Защита оператора по ч. 14: 7 шагов
С 30.05.2025 часть 14 ст. 13.11 КоАП стала самым тяжёлым из фиксированных составов по персональным данным. Для CEO крупной компании это означает: одна утечка базы клиентов объёмом свыше 100 000 записей — и минимальный штраф составит 10 млн ₽. Если утечка повторная, регулятор переходит к оборотному расчёту по ч. 15, и потолок вырастает до 500 млн ₽. Настоящий материал разбирает каждый из 7 шагов защиты: от момента обнаружения инцидента до оспаривания постановления в суде.
Что именно квалифицируется по ч. 14 ст. 13.11 КоАП?
Состав ч. 14 охватывает утечку персональных данных, затронувшую более 100 000 субъектов или более 1 000 000 уникальных идентификаторов. Идентификатор — это отдельная единица сведений: телефон, email, СНИЛС, ИНН, номер карты. Если в базе хранились имя плюс три телефона плюс email на каждого пользователя, то для 200 000 пользователей считается 800 000 идентификаторов — это уже ч. 13 (10 000–100 000 субъектов или 100 000–1 000 000 идентификаторов). Пересчёт идентификаторов — один из первых инструментов защиты.
Важно понимать разграничение составов. Ч. 12 — от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов (штраф 3–5 млн ₽). Ч. 13 — от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов (5–10 млн ₽). Ч. 14 — свыше пороговых значений ч. 13. Определение состава происходит на этапе составления протокола: у вас есть возможность представить собственный подсчёт и оспорить квалификацию ещё до постановления.
Шаг 1. Зафиксируйте факт и объём утечки — до уведомления РКН
В течение 24 часов с момента обнаружения инцидента оператор обязан направить первичное уведомление в Роскомнадзор по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187 от 14.11.2022. Срок не восстанавливается. Неуведомление или опоздание — дополнительный протокол по ч. 11 ст. 13.11 и штраф 1–3 млн ₽.
До отправки уведомления зафиксируйте: точное время обнаружения (журналы, скриншоты, тикеты), предварительный подсчёт числа затронутых субъектов и идентификаторов, перечень категорий данных (общие, специальные, биометрические). Эти данные войдут в первичное уведомление и станут базой для квалификации состава. Занижение числа субъектов в уведомлении без подтверждения создаёт риск отдельного нарушения при последующей проверке.
Что подготовить к моменту первичного уведомления РКН
- Журналы SIEM или иные технические логи с временной меткой события
- Предварительный подсчёт числа субъектов и идентификаторов по категориям
- Перечень информационных систем, затронутых инцидентом
- Сведения о принятых мерах по блокированию утечки на момент уведомления
- Контактное лицо, ответственное за взаимодействие с РКН (по ст. 22.1 ФЗ-152)
Шаг 2. Направьте 72-часовой отчёт и управляйте его содержанием
Через 72 часа после обнаружения инцидента оператор направляет отчёт о результатах внутреннего расследования. Отчёт по форме Приказа РКН №187 — не формальность. РКН использует его содержание при квалификации нарушения и оценке смягчающих обстоятельств. В отчёте следует отразить: причины инцидента, принятые меры по устранению, объём фактически утёкших данных (с документальным подтверждением), план технических и организационных мероприятий.
Если собственная оценка объёма показывает, что число субъектов ниже 100 000 или число идентификаторов ниже 1 000 000, изложите методологию подсчёта подробно. Это создаёт основание для переквалификации с ч. 14 на ч. 13 или ч. 12. Расхождение с данными РКН без обоснования работает против вас.
Получили уведомление о проверке или уже составлен протокол по ч. 14?
Если CEO получил уведомление о внеплановой проверке или протокол по ч. 14 ст. 13.11 КоАП — время на формирование позиции ограничено. Штраф по ч. 14 составляет 10–15 млн ₽, повторное нарушение переводит дело на оборотный расчёт по ч. 15 с минимумом 20 млн ₽. Юристы DATUM проведут анализ протокола, оценят основания для переквалификации и подготовят позицию для суда или урегулирования с регулятором.
Защитить от штрафа 13.11Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Шаг 3. Проверьте применимость ст. 4.1 КоАП — снижение через инвестиции в ИБ
Статья 4.1 КоАП содержит примечание, введённое ФЗ-420: если оператор в течение трёх предшествующих лет инвестировал в информационную безопасность не менее 0,1% совокупной годовой выручки, штраф по оборотным составам (ч. 15 и ч. 18 ст. 13.11) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.
Для фиксированных составов (ч. 12–14) прямого аналога нет, но факт инвестиций в ИБ суд учитывает как смягчающее обстоятельство по общим нормам КоАП. Подтверждением служат договоры с подрядчиками ИБ, акты внедрения, бухгалтерские документы о расходах, сертификаты соответствия. Подготовить эти доказательства до судебного заседания — задача шага 3.
Шаг 4. Оцените возможность замены штрафа на предупреждение по ст. 4.1.1 КоАП
Статья 4.1.1 КоАП допускает замену административного штрафа предупреждением для субъектов малого и среднего предпринимательства при первичности нарушения и отсутствии вреда охраняемым интересам. Ключевое ограничение: эта норма не применяется к составам ч. 15 и ч. 18 ст. 13.11 (оборотные штрафы). К ч. 14 — применима, если компания входит в реестр МСП и нарушение совершено впервые.
Арбитражный суд региона (Северо-Западный ФО, начало 2026) применил ст. 4.1.1 КоАП к делу о крупной утечке данных соискателей: компания-микропредприятие получила предупреждение вместо штрафа. Суд принял во внимание первичность, отсутствие наступившего имущественного ущерба третьим лицам и факт добровольного уведомления РКН в установленные сроки. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.
Как применяется оборотный штраф по ч. 15 ст. 13.11 КоАП?
Часть 15 вступает в силу при повторном нарушении по ч. 12–14 лицом, ранее привлекавшимся по тем же частям или по ч. 16–18 или ч. 15. Повторность определяется в пределах срока, установленного для погашения административного наказания — общий срок по КоАП составляет один год с момента исполнения постановления.
Расчётная база — совокупная выручка оператора за предшествующий календарный год. Для компании с выручкой 2 млрд ₽ минимальный оборотный штраф по ч. 15 составит 20 млн ₽ (1% = 20 млн, что выше законодательного минимума). Для компании с выручкой 500 млн ₽ расчётный 1% даёт 5 млн — но норма устанавливает пол 20 млн ₽, поэтому фактический минимум не зависит от размера бизнеса.
Если компания уже получала штраф по ч. 12–14 ранее и произошла повторная утечка — следующий протокол будет по ч. 15 с минимумом 20 млн ₽. Проверьте позицию до составления протокола: это влияет на квалификацию и базу расчёта.
Защитить от штрафа 13.11Шаг 5. Соберите смягчающие обстоятельства
КоАП содержит открытый перечень смягчающих обстоятельств. Применительно к ч. 14 суды учитывают: добровольное уведомление регулятора в установленные сроки (24 и 72 часа), устранение нарушения до рассмотрения дела, возмещение ущерба субъектам (хотя бы частичное), наличие внедрённых организационно-технических мер защиты, сотрудничество с расследованием. Каждое из этих обстоятельств нужно документально подтвердить: акты, договоры, переписка с РКН, скриншоты уведомлений из личного кабинета pd.rkn.gov.ru.
Отягчающее обстоятельство — повторность. Если компания ранее привлекалась по ч. 1 ст. 13.11 (обработка без основания) или по ч. 8 (нарушение локализации), это не влечёт автоматически повторности для ч. 14. Составы разные. Повторность по ч. 15 считается только в рамках однородных нарушений ч. 12–14 или 15–18.
Шаг 6. Оспорьте квалификацию до вынесения постановления
Протокол составляет инспектор РКН. У оператора есть право дать объяснения при составлении и подать возражения на протокол. На этом этапе можно: оспорить подсчёт числа субъектов и идентификаторов, поставить под сомнение факт «утечки» (если данные попали в открытый доступ через действия третьих лиц без вины оператора), указать на процессуальные нарушения при составлении протокола.
После составления протокола дело передаётся на рассмотрение. С 28.12.2025 (ФЗ-508 от 28.12.2025) подсудность вернулась к мировым судьям: в период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. Сроки обжалования постановления — 10 суток с момента получения. Пропуск без уважительной причины лишает права на обжалование в общем порядке.
Шаг 7. Подготовьте позицию для суда по существу
Оспаривание постановления строится на нескольких направлениях. Первое — переквалификация: если объём утечки по вашим данным соответствует ч. 13, а не ч. 14, суд может снизить нижнюю границу штрафа с 10 млн до 5 млн ₽. Второе — применение ст. 4.1.1 для МСП при первичности. Третье — снижение в пределах санкции за счёт смягчающих обстоятельств. Четвёртое — процессуальные нарушения при составлении протокола (ненадлежащее уведомление о времени и месте составления, отсутствие переводчика при необходимости и т. п.).
По итогам 2025 года РКН зафиксировал 118 случаев компрометации баз, однако по новым нормам ст. 13.11 назначено всего 6 административных штрафов на общую сумму около 570 тыс. ₽ (данные InfoWatch, февраль 2026). Практика ещё формируется. Это означает, что грамотно выстроенная защита сейчас имеет более высокий шанс на успех, чем это будет после накопления устойчивой судебной практики.
Как суды применяют ч. 14 ст. 13.11 КоАП на практике
Кейс 1. Арбитражный суд Москвы (дело № А40-351064/2025, материал ГАРАНТ.РУ от 23.03.2026) рассмотрел дело о утечке более 100 000 субъектов ПДн по ч. 14 ст. 13.11. Организация имела статус микропредприятия, суд применил правила расчёта санкции для ИП согласно ч. 1 ст. 4.1.2 КоАП и назначил штраф 400 000 ₽ вместо предусмотренных 10–15 млн ₽. Вывод: правовой статус оператора и нормы об особом порядке расчёта санкций для малого бизнеса — реальные инструменты снижения.
Кейс 2. Арбитражный суд Санкт-Петербурга и Ленинградской области (дело № А56-4733/2026 от 10.03.2026, материал ГАРАНТ.РУ от 23.03.2026) рассмотрел дело об утечке около 70 000 субъектов (ФИО, должность, служебный email, телефон) в результате хакерской атаки. Состав квалифицирован по ч. 14 ст. 13.11. Суд применил смягчающие обстоятельства. Вывод: факт хакерской атаки без вины оператора учитывается при назначении санкции — при наличии доказательств принятых технических мер.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протокола и постановления по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП
- Аудит соответствия 152-ФЗ — проверка по чек-листу 38 пунктов, приоритизированный план устранения нарушений
- Сопровождение проверок РКН — подготовка к проверке, представление интересов, обжалование предписания
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. За утечку от 1 000 до 10 000 субъектов — ч. 12, штраф 3–5 млн ₽. За утечку от 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽. За утечку более 100 000 субъектов или более 1 000 000 идентификаторов — ч. 14, штраф 10–15 млн ₽. Повторное нарушение по ч. 12–14 — ч. 15, оборотный штраф.
2. Что такое оборотный штраф 1–3% по ч. 15?
Оборотный штраф по ч. 15 ст. 13.11 применяется при повторном нарушении по ч. 12–14 (или ч. 15–18). Размер — 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за быструю уплату по ст. 32.2 КоАП к оборотному штрафу не применяется. Снижение возможно только через ст. 4.1 КоАП при подтверждённых инвестициях в ИБ.
3. Когда применяется минимум 20 млн ₽ по ч. 15?
Минимум 20 млн ₽ применяется всегда, когда расчётный оборотный показатель (1–3% выручки) оказывается ниже этой суммы. Для компании с годовой выручкой менее 2 млрд ₽ минимум в 20 млн ₽ будет выше расчётного 1%. При инвестициях в ИБ не менее 0,1% выручки за 3 года штраф снижается до 1/10 минимального размера — но не менее 15 млн ₽ и не более 50 млн ₽ (примечание к ст. 4.1 КоАП).
4. Можно ли заменить штраф по ч. 14 на предупреждение?
Да, если оператор входит в реестр МСП и нарушение совершено впервые. Статья 4.1.1 КоАП допускает замену штрафа предупреждением при первичности нарушения и отсутствии имущественного ущерба охраняемым интересам. Ограничение: эта норма прямо исключает составы ч. 15 и ч. 18 ст. 13.11 (оборотные). К ч. 14 она применима. Реальный пример — дело № А40-351064/2025 (РЭШ): суд назначил 400 000 ₽ вместо 10–15 млн ₽ с учётом статуса микропредприятия.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508?
С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. В период с 30.05.2025 по 27.12.2025 дела передавались в арбитражные суды. До 30.05.2025 — также мировые. Возврат к мировым судьям влияет на процессуальные особенности защиты: порядок представления доказательств, сроки обжалования и инстанции обжалования отличаются от арбитражного процесса.
Итог
Защита по ч. 14 ст. 13.11 КоАП — это последовательная работа на семи этапах: от фиксации инцидента и управления уведомлением до суда по существу. На каждом этапе есть конкретные инструменты: оспаривание квалификации через пересчёт субъектов и идентификаторов, применение ст. 4.1 и ст. 4.1.1 КоАП, документирование смягчающих обстоятельств и инвестиций в ИБ.
Практика DATUM по защите операторов от штрафов по ст. 13.11 включает сопровождение на всех стадиях: от составления возражений на протокол до обжалования постановления. Первые дела по новым нормам ФЗ-420 подтверждают: позиция, выстроенная до рассмотрения дела, определяет исход.
21 января 2028 года