗ-152). Неуведомление или устаревшие сведения — самостоятельный состав по ч. 10 ст. 13.11 (штраф 100 000–300 000 ₽).
Политика обработки ПДн — опубликована на сайте, содержит обязательные разделы по ч. 2 ст. 18.1 ФЗ-152. Отсутствие — ч. 3 ст. 13.11 (штраф 30 000–60 000 ₽).
Отдельные согласия на обработку ПДн — с 01.09.2025 согласие не может быть встроено в договор или оферту (ФЗ-156 от 24.06.2025, ч. 1 ст. 9 ФЗ-152). Нарушение требований к составу согласия — ч. 2 ст. 13.11 (штраф 300 000–700 000 ₽ для юрлица).
Договоры поручения с подрядчиками — все третьи лица, получающие доступ к ПДн, должны действовать на основании договора по п. 3 ст. 6 ФЗ-152. Отсутствие договора при передаче данных подрядчику — ч. 1 ст. 13.11.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1.
- Аудит соответствия 152-ФЗ — проверка обработки ПДн по 38 параметрам, выявление рисков до проверки РКН.
- Сопровождение проверок РКН — подготовка к проверке, представительство, обжалование предписания.
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей в редакции ФЗ-420 от 30.11.2024. Для юрлица диапазоны: ч. 1 (обработка без основания или несовместимая с целями) — 150 000–300 000 ₽; ч. 2 (нарушение требований к согласию) — 300 000–700 000 ₽; ч. 12–14 (утечка в зависимости от числа субъектов) — от 3 до 15 млн ₽; ч. 15 (оборотный за повторную утечку) — 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Подсудность с 28.12.2025 — мировые судьи (ФЗ-508).
2. Что такое оборотный штраф 1–3% и когда он применяется?
Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется только при повторном нарушении: компания уже привлекалась по ч. 12–14, ч. 16–18 или ч. 15. База — совокупная выручка за предшествующий календарный год. Минимум — 20 млн ₽, максимум — 500 млн ₽. Ст. 4.1.1 КоАП (замена на предупреждение) к этому составу не применяется. Скидка за быструю уплату по ст. 32.2 КоАП — тоже.
3. Когда применяется минимум 20 млн ₽ по ч. 15?
Минимум 20 млн ₽ срабатывает, когда расчётная сумма 1–3% выручки оказывается ниже этого порога. Например, компания с выручкой 200 млн ₽ — расчёт 1% даёт 2 млн ₽, но штраф будет назначен как 20 млн ₽. Исключение: при инвестициях в ИБ не менее 0,1% выручки за три года применяется 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП).
4. Можно ли заменить штраф на предупреждение по ч. 1 ст. 13.11?
Да — если одновременно выполнены условия ст. 4.1.1 КоАП: статус субъекта МСП (включая микропредприятие), первичность нарушения, отсутствие реального вреда субъектам ПДн и отсутствие прямого законодательного запрета. По ч. 1 ст. 13.11 таких запретов нет. На практике суды применяют замену при наличии доказательств всех четырёх условий и устранении нарушения до постановления.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?
С 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи (ФЗ-508 вернул прежний порядок). В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Мировой суд — более быстрый процесс (30–45 дней до постановления), но и апелляция проходит иначе: через районный суд, а не арбитражную апелляцию.
Итог
Ч. 1 ст. 13.11 КоАП — наиболее распространённый состав для микропредприятий: нарушение порядка обработки ПДн без утечки. Штраф 150 000–300 000 ₽ ощутим для малого бизнеса, но заменяем предупреждением через ст. 4.1.1 КоАП при соблюдении четырёх условий. Ключевое отличие от оборотного штрафа по ч. 15: разные составы, разные санкции, разные инструменты защиты.
Юристы DATUM сопровождают споры по ст. 13.11 КоАП от протокола до постановления и апелляции, применяют ст. 4.1 и ст. 4.1.1 КоАП в интересах операторов ПДн различного масштаба — от микропредприятий до среднего бизнеса.
21 сентября 2027 года