аналитика 14 февраля 2028 По состоянию на 14 февраля 2028

Защита от оборотного штрафа: 10 шагов

Оборотный штраф по ч. 15 ст. 13.11 КоАП — это 1–3% совокупной годовой выручки за прошлый год, не менее 20 млн ₽ и не более 500 млн ₽. Применяется при повторной утечке ПДн с 30.05.2025.

Скидка за быструю уплату по ст. 32.2 КоАП к оборотному штрафу не применяется. Уголовная ответственность по ст. 272.1 УК РФ за незаконные действия с ПДн действует с 11.12.2024 — до 10 лет лишения свободы по ч. 5.

→ Если вы CEO и ваша компания уже получала протокол по ст. 13.11 — следующая утечка автоматически создаёт риск оборотного штрафа. 10 конкретных шагов ниже.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7, оборотный штраф за повторную утечку и отдельный состав за биометрию. Для генерального директора это означает одно: первая утечка — фиксированный штраф до 15 млн ₽ по ч. 12–14; вторая — оборотный по ч. 15, где потолок 500 млн ₽. В статье — 10 последовательных шагов, которые снижают вероятность оборотного штрафа и дают аргументы для его уменьшения, если протокол уже составлен.

Что изменилось в ст. 13.11 КоАП с 30.05.2025?

До ФЗ-420 максимальный штраф за утечку для юрлица составлял 100 000 ₽ по ч. 1 ст. 13.11 в старой редакции. Правоприменение было предсказуемо мягким: по данным InfoWatch, в 2025 году назначено 6 административных штрафов на общую сумму около 570 тыс. ₽. Дело АС Москвы о 26 млн утекших записей завершилось штрафом 150 000 ₽ — потому что утечка произошла до 01.06.2025 и применялась старая редакция.

Теперь ситуация принципиально иная. Новая редакция дифференцирует ответственность по числу пострадавших субъектов:

от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12);
от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13);
более 100 000 субъектов — 10–15 млн ₽ (ч. 14);
повторное нарушение по ч. 12–14 — оборотный штраф по ч. 15.

«Ч. 15 ст. 13.11 КоАП — при повторном совершении нарушений по ч. 12–14, а также по ч. 16–18 или ч. 15 — штраф от 1 до 3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽ и не более 500 млн ₽. Действует с 30.05.2025 (ФЗ-420 от 30.11.2024).»

Отдельный состав — неуведомление РКН об утечке в установленные сроки. По ч. 11 ст. 13.11 штраф за нарушение 24-часового срока составляет 1–3 млн ₽. Это самостоятельное нарушение, не зависящее от масштаба утечки. Важно: подсудность дел с 28.12.2025 возвращена мировым судьям (ФЗ-508 от 28.12.2025) — в период с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды.

Уже есть протокол по ст. 13.11 или запрос РКН?

Если компания ранее привлекалась по ст. 13.11 КоАП — любая новая утечка создаёт риск оборотного штрафа по ч. 15. Срок на обжалование постановления — 10 суток. После вступления постановления в силу снизить штраф через арбитраж значительно сложнее. Юристы DATUM оценят позицию, проверят процессуальные нарушения при составлении протокола и подготовят стратегию защиты.

Защитить от штрафа 13.11

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как работает механизм повторности по ч. 15?

Повторность по ч. 15 ст. 13.11 КоАП наступает, если лицо ранее привлекалось по ч. 12, 13, 14, 15, 16, 17 или 18 той же статьи. Срок, в течение которого учитывается предыдущее постановление, — стандартный для КоАП: один год с даты исполнения (уплаты) предыдущего штрафа. После истечения этого срока повторность обнуляется.

Практически это означает следующее. Компания, получившая штраф 3–5 млн ₽ по ч. 12 за утечку 5 000 записей, в течение года после уплаты находится в «зоне оборотного риска». Если в этот период произойдёт новая утечка — даже одной записи с идентификатором — РКН составит протокол по ч. 15. Расчёт базы: выручка за прошлый год × 1–3%. Для компании с оборотом 2 млрд ₽ это 20–60 млн ₽; для компании с оборотом 10 млрд ₽ — 100–300 млн ₽.

Единственный зафиксированный механизм существенного снижения оборотного штрафа — примечание 3.4-2 к ст. 4.1 КоАП: если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по ч. 15 снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это не предупреждение — это фиксированный коридор.

Какие 10 шагов снижают риск оборотного штрафа?

Шаги разделены на два блока: превентивные (1–7) — до возбуждения дела — и реактивные (8–10) — при наличии протокола или постановления.

Шаг 1. Проверьте статус компании в реестре операторов РКН. Уведомление о намерении обрабатывать ПДн обязательно по ст. 22 ФЗ-152. Отсутствие в реестре или неактуальные сведения — самостоятельное нарушение по ч. 10 ст. 13.11 (100–300 тыс. ₽). При проверке РКН этот факт фиксируется первым и создаёт исходную негативную картину дела.

Шаг 2. Проведите аудит соответствия 152-ФЗ. Аудит даёт актуальный перечень фактических нарушений до того, как их зафиксирует инспектор. Типовые находки: обработка ПДн вне заявленных целей (ч. 1 ст. 13.11), отсутствие актуальных согласий (ч. 2), политика конфиденциальности не соответствует ч. 2 ст. 18.1 ФЗ-152 (ч. 3). Каждое из этих нарушений при проверке составляется в отдельный протокол.

Шаг 3. Соберите и актуализируйте ОРД. Полный пакет организационно-распорядительной документации включает политику обработки ПДн, приказ о назначении ответственного по ст. 22.1 ФЗ-152, согласия субъектов, регламент реагирования на инциденты, журналы учёта запросов. Отсутствие любого документа — потенциальный состав по ч. 3–5 ст. 13.11.

Шаг 4. Переоформите согласия работников по ФЗ-156. С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не в составе трудового договора или оферты. Ранее полученные согласия, интегрированные в договор, при проверке HR-документации будут квалифицированы как нарушение ч. 2 ст. 13.11 (300–700 тыс. ₽ за юрлицо).

Шаг 5. Проверьте локализацию ПДн граждан РФ. Ч. 5 ст. 18 ФЗ-152 обязывает хранить, собирать и обрабатывать ПДн граждан РФ в базах на территории России. Нарушение — ч. 8 ст. 13.11: 1–6 млн ₽. Повторное нарушение — ч. 9: 6–18 млн ₽. Облачные сервисы с основной инфраструктурой за рубежом (CRM, ERP, аналитика) — зона риска.

Шаг 6. Выстройте процесс реагирования на инцидент. Ч. 3.1 ст. 21 ФЗ-152 устанавливает: первичное уведомление РКН — в течение 24 часов с момента обнаружения утечки; отчёт о результатах внутреннего расследования — в течение 72 часов. Порядок закреплён Приказом РКН №187 от 14.11.2022. Нарушение срока — ч. 11 ст. 13.11: 1–3 млн ₽ за юрлицо. Уведомление, поданное с опозданием, фиксируется как самостоятельный состав — дополнительно к составу за саму утечку.

Шаг 7. Инвестируйте в ИБ документально. Примечание 3.4-2 к ст. 4.1 КоАП снижает оборотный штраф при подтверждённых инвестициях в ИБ не менее 0,1% выручки за три года. Критически важно: инвестиции должны быть задокументированы — договоры с подрядчиками, акты, платёжные документы. Фактические затраты без документального подтверждения не учитываются.

Шаг 8. При получении протокола — оцените процессуальные нарушения. Протокол по ст. 13.11 может быть признан недействительным при нарушении процедуры его составления: ненадлежащее уведомление законного представителя юрлица, несоответствие описания события нарушению, истечение срока давности привлечения (2 месяца по общему правилу КоАП для большинства составов ст. 13.11). Процессуальное нарушение — самостоятельное основание для прекращения дела.

Шаг 9. Проверьте применимость ст. 4.1.1 КоАП (замена на предупреждение). Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для субъектов МСП при первичном нарушении и отсутствии причинённого вреда. Ограничение: ст. 4.1.1 не применяется к ч. 15 и ч. 18 ст. 13.11 (оборотные составы). Для составов по ч. 1–14 при наличии статуса МСП замена реальна — подтверждена судебной практикой 2025–2026 годов.

Шаг 10. Обжалуйте постановление в установленные сроки. Срок обжалования постановления мирового судьи — 10 суток с момента вручения или получения копии постановления. Пропуск срока закрывает основные процессуальные инструменты защиты. Апелляция подаётся в районный суд. Аргументы: несоразмерность санкции, документально подтверждённые инвестиции в ИБ (ст. 4.1 КоАП), первичность, отсутствие вреда, оперативное устранение нарушения.

Что подготовить до проверки РКН

Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями об обработке.
Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте компании.
Отдельные согласия работников и клиентов в редакции с 01.09.2025 (ФЗ-156).
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Документы, подтверждающие инвестиции в ИБ за три предшествующих года (договоры, акты, платёжные поручения).

Как применяется ст. 4.1 и ст. 4.1.1 КоАП при штрафах по ст. 13.11?

Статья 4.1 КоАП устанавливает общие правила назначения административного наказания: суд или орган, рассматривающий дело, обязан учесть смягчающие обстоятельства. К ним относятся оперативное устранение нарушения, возмещение вреда, содействие расследованию. Применительно к ст. 13.11 смягчающими признаются: добровольное уведомление РКН об утечке в срок, предусмотренный Приказом №187; документально подтверждённые меры по устранению уязвимости; отсутствие реального вреда субъектам.

Примечание 3.4-2 к ст. 4.1 КоАП — специальный механизм именно для оборотных составов (ч. 15, ч. 18 ст. 13.11). Условие применения: инвестиции в ИБ не менее 0,1% выручки за три года. Результат: штраф не 1–3% выручки, а 1/10 от минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для компании с выручкой 5 млрд ₽ это разница между 50–150 млн ₽ (стандарт) и фиксированными 15–50 млн ₽.

Статья 4.1.1 КоАП (замена штрафа на предупреждение) применима только к субъектам МСП при первичном нарушении без причинённого вреда. Для оборотных составов по ч. 15 и ч. 18 замена невозможна прямым указанием закона. Для составов по ч. 1–14 — применима, что подтверждено практикой: в одном из дел 2025 года компания-микропредприятие получила предупреждение вместо штрафа по ч. 1 ст. 13.11 при хакерской краже базы до 1 000 субъектов.

Если вы CEO и компания уже привлекалась по ст. 13.11 — следующая утечка активирует ч. 15. Срок между уплатой первого штрафа и обнулением повторности — один год. Юристы DATUM проведут аудит текущей защищённости и дадут оценку риска оборотного штрафа в цифрах.

Заказать аудит 152-ФЗ

Как на практике применяется ст. 13.11 в редакции ФЗ-420?

Правоприменение по новым составам только формируется. По данным InfoWatch (отчёт февраль 2026), в 2025 году назначено 6 административных штрафов по новым нормам ст. 13.11 на общую сумму около 570 тыс. ₽. Это не означает низкой активности регулятора: РКН зафиксировал 118 случаев компрометации баз в 2025 году. Разрыв объясняется тем, что большинство утечек произошли до 01.06.2025 и рассматривались по старым нормам.

Первые реальные дела по новой редакции показывают специфику правоприменения. В деле АС Москвы № А40-351064/2025 утечка данных более 100 000 субъектов квалифицирована по ч. 14 ст. 13.11 (штраф 10–15 млн ₽), однако назначен штраф 400 000 ₽ — с учётом статуса микропредприятия и применения правил расчёта для ИП. В деле АС Санкт-Петербурга № А56-4733/2026 утечка около 70 000 субъектов (ФИО, должность, служебный email, телефон) квалифицирована по ч. 14 ст. 13.11; применены смягчающие обстоятельства.

Для крупного бизнеса это означает: суды ещё вырабатывают практику применения смягчающих обстоятельств по новым составам. Период 2025–2026 годов — время сформировать доказательную базу (инвестиции в ИБ, ОРД, процедуры реагирования) до того, как практика устоится в максимальных размерах.

Три сценария для CEO: от первого протокола до оборотного штрафа

Сценарий 1. Первый протокол без предшествующих нарушений. Компания с оборотом 3 млрд ₽ допустила утечку 15 000 записей клиентов через уязвимость в CRM. РКН возбудил дело по ч. 13 ст. 13.11 (5–10 млн ₽). Компания своевременно уведомила РКН в 24 часа, подготовила отчёт за 72 часа, документально подтвердила инвестиции в ИБ. Суд с учётом смягчающих обстоятельств назначил штраф ближе к минимуму диапазона. Риск оборотного штрафа по ч. 15 актуален в течение одного года после уплаты.

Сценарий 2. Повторная утечка в период действия повторности. Через 8 месяцев после уплаты первого штрафа в той же компании произошла новая утечка — 2 000 записей через взломанный аккаунт сотрудника. Состав: ч. 15 ст. 13.11. База расчёта — выручка предшествующего года 3 млрд ₽. Стандартный штраф: 30–90 млн ₽. При наличии документально подтверждённых инвестиций в ИБ (примечание 3.4-2 к ст. 4.1): 15–50 млн ₽. Стратегия: немедленно собрать документацию по инвестициям в ИБ за три года и нанять юридического представителя до составления протокола.

Сценарий 3. Протокол и параллельное уголовное дело. Крупная утечка данных более 100 000 субъектов с признаками умысла со стороны сотрудника. РКН составляет протокол по ч. 14 ст. 13.11 на юрлицо. Параллельно прокуратура возбуждает дело по ст. 272.1 УК РФ (действует с 11.12.2024) в отношении физического лица — по ч. 5 максимальное наказание 10 лет лишения свободы. Административная и уголовная ответственность не исключают друг друга. CEO, подписывавший приказы о доступе к базе, — в зоне риска как должностное лицо. Стратегия: разграничить юридическую защиту юрлица и физических лиц, не допускать процессуальных противоречий между позициями.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и ст. 4.1.1.
Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов, план устранения нарушений до проверки РКН.
Сопровождение проверок РКН — подготовка, представительство, обжалование предписания.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и содержит 18 частей. Для юрлиц: обработка ПДн вне целей — 150 000–300 000 ₽ (ч. 1), отсутствие надлежащего согласия — 300 000–700 000 ₽ (ч. 2), нарушение локализации — 1–6 млн ₽ (ч. 8), неуведомление об утечке — 1–3 млн ₽ (ч. 11), утечка от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), более 100 000 — 10–15 млн ₽ (ч. 14), повторная утечка — оборотный штраф по ч. 15.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП — административная санкция, исчисляемая от совокупной выручки юрлица за предшествующий календарный год. Размер: 1–3% выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Применяется только при повторном совершении нарушений по ч. 12–14, 15, 16, 17 или 18 той же статьи. Скидка за досрочную уплату (ст. 32.2 КоАП) к оборотному штрафу не применяется.

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 применяется, когда расчётная сумма (1–3% выручки) оказывается ниже этого порога. Например, компания с выручкой 500 млн ₽: 1% = 5 млн ₽ — меньше минимума, поэтому штраф составит 20 млн ₽. При выручке 2 млрд ₽: 1% = 20 млн ₽ — минимум достигнут. При инвестициях в ИБ по примечанию 3.4-2 к ст. 4.1 КоАП минимум снижается до 15 млн ₽, потолок — 50 млн ₽.

4. Можно ли заменить штраф на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна для субъектов МСП при первичном нарушении и отсутствии реального вреда субъектам ПДн. Ограничение: к составам ч. 15 и ч. 18 ст. 13.11 (оборотные) замена прямо исключена. Для ч. 1–14 при наличии статуса микропредприятия или малого предприятия замена реальна. В 2025–2026 годах суды применяли её при первичных нарушениях, когда компания оперативно устранила нарушение.

5. Какая подсудность дел после ФЗ-508?

С 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). В период с 30.05.2025 по 27.12.2025 подсудность была передана арбитражным судам. Возврат к мировым судьям означает иной порядок обжалования: апелляция — в районный суд, кассация — в суд субъекта. Срок обжалования постановления мирового судьи — 10 суток с момента вручения или получения копии.

Итог

Оборотный штраф по ч. 15 ст. 13.11 КоАП — не абстрактная угроза: для компании с оборотом 1 млрд ₽ это 10–30 млн ₽ при первом применении нормы. Единственный законный механизм снижения — документально подтверждённые инвестиции в ИБ не менее 0,1% выручки за три года (примечание 3.4-2 к ст. 4.1 КоАП). Все остальные защитные меры работают превентивно: аудит, ОРД, выстроенный процесс уведомления РКН снижают вероятность нарушения, а значит — и риск оборотного штрафа.

Юристы DATUM сопровождают операторов ПДн от аудита до защиты в арбитраже по ст. 13.11 КоАП. Практика включает дела по составам ч. 12–15 в редакции ФЗ-420, применение ст. 4.1 и ст. 4.1.1 КоАП, подготовку доказательной базы инвестиций в ИБ для снижения оборотного штрафа.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.

Получили протокол по ст. 13.11 или ждёте проверку РКН?