аналитика 11 декабря 2027 По состоянию на 11 декабря 2027

Защита подрядчика при утечке у заказчика по ч. 12

Подрядчик, обрабатывающий ПДн по поручению заказчика, несёт самостоятельную ответственность по ч. 12 ст. 13.11 КоАП при утечке от 1 000 до 10 000 субъектов — штраф от 3 до 5 млн ₽.

С 30.05.2025 ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП до 18 частей. Повторная утечка через подрядчика создаёт оборотный штраф по ч. 15 — 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

→ Если вы CEO компании-подрядчика, получившей протокол в связи с утечкой у заказчика — у вас есть шансы снизить или отменить штраф, если договор поручения оформлен правильно.

С 30.05.2025 каждая утечка ПДн, прошедшая через инфраструктуру подрядчика, становится основанием для отдельного протокола по ст. 13.11 КоАП — независимо от того, кто является основным оператором. Роскомнадзор последовательно квалифицирует подрядчика как самостоятельного субъекта ответственности, если тот обрабатывал данные без надлежащего договора поручения. Ниже — разбор правовой логики, матрица рисков и стратегия защиты для генерального директора компании-подрядчика.

Кто несёт ответственность: оператор, подрядчик или оба?

Ст. 6 ФЗ-152 разграничивает роли: оператор — тот, кто определяет цели и состав обработки; лицо, осуществляющее обработку по поручению, — тот, кто обрабатывает данные на основании договора с оператором. Подрядчик, получивший доступ к базе клиентов заказчика для технического обслуживания, аналитики или рассылок, формально является таким «обработчиком по поручению».

Однако практика Роскомнадзора и судов после 30.05.2025 показывает: если договор поручения отсутствует, неполон по реквизитам или подрядчик вышел за пределы полномочий — он квалифицируется как самостоятельный оператор. Это означает полный набор обязанностей по ФЗ-152 и полный диапазон штрафов по ст. 13.11 КоАП.

«Ст. 6 ФЗ-152 — поручение обработки допустимо только на основании договора или акта органа власти. Договор обязан содержать перечень действий, цели обработки, обязанность соблюдения конфиденциальности и требования к защите данных. Без этих условий лицо, фактически обрабатывающее данные, признаётся самостоятельным оператором.»

На практике это означает, что при утечке от 1 000 до 10 000 субъектов Роскомнадзор вправе составить два протокола: один на оператора-заказчика, второй — на подрядчика. Оба получают штраф по ч. 12 ст. 13.11 КоАП в диапазоне 3–5 млн ₽.

Что изменил ФЗ-420 от 30.11.2024 для подрядчиков?

До 30.05.2025 максимальный штраф по ст. 13.11 КоАП для юридического лица редко превышал 100 000 ₽ даже при крупной утечке. ФЗ-420 от 30.11.2024 кардинально изменил ситуацию: теперь размер штрафа привязан к масштабу утечки.

Для подрядчиков принципиальными стали три части статьи:

Ч. 12 — утечка от 1 000 до 10 000 субъектов или от 10 000 до 100 000 идентификаторов: штраф 3–5 млн ₽.
Ч. 13 — утечка от 10 000 до 100 000 субъектов или от 100 000 до 1 000 000 идентификаторов: штраф 5–10 млн ₽.
Ч. 14 — утечка свыше 100 000 субъектов или более 1 000 000 идентификаторов: штраф 10–15 млн ₽.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф за повторное нарушение по ч. 12–14: от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽. Применяется, если компания ранее уже привлекалась по ч. 12–15 ст. 13.11 КоАП. Скидка за быструю уплату по ст. 32.2 КоАП к оборотному штрафу не применяется.»

Для подрядчика, работающего с несколькими заказчиками одновременно, риск повторного нарушения кратно выше: достаточно двух инцидентов на разных проектах, чтобы второй штраф превратился в оборотный.

Получили протокол по ч. 12 ст. 13.11 в связи с утечкой у заказчика?

Если вы CEO компании-подрядчика и РКН составил протокол — срок на подачу возражений в суд ограничен. Правовая позиция строится на содержании договора поручения, соответствии технических мер Приказу ФСТЭК №21 и применимости ст. 4.1 или 4.1.1 КоАП. Юристы DATUM оценят перспективы обжалования и подготовят позицию для мирового суда.

Защитить от штрафа 13.11

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как снизить штраф подрядчику: нормы и аргументы

Защита подрядчика строится на трёх правовых инструментах: ст. 4.1 КоАП (смягчающие обстоятельства), ст. 4.1.1 КоАП (замена на предупреждение) и специальном механизме снижения оборотного штрафа при инвестициях в ИБ.

Ст. 4.1 КоАП: смягчающие обстоятельства

Суд вправе выйти за нижний предел санкции при наличии исключительных обстоятельств. Для подрядчика значимы: добровольное уведомление РКН до обнаружения нарушения регулятором, принятие немедленных мер по устранению последствий, отсутствие прямого умысла, первичность нарушения, незначительность реального вреда субъектам. Ссылка на эти факты в объяснениях по протоколу и в суде систематически снижает итоговый штраф.

Ст. 4.1.1 КоАП: замена штрафа на предупреждение

Для микропредприятий и субъектов МСП при первичном нарушении и отсутствии реального вреда суд может заменить штраф предупреждением. Исключение: нормы прямо запрещают такую замену по ч. 15 и ч. 18 ст. 13.11 КоАП (оборотные составы). По ч. 12 при первичном нарушении замена возможна — практика арбитражных судов до 28.12.2025 и мировых судей после подтверждает это.

Инвестиции в ИБ — скидка 90% от оборотного штрафа

Примечание 3.4-2 к ст. 4.1 КоАП, введённое ФЗ-420, предусматривает снижение оборотного штрафа по ч. 15 до одной десятой от минимального размера, если оператор за три предшествующих года инвестировал в информационную безопасность не менее 0,1% совокупной выручки. Итоговая сумма — не менее 15 млн ₽ и не более 50 млн ₽. Для этого необходимо документальное подтверждение: договоры на средства защиты, акты выполненных работ, аудиторское заключение об инвестициях.

Что подготовить подрядчику для защиты по ч. 12

Договор поручения обработки ПДн с заказчиком — с перечнем допустимых действий, целями и требованиями к защите (ст. 6 ФЗ-152).
Документацию о технических мерах защиты по Приказу ФСТЭК №21 — акты, протоколы сканирования, отчёты о пентестах за последние 12 месяцев.
Финансовые документы об инвестициях в ИБ за три года — для применения скидки по примечанию 3.4-2 к ст. 4.1 КоАП.
Доказательства уведомления РКН об утечке в течение 24 часов — квитанции из личного кабинета pd.rkn.gov.ru с временной меткой.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 и журнал его действий в период инцидента.

Матрица сценариев для CEO компании-подрядчика

Исход зависит от трёх переменных: наличия договора поручения, масштаба утечки и того, является ли нарушение первичным.

Сценарий 1. Договор поручения есть, технические меры соответствуют Приказу ФСТЭК №21, нарушение первичное. РКН составил протокол по ч. 12. Подрядчик уведомил РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152), направил 72-часовой отчёт, документация в порядке. Суд с высокой вероятностью назначит штраф в нижней части диапазона (3 млн ₽) или, если компания относится к МСП, заменит на предупреждение по ст. 4.1.1 КоАП. Стратегия: акцент на соответствии техническим требованиям и оперативности реагирования.

Сценарий 2. Договора поручения нет — подрядчик квалифицирован как самостоятельный оператор. Утечка затронула 8 000 субъектов — ч. 12, штраф 3–5 млн ₽. Дополнительно: нарушение ч. 10 ст. 13.11 КоАП (необоснованная обработка ПДн без уведомления РКН о намерении). Суммарный риск — два протокола, два штрафа. Стратегия: срочное заключение договора поручения задним числом не поможет — доказывать фактический характер отношений через переписку и техническое задание, добиваться переквалификации в обработчика.

Сценарий 3. Повторное нарушение — оборотный штраф по ч. 15. Подрядчик уже привлекался по ч. 12 ранее. Новая утечка — ч. 15, оборотный штраф 1–3% выручки, минимум 20 млн ₽. При выручке 500 млн ₽ — штраф от 5 до 15 млн ₽ (применяется нижний порог 20 млн как минимальный). Стратегия: применить скидку 90% по примечанию 3.4-2 к ст. 4.1 КоАП через документирование инвестиций в ИБ — итог 15–50 млн ₽ вместо полного оборотного штрафа. Ст. 4.1.1 КоАП по ч. 15 неприменима.

Если вы CEO и нарушение не первичное — оборотный штраф по ч. 15 составит минимум 20 млн ₽. Документирование инвестиций в ИБ может снизить его до 15 млн ₽. Юристы DATUM подготовят позицию и доказательную базу.

Защитить от штрафа 13.11

Как это применяется на практике

Кейс 1. IT-подрядчик из Сибирского федерального округа (начало 2026 года) обслуживал CRM-систему розничной сети и получил доступ к базе на 4 000 клиентов без оформленного договора поручения. После инцидента с несанкционированным доступом к базе РКН составил протокол по ч. 12 ст. 13.11 КоАП в отношении подрядчика как самостоятельного оператора. Генеральный директор подрядчика предоставил переписку с заказчиком, техническое задание и акт выполненных работ, подтверждавшие поручительный характер обработки. Мировой суд принял во внимание первичность нарушения, наличие технических мер защиты и назначил штраф в нижней части диапазона — около 3 млн ₽. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Маркетинговое агентство (Центральный федеральный округ, конец 2025 года) проводило email-рассылки по базе заказчика — 12 000 адресатов. Договор поручения содержал перечень допустимых действий, однако агентство самостоятельно передало базу в сторонний сервис аналитики без согласования с заказчиком. РКН квалифицировал передачу как самостоятельную обработку, составил протокол по ч. 13 ст. 13.11 (штраф 5–10 млн ₽). Агентство относилось к субъектам МСП, нарушение — первичное. Суд применил ст. 4.1.1 КоАП и заменил штраф предупреждением, обязав устранить нарушение. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11, применение ст. 4.1 и ст. 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — проверка договоров поручения, технических мер и документации по чек-листу из 38 пунктов.
Сопровождение проверок РКН — представление интересов при внеплановой проверке, обжалование предписания.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 в силу вступил ФЗ-420 от 30.11.2024, расширивший ст. 13.11 КоАП до 18 частей. За утечку от 1 000 до 10 000 субъектов юридическое лицо платит 3–5 млн ₽ (ч. 12); от 10 000 до 100 000 субъектов — 5–10 млн ₽ (ч. 13); свыше 100 000 субъектов — 10–15 млн ₽ (ч. 14). Неуведомление РКН об инциденте в течение 24 часов — отдельный штраф 1–3 млн ₽ по ч. 11.

2. Что такое оборотный штраф 1–3% и когда он применяется?

Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении по ч. 12–14 компанией, которая ранее уже привлекалась к ответственности по аналогичным составам. Размер — 1–3% совокупной годовой выручки за предшествующий календарный год. Установлен минимальный порог 20 млн ₽ и максимальный — 500 млн ₽. Замена на предупреждение по ст. 4.1.1 КоАП к оборотному штрафу не применяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ по ч. 15 применяется, если расчётная сумма (1–3% выручки) оказывается ниже этой отметки. Например, при годовой выручке 300 млн ₽ и ставке 1% расчётная сумма составит 3 млн ₽, но штраф всё равно назначат в размере 20 млн ₽. Если компания документально подтвердила инвестиции в ИБ не менее 0,1% выручки за три года — штраф снижается до одной десятой минимума, но не менее 15 млн ₽ и не более 50 млн ₽ (примечание 3.4-2 к ст. 4.1 КоАП).

4. Можно ли заменить штраф по ч. 12 ст. 13.11 на предупреждение?

Да, при соблюдении двух условий: компания относится к микропредприятиям или субъектам МСП и нарушение совершено впервые без причинения реального вреда субъектам ПДн. Суд применяет ст. 4.1.1 КоАП. По ч. 15 и ч. 18 ст. 13.11 (оборотные составы) замена на предупреждение прямо запрещена. Практика мировых судей после 28.12.2025 в целом подтверждает возможность замены по первичным составам ч. 12–14.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025, после вступления в силу ФЗ-508 от 28.12.2025, дела по ст. 13.11 КоАП снова рассматривают мировые судьи. Период с 30.05.2025 по 27.12.2025 стал переходным — в это время дела рассматривались арбитражными судами. Возврат к мировым судьям изменил тактику защиты: мировые суды реже применяют специализированные нормы КоАП об оборотных штрафах и чаще соглашаются на замену по ст. 4.1.1 КоАП при первичных нарушениях.

Итог

Подрядчик несёт самостоятельную ответственность по ч. 12–15 ст. 13.11 КоАП, если обрабатывал ПДн без надлежащего договора поручения или вышел за его пределы. Минимальный штраф по ч. 12 при первичном нарушении — 3 млн ₽; при повторном — оборотный, не менее 20 млн ₽. Защита строится на документировании договорных отношений, технических мер по Приказу ФСТЭК №21, оперативности уведомления РКН и доказательстве инвестиций в ИБ для снижения оборотного штрафа.

Юристы DATUM сопровождают подрядчиков при составлении протоколов по ст. 13.11 КоАП начиная с момента уведомления об инциденте — до вступления постановления в законную силу или его обжалования.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), применение ст. 4.1 и 4.1.1 КоАП, защита от оборотных штрафов с 30.05.2025.