аналитика 26 февраля 2028 По состоянию на 26 февраля 2028

Защита от уголовки по 272.1: 5 шагов

Ст. 272.1 УК РФ действует с 11.12.2024 — незаконное использование, передача, сбор или хранение компьютерной информации с персональными данными. Максимум по ч. 5 — лишение свободы до 10 лет.

Параллельно с уголовным преследованием компания получает административное дело по ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024: оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Оба трека идут одновременно.

→ Если на компанию возбуждено уголовное дело по ст. 272.1 УК или пришёл протокол по ст. 13.11 КоАП — у вас есть конкретные шаги, которые влияют на итог.

С 11 декабря 2024 года руководитель компании, допустившей утечку персональных данных, рискует не только административным штрафом, но и уголовным преследованием по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024). С 30 мая 2025 года вступили в силу нормы ФЗ-420 от 30.11.2024: ст. 13.11 КоАП расширена до 18 частей, введён оборотный штраф при повторной утечке. Два инструмента давления на операторов ПДн теперь работают в паре. Ниже — пять шагов, которые снижают риски по обоим.

Что изменилось в 2024–2025 годах: уголовка и оборотные штрафы

До декабря 2024 года уголовная ответственность за утечки ПДн строилась на ст. 137 УК РФ (нарушение неприкосновенности частной жизни) и ст. 272 УК РФ (неправомерный доступ к охраняемой компьютерной информации). Ст. 272.1 УК заполнила пробел: теперь само по себе незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн, — самостоятельный состав преступления.

«Ст. 272.1 УК РФ — незаконные использование, передача, сбор или хранение компьютерной информации, содержащей персональные данные. Ч. 4 — незаконная трансграничная передача: до 8 лет лишения свободы. Ч. 5 — тяжкие последствия: до 10 лет. Действует с 11.12.2024 (ФЗ-421 от 30.11.2024).»

Параллельно ст. 13.11 КоАП получила оборотный состав. По ч. 12–14 штрафуют за саму утечку в зависимости от числа субъектов: от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 субъектов — 10–15 млн ₽ (ч. 14). Если компания уже привлекалась по ч. 12–14 или ч. 16–18, следующая утечка даёт оборотный штраф по ч. 15: 1–3% совокупной годовой выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.

Для CEO ситуация читается так: одна утечка — административное дело на компанию по ч. 12–14 ст. 13.11 плюс потенциальное уголовное дело на конкретных сотрудников или руководителя по ст. 272.1 УК. При повторной утечке административный штраф переходит в оборотный.

Получили протокол по ст. 13.11 или вызов по ст. 272.1?

Если компания уже в административном или уголовном производстве — важно не затягивать. Каждое процессуальное действие, совершённое без юридического сопровождения, сужает пространство для манёвра. Юристы DATUM специализируются на защите по ст. 13.11 КоАП с 30.05.2025 и сопровождении при взаимодействии с Роскомнадзором и следственными органами.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 1. Зафиксируйте факт и объём инцидента до того, как это сделает РКН

Ч. 3.1 ст. 21 ФЗ-152 устанавливает 24 часа на первичное уведомление РКН об утечке и 72 часа на отчёт о результатах внутреннего расследования по Приказу РКН №187 от 14.11.2022. Если инцидент обнаружен и зафиксирован самой компанией — это смягчающее обстоятельство. Если РКН узнал раньше — компания получает дополнительный состав по ч. 11 ст. 13.11 КоАП (штраф 1–3 млн ₽ за неуведомление).

Что фиксировать: дату и время обнаружения, источник информации об инциденте, перечень затронутых систем, предварительную оценку числа субъектов и категорий данных. Этот документ — основа и для уведомления РКН, и для позиции защиты в уголовном деле. Отсутствие внутреннего расследования при наличии утечки читается следствием как сокрытие.

Шаг 2. Разграничьте административный и уголовный треки с первого дня

Административное дело по ст. 13.11 КоАП ведёт Роскомнадзор (составляет протокол) и мировой судья (рассматривает с 28.12.2025 согласно ФЗ-508). Уголовное дело по ст. 272.1 УК расследует следственный орган (как правило, СК РФ или МВД в зависимости от подследственности). Это два разных процесса с разными процессуальными правами и сроками.

«Ст. 13.11 КоАП — административная ответственность оператора ПДн. Подсудность с 28.12.2025 — мировые судьи (ФЗ-508 от 28.12.2025). Ст. 272.1 УК — уголовная ответственность физических лиц. Одновременное производство по обоим составам законом не исключено.»

Стратегическая ошибка — давать объяснения в одном процессе без учёта другого. Показания в административном деле могут использоваться в уголовном. Руководитель, подписавший объяснение по ст. 13.11, фактически предоставил доказательства для ст. 272.1. Разграничение позиций по двум трекам требует координации с первого дня.

Как применяется ст. 4.1 и ст. 4.1.1 КоАП при защите по ст. 13.11?

Ст. 4.1 КоАП содержит примечание, позволяющее снизить оборотный штраф по ч. 15 ст. 13.11: если компания инвестировала в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф рассчитывается как 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Это верифицировано по ФЗ-420. Документировать инвестиции в ИБ нужно заранее — счета, акты, договоры с вендорами.

Ст. 4.1.1 КоАП допускает замену штрафа на предупреждение для микропредприятий и субъектов МСП при первичном нарушении без вреда охраняемым интересам. К оборотным составам — ч. 15 и ч. 18 ст. 13.11 — эта норма не применяется. Для ч. 12–14 при первичности нарушения и отсутствии реального вреда замена на предупреждение судебной практикой применяется.

Если компания получила протокол по ч. 12–14 ст. 13.11 КоАП — важно проверить, применима ли ст. 4.1.1 КоАП. Срок обжалования постановления — 10 суток с момента получения. После этого срок не восстанавливается.

Защитить от штрафа 13.11

Шаг 3. Соберите доказательства инвестиций в ИБ до подачи возражений

Для применения льготы по ст. 4.1 КоАП нужно документально подтвердить инвестиции в ИБ за три года. Это договоры с MSSP-подрядчиками, лицензии ФСТЭК-сертифицированных средств защиты, акты приёмки работ по настройке СЗИ, счета на антивирус, WAF, SIEM, DLP. Подготовка этого пакета занимает от 5 до 15 рабочих дней — начинать нужно немедленно после получения протокола.

Для уголовного дела по ст. 272.1 УК доказательства принятых мер защиты работают иначе: они не исключают состав, но могут подтвердить отсутствие умысла на незаконное использование данных. Наличие политики обработки ПДн, назначенного ответственного по ст. 22.1 ФЗ-152, журналов доступа к ИСПДн и регламента реагирования на инциденты создаёт картину добросовестного оператора.

Шаг 4. Подготовьте позицию по составу нарушения до первого заседания

Административные составы ст. 13.11 КоАП с 30.05.2025 разграничены по субъекту, объекту и повторности. Неправильная квалификация в протоколе — основание для прекращения дела. Типичные ошибки в протоколах РКН: неверно указан субъект ответственности (компания вместо должностного лица или наоборот), неправильно определён состав (ч. 1 вместо ч. 2 при отсутствии письменного согласия), нарушен срок составления протокола.

«Ст. 13.11 ч. 2 КоАП — обработка ПДн без письменного согласия, когда оно требуется, или с нарушением требований к составу согласия: штраф для юрлица 300 000–700 000 ₽. Ч. 2.1 — повторное нарушение по ч. 2: 1 000 000–1 500 000 ₽. Редакция с 30.05.2025 (ФЗ-420 от 30.11.2024).»

По уголовному делу ст. 272.1 УК — состав материальный в части ч. 4 и ч. 5 (тяжкие последствия, трансграничная передача). По ч. 1–3 состав формальный. Разграничение умысла и неосторожности критично для квалификации части статьи и, соответственно, для санкции.

Шаг 5. Обжалуйте протокол или постановление в установленные сроки

По административному делу: постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента вручения или получения копии. Пропуск срока без уважительной причины — постановление вступает в силу и исполняется. При наличии оснований (нарушение процедуры составления протокола, неправильная квалификация, применимость ст. 4.1.1 КоАП) суды снижают штраф или прекращают дело.

По уголовному делу сроки обжалования зависят от стадии: постановление о возбуждении дела обжалуется прокурору или в суд, обвинительный приговор — в апелляционную инстанцию в течение 15 суток с момента провозглашения. Параллельное административное производство завершено к моменту рассмотрения уголовного дела в большинстве случаев — это учитывается при оценке совокупности обстоятельств.

Практика: как выглядит защита на реальных делах

Кейс 1. Компания Центрального ФО (розничная торговля, осень 2025) получила протокол по ч. 12 ст. 13.11 КоАП — утечка данных от 3 000 клиентов через уязвимость в CRM. Первичное нарушение, реальный вред клиентам не зафиксирован. Юристы подготовили ходатайство о замене штрафа на предупреждение по ст. 4.1.1 КоАП, приложили документацию по политике обработки ПДн, назначению ответственного и уведомление РКН в срок. Мировой суд района применил ст. 4.1.1 — штраф заменён на предупреждение. Уголовное дело не возбуждалось.

Кейс 2. IT-компания Северо-Западного ФО, зима 2025–2026, столкнулась с одновременным протоколом по ч. 13 ст. 13.11 (утечка около 50 000 субъектов) и проверкой следователя по признакам ст. 272.1 УК ч. 1. Компания документально подтвердила инвестиции в ИБ за три года на уровне выше 0,1% выручки, что позволило поставить вопрос о снижении административного штрафа по ст. 4.1 КоАП. Параллельно юристы сформировали позицию об отсутствии умысла в уголовном деле: утечка произошла через уязвимость стороннего ПО, компания уведомила РКН в установленные сроки. По административному делу штраф снижен до нижней границы диапазона ч. 13 (5 млн ₽). Уголовное дело прекращено на стадии проверки сообщения о преступлении.

Что подготовить при угрозе уголовного и административного преследования

Хронология инцидента: дата обнаружения, источник, объём затронутых данных — до получения протокола
Документы об инвестициях в ИБ за 3 года: договоры, акты, счета с вендорами СЗИ — для льготы по ст. 4.1 КоАП
ОРД: политика обработки ПДн, приказ о назначении ответственного по ст. 22.1, регламент реагирования на инциденты
Уведомление РКН по Приказу №187: первичное за 24 ч и отчёт за 72 ч — с отметкой о принятии
Позиция защиты по административному и уголовному трекам — согласованная, без противоречий между объяснениями

Типовые сценарии: что происходит без юридического сопровождения

Сценарий 1. Компания получила протокол по ч. 14 ст. 13.11 (утечка свыше 100 000 субъектов) и пытается урегулировать самостоятельно. Без проверки процедуры составления протокола и сроков нарушение может оказаться оформленным с ошибками, которые дают основание для прекращения дела. Компания платит штраф 10–15 млн ₽, не используя ни ст. 4.1.1 КоАП (при применимости), ни процессуальные основания для обжалования.

Сценарий 2. Следователь опрашивает генерального директора как свидетеля по ст. 272.1 УК, директор даёт показания без адвоката. Показания фиксируются, впоследствии используются в качестве доказательств. Статус свидетеля может быть изменён на подозреваемого. На этой стадии адвокат уже работает с дополнительными ограничениями.

Сценарий 3. Компания имеет две утечки за два года. Первая квалифицирована по ч. 12 ст. 13.11 (штраф 3–5 млн ₽). Вторая — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. При выручке 500 млн ₽ минимальный штраф — 20 млн ₽. При выручке 2 млрд — 20–60 млн ₽. Без аудита и ОРД после первой утечки второй сценарий становится вопросом времени.

Услуги DATUM по теме

Защита при штрафе в арбитраже — обжалование протоколов и постановлений по ст. 13.11 КоАП, применение ст. 4.1 и 4.1.1
Сопровождение проверок РКН — представительство при проверке, подготовка возражений, обжалование предписаний
Аудит соответствия 152-ФЗ — от 100 000 ₽, чек-лист из 38 пунктов, приоритизированный план устранения нарушений

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

С 30 мая 2025 года ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024 и насчитывает 18 частей. За утечку от 1 000 до 10 000 субъектов — 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). За неуведомление РКН об утечке в 24 часа — 1–3 млн ₽ (ч. 11). За отсутствие регистрации оператора по ст. 22 ФЗ-152 — 100–300 тыс. ₽ (ч. 10). Штрафы применяются с 30.05.2025; к нарушениям, совершённым до этой даты, применяется старая редакция.

2. Что такое оборотный штраф 1–3%?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном совершении нарушения по ч. 12–14, 16–18 или 15. Размер — от 1 до 3% совокупной выручки оператора за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Скидка 50% за досрочную уплату штрафа по ст. 32.2 КоАП к оборотному составу не применяется. Подсудность — мировые судьи (с 28.12.2025, ФЗ-508).

3. Когда применяется минимум 20 млн ₽?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется, когда расчётная величина 1–3% выручки оказывается ниже этого порога. Например, при годовой выручке до 667 млн ₽ расчётный штраф от 1% составляет меньше 20 млн — суд назначает минимум. При выручке свыше 667 млн и нарушении по нижней границе (1%) минимум превышен, штраф рассчитывается пропорционально. Льгота по ст. 4.1 КоАП при подтверждённых инвестициях в ИБ снижает штраф до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.

4. Можно ли заменить штраф на предупреждение?

Да, для микропредприятий и субъектов МСП при первичном нарушении и отсутствии реального вреда ст. 4.1.1 КоАП допускает замену штрафа на предупреждение. Это применимо к ч. 12–14 ст. 13.11 при первичности нарушения. К оборотным составам ч. 15 и ч. 18 ст. 13.11 КоАП замена на предупреждение по ст. 4.1.1 не применяется — прямой запрет в законе.

5. Какая подсудность дел после ФЗ-508?

С 28 декабря 2025 года дела по ст. 13.11 КоАП рассматривают мировые судьи (ФЗ-508 от 28.12.2025). В период с 30 мая 2025 года по 27 декабря 2025 года дела рассматривались арбитражными судами. Постановление обжалуется в районный суд в течение 10 суток с момента получения копии. Протокол составляет Роскомнадзор.

Итог

Ст. 272.1 УК РФ и обновлённая ст. 13.11 КоАП с 2025 года создают два независимых трека ответственности за нарушения в обработке персональных данных. Административный штраф при повторной утечке достигает 500 млн ₽, уголовная ответственность — до 10 лет лишения свободы. Каждый из пяти шагов, описанных выше, влияет на вероятность и размер санкции: фиксация инцидента, разграничение треков, документирование инвестиций в ИБ, проверка квалификации в протоколе и соблюдение сроков обжалования.

Практика DATUM по ст. 13.11 КоАП включает сопровождение административных дел с момента получения протокола, применение ст. 4.1 и 4.1.1 КоАП, взаимодействие с Роскомнадзором при проверках и подготовку позиции по уголовным делам, связанным с ПДн.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.