аналитика 24 февраля 2028 По состоянию на 24 февраля 2028

Защита микропредприятия по ч. 11 + ст. 4.1.1 КоАП

Ч. 11 ст. 13.11 КоАП — штраф 1–3 млн ₽ за неуведомление РКН об утечке в течение 24 часов. Микропредприятие вправе требовать замены штрафа на предупреждение по ст. 4.1.1 КоАП при первичном нарушении и отсутствии вреда.

С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024: 18 частей вместо 7. Ч. 11 — неуведомление об инциденте — одна из самых дорогих для малого бизнеса позиций. При повторности подключается оборотный штраф по ч. 15: минимум 20 млн ₽.

→ Если вы CEO микропредприятия и получили протокол по ч. 11 — у вас есть инструменты снижения, но окно применения ст. 4.1.1 закрывается с каждым процессуальным шагом.

С 30 мая 2025 года штрафы по ст. 13.11 КоАП выросли кратно. Для микропредприятия ч. 11 — неуведомление или несвоевременное уведомление РКН об утечке — означает санкцию от 1 до 3 млн ₽. Это сопоставимо с годовым оборотом небольшой компании. В этом материале разбираем: как работает ст. 4.1.1 КоАП применительно к ч. 11, какие условия нужно выполнить, какие аргументы суды принимают и как выстроить защиту до вынесения постановления.

Что такое ч. 11 ст. 13.11 КоАП и кого она касается?

Ч. 11 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 устанавливает ответственность за неуведомление или несвоевременное уведомление Роскомнадзора об инциденте с персональными данными. Норма введена в действие с 30 мая 2025 года.

Обязанность уведомить РКН закреплена в ч. 3.1 ст. 21 ФЗ-152. Оператор персональных данных при выявлении неправомерной или случайной передачи, распространения, предоставления или иного несанкционированного доступа к ПДн обязан в течение 24 часов направить первичное уведомление в РКН. Через 72 часа — передать результаты внутреннего расследования. Порядок уведомления регулирует Приказ РКН №187 от 14.11.2022.

«Ч. 11 ст. 13.11 КоАП (ред. с 30.05.2025): неуведомление или несвоевременное уведомление уполномоченного органа об инциденте с ПДн — штраф для юридических лиц от 1 000 000 до 3 000 000 ₽.»

Норма распространяется на всех операторов ПДн без исключений по размеру бизнеса. Микропредприятие с одним сотрудником и сайтом, собирающим email-адреса, — оператор ПДн по ст. 3 ФЗ-152. Если произошёл несанкционированный доступ к базе, а компания не уведомила РКН за 24 часа — состав ч. 11 налицо.

Подсудность дел по ст. 13.11 КоАП после принятия ФЗ-508 от 28.12.2025 вернулась к мировым судьям. В период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Это важно для выбора тактики защиты: порядок обжалования и процессуальные возможности различаются.

Как работает ст. 4.1.1 КоАП при штрафе по ч. 11?

Ст. 4.1.1 КоАП предусматривает замену административного штрафа на предупреждение. Применяется при одновременном выполнении четырёх условий.

Первое условие — субъект малого или среднего предпринимательства. Микропредприятие по ФЗ-209 от 24.07.2007 — юридическое лицо или ИП с численностью работников до 15 человек и годовым доходом до 120 млн ₽, включённое в реестр МСП ФНС. Проверить статус можно на сайте ФНС. Если компания не в реестре — ст. 4.1.1 не применяется.

Второе условие — первичность нарушения. Лицо не должно быть ранее привлечено к ответственности по той же части той же статьи. Для ч. 11 ст. 13.11 — отсутствие предыдущих постановлений по ч. 11 за последние 12 месяцев.

Третье условие — отсутствие имущественного вреда, угрозы жизни и здоровью, чрезвычайных обстоятельств. Если утечка повлекла реальный ущерб субъектам ПДн (мошеннические операции, разглашение медицинских данных), суд вправе отказать в замене.

Четвёртое условие — норма статьи не запрещает замену. Ч. 11 ст. 13.11 в явном виде не исключена из-под действия ст. 4.1.1, в отличие от ч. 15 и ч. 18 (оборотные). Это принципиальное различие: оборотный штраф заменить на предупреждение нельзя — законодатель прямо запретил.

«Ст. 4.1.1 КоАП: при первичном нарушении субъектом МСП в сфере предпринимательской деятельности, не причинившем вреда, административный штраф может быть заменён на предупреждение. Не применяется к составам, прямо исключённым законом, в том числе к ч. 15 и ч. 18 ст. 13.11 КоАП.»

Таким образом, для микропредприятия, получившего протокол по ч. 11 впервые, замена штрафа на предупреждение — законный инструмент. Вопрос в том, как его применить процессуально корректно.

Получили протокол по ч. 11 ст. 13.11 КоАП?

Если вы CEO микропредприятия и РКН составил протокол за неуведомление об утечке — у вас есть возможность добиться замены штрафа от 1 млн ₽ на предупреждение. Окно для подачи ходатайства по ст. 4.1.1 КоАП ограничено стадией рассмотрения дела. Юристы DATUM оценят состав нарушения, проверят условия применимости ст. 4.1.1 и подготовят позицию для суда.

Защитить от штрафа по 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

ФЗ-420 от 30.11.2024 полностью пересобрал ст. 13.11 КоАП. Вместо 7 частей — 18. Для CEO микропредприятия значимы следующие.

Ч. 1 — обработка ПДн в случаях, не предусмотренных законом, или несовместимая с целями: 150 000–300 000 ₽ для юрлица.

Ч. 2 — обработка без письменного согласия или с нарушением требований к его составу: 300 000–700 000 ₽.

Ч. 11 — неуведомление РКН об инциденте в 24 часа по ч. 3.1 ст. 21 ФЗ-152: 1 000 000–3 000 000 ₽.

Ч. 12–14 — сама утечка ПДн по числу субъектов: от 3 млн до 15 млн ₽ в зависимости от масштаба (от 1 000 до свыше 100 000 субъектов).

Ч. 15 — оборотный штраф при повторном нарушении по ч. 12–14: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Замена на предупреждение по ст. 4.1.1 КоАП — невозможна.

Для микропредприятия с выручкой 80 млн ₽ оборотный штраф составит минимум 20 млн ₽, даже если 1% от выручки — только 800 тыс. ₽. Это арифметика, которую CEO должен понимать до первого инцидента.

«Ст. 4.1 КоАП, примечание 3.4-2: при подтверждённых инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по ч. 15 и ч. 18 ст. 13.11 исчисляется в размере 1/10 минимального, но не менее 15 млн ₽ и не более 50 млн ₽.»

Что подготовить для применения ст. 4.1.1 КоАП

Документы для ходатайства о замене штрафа на предупреждение

Выписка из реестра МСП ФНС с подтверждением статуса микропредприятия на дату нарушения
Справка об отсутствии ранее вынесенных постановлений по ч. 11 ст. 13.11 КоАП за последние 12 месяцев
Документы о принятых мерах после инцидента: акт расследования, уведомления субъектам ПДн, журнал инцидентов
Доказательства отсутствия имущественного вреда субъектам: отсутствие жалоб, отсутствие финансовых потерь у пострадавших
Правовая позиция со ссылкой на ст. 4.1.1 КоАП и судебную практику по аналогичным делам

Как суды применяют ст. 4.1.1 при нарушениях по ч. 11 ст. 13.11?

Практика по ч. 11 ст. 13.11 в редакции ФЗ-420 только формируется — норма действует с 30 мая 2025 года. Однако общие принципы применения ст. 4.1.1 КоАП к нарушениям в сфере ПДн суды уже выработали.

Суды придают значение следующим обстоятельствам. Первое — статус субъекта: нахождение в реестре МСП на дату нарушения. Второе — характер нарушения: технический сбой или умышленное сокрытие факта инцидента. Третье — последующее поведение оператора: устранил ли нарушение, уведомил ли субъектов, провёл ли расследование. Четвёртое — масштаб последствий: количество пострадавших субъектов, категории ПДн, наличие жалоб.

По данным публичной практики, замену штрафа на предупреждение по ст. 4.1.1 КоАП суды применяли в делах, где микропредприятие нарушило требования ПДн впервые, оперативно устранило нарушение после составления протокола и представило документы об отсутствии вреда субъектам. В кейсе case_S5_predupr_microbiz компания с численностью работников до 15 человек получила предупреждение вместо штрафа до 300 000 ₽ по ч. 1 ст. 13.11 именно за счёт применения ст. 4.1.1.

Принципиальный вопрос — применяли ли суды ст. 4.1.1 при нарушении ч. 11 (штраф 1–3 млн ₽). Законодательных запретов на это нет. Суды оценивают совокупность обстоятельств. Если оператор не уведомил РКН вовремя, но немедленно после обнаружения нарушения направил уведомление, провёл расследование и доказал отсутствие вреда — шансы на замену реальны.

Если ваша компания — микропредприятие и получила протокол по ч. 11 впервые — срок для подачи ходатайства по ст. 4.1.1 КоАП ограничен стадией рассмотрения дела мировым судьёй. Пропустить её — значит лишиться законного инструмента снижения санкции с 1–3 млн ₽ до нуля.

Защитить от штрафа по 13.11

Типовые сценарии: как разворачивается дело по ч. 11 для микропредприятия

Сценарий 1. Утечка обнаружена, уведомление пропущено по незнанию. Небольшой интернет-магазин (Приволжский ФО, лето 2025). Хакер получил доступ к базе клиентов: имена, email, телефоны — около 2 000 записей. Владелец сообщил об инциденте в РКН через 5 дней после обнаружения. РКН составил протокол по ч. 11 ст. 13.11. Компания — в реестре МСП как микропредприятие, ранее не привлекалась. Стратегия: подать ходатайство о замене штрафа на предупреждение по ст. 4.1.1, приложить документы об устранении нарушения, уведомлении субъектов и отсутствии жалоб. Вероятный исход: при корректно оформленной позиции — предупреждение вместо штрафа от 1 млн ₽.

Сценарий 2. Первичное уведомление направлено, но с ошибками — РКН считает его ненадлежащим. Небольшая кадровая компания (Уральский ФО, осень 2025). Уведомление направлено через 20 часов после обнаружения инцидента, но в форме не указана часть обязательных сведений по Приказу РКН №187. РКН квалифицирует как ненадлежащее уведомление — то есть нарушение ч. 11. Компания является микропредприятием. Доказательства: направленное уведомление с временной меткой подтверждает добросовестность. Стратегия: оспорить квалификацию (уведомление всё же было направлено в срок), либо в случае проигрыша — применить ст. 4.1.1. Первичность + отсутствие вреда + статус МСП = основания для замены. Риск: если суд признает уведомление формально несостоявшимся — штраф в диапазоне 1–3 млн ₽. Применение ст. 4.1.1 снизит его до предупреждения при выполнении всех условий.

Сценарий 3. Повторное нарушение по ч. 11 — ст. 4.1.1 уже недоступна. Малая торговая компания (Центральный ФО, конец 2025). Второй инцидент за 14 месяцев. Первый был закрыт предупреждением. Второй — снова ч. 11, штраф 1–3 млн ₽. Ст. 4.1.1 не применяется: нарушение повторное. Параллельно РКН возбуждает дело по ч. 12 за саму утечку. Если в течение следующего периода будет ещё один инцидент — подключается ч. 15 с оборотным штрафом не менее 20 млн ₽. Стратегия для CEO: инвестировать в ИБ не менее 0,1% выручки за 3 года и зафиксировать это документально — тогда в случае ч. 15 применяется смягчение по ст. 4.1 КоАП (1/10 минимума, но не менее 15 млн ₽).

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспорить протокол и постановление по ст. 13.11, применить ст. 4.1.1 КоАП
Аудит соответствия 152-ФЗ — выявить риски по ч. 11 до инцидента, наладить процесс уведомления РКН
Сопровождение проверок РКН — представительство при проверке, подготовка к протоколу

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30 мая 2025 года действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024: 18 частей. Ч. 11 — неуведомление об инциденте — штраф для юрлица 1–3 млн ₽. Ч. 12 — утечка от 1 000 до 10 000 субъектов — 3–5 млн ₽. Ч. 15 — оборотный штраф при повторной утечке — 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. По ч. 1 — обработка ПДн без основания — 150–300 тыс. ₽. По ч. 2 — обработка без согласия — 300–700 тыс. ₽. Подсудность с 28.12.2025 — мировые судьи.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении по ч. 12–14 (сами утечки ПДн) лицом, ранее привлечённым по этим частям или по ч. 15–18. Размер — 1–3% совокупной выручки компании за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Для микропредприятия с выручкой ниже 2 млрд ₽ минимум в 20 млн ₽ будет применяться независимо от расчётного процента. Замена на предупреждение по ст. 4.1.1 КоАП для ч. 15 законом прямо исключена.

3. Когда применяется минимум 20 млн ₽ по ч. 15?

Минимальный штраф в 20 млн ₽ по ч. 15 применяется всегда, когда расчётный 1% годовой выручки меньше 20 млн ₽. Для большинства микропредприятий и малых компаний с выручкой до 2 млрд ₽ именно этот минимум и будет назначен. Исключение — смягчение по ст. 4.1 КоАП при подтверждённых инвестициях в ИБ не менее 0,1% выручки за 3 года: тогда штраф снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

4. Можно ли заменить штраф по ч. 11 на предупреждение?

Да, при выполнении четырёх условий по ст. 4.1.1 КоАП: компания является субъектом МСП (в реестре ФНС), нарушение — первичное по ч. 11 за последние 12 месяцев, отсутствует имущественный вред и угрозы жизни и здоровью, норма ч. 11 прямо не исключена из сферы применения ст. 4.1.1 — в отличие от ч. 15 и ч. 18. Для применения замены необходимо подать письменное ходатайство в ходе рассмотрения дела и приложить документы, подтверждающие все четыре условия.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?

С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи — ФЗ-508 вернул прежнюю подсудность. В период с 30 мая по 27 декабря 2025 года дела рассматривали арбитражные суды. Для обжалования постановлений, вынесенных в арбитраже в этот период, — арбитражная апелляционная инстанция. Постановления мировых судей с 28.12.2025 обжалуются в районных судах общей юрисдикции.

Итог

Ч. 11 ст. 13.11 КоАП — реальная угроза для любого оператора персональных данных, включая микропредприятие. Штраф от 1 до 3 млн ₽ за одно пропущенное уведомление — это не абстрактная норма, а санкция, которая применяется с 30 мая 2025 года. Ст. 4.1.1 КоАП даёт законный инструмент для замены штрафа на предупреждение — при первичном нарушении, статусе МСП и отсутствии вреда. При повторном нарушении этот инструмент недоступен, а при повторной утечке включается оборотный штраф с минимумом 20 млн ₽ по ч. 15.

Практика DATUM по защите операторов ПДн от санкций по ст. 13.11 КоАП формируется с момента вступления в силу ФЗ-420. Мы работаем с микропредприятиями и малым бизнесом на стадии протокола, рассмотрения дела и обжалования постановления.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с РКН и арбитражной защите. Специализация — ст. 13.11 КоАП в ред. ФЗ-420, обжалование постановлений, ст. 4.1 и 4.1.1 КоАП, оборотные штрафы с 30.05.2025.

24 февраля 2028 года