аналитика 14 февраля 2028 По состоянию на 14 февраля 2028

Защита в арбитраже — Часть 17 ст. 13.11

Часть 17 ст. 13.11 КоАП — штраф 15–20 млн ₽ за утечку биометрических персональных данных. Введена ФЗ-420 от 30.11.2024, действует с 30.05.2025.

Если компания допустила утечку биометрии и РКН составил протокол — мировой судья (с 28.12.2025) рассматривает дело по ч. 17. При повторности применяется оборотный штраф по ч. 18: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽.

→ Если вы CEO и получили протокол по ч. 17 ст. 13.11 — у вас ограниченное время до вынесения постановления. Позиция по делу формируется на стадии протокола, не после.

С 30.05.2025 утечка биометрических персональных данных — отдельный состав в ст. 13.11 КоАП. До введения ФЗ-420 от 30.11.2024 биометрия обрабатывалась в общем режиме: штрафы исчислялись тысячами рублей. Сейчас ч. 17 устанавливает для юридических лиц штраф от 15 до 20 млн ₽. Для генерального директора это решение с прямым влиянием на финансовый результат года. В этом материале — состав нарушения, тактика защиты в арбитраже, применимые смягчающие нормы и практика первых дел.

Что такое часть 17 ст. 13.11 КоАП и за что она применяется?

Часть 17 ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 устанавливает ответственность за утечку биометрических персональных данных, не подпадающую под специальную статью о нарушениях в ЕБС (ст. 13.11.3 КоАП). Речь идёт о ситуациях, когда оператор обрабатывал биометрию — изображение лица, голос, отпечатки, радужку оболочки глаза — и произошёл неправомерный доступ третьих лиц к этим данным.

«Ч. 17 ст. 13.11 КоАП — штраф для юридических лиц от 15 000 000 до 20 000 000 ₽ за утечку биометрических ПДн. Ч. 18 ст. 13.11 КоАП — оборотный штраф при повторности: 1–3% совокупной годовой выручки за предшествующий календарный год, не менее 20 000 000 ₽, не более 500 000 000 ₽.»

Биометрические персональные данные определены в ст. 11 ФЗ-152: физиологические и биологические характеристики, позволяющие установить личность. Обработка такой информации допускается только с письменного согласия субъекта (п. 1 ч. 2 ст. 11 ФЗ-152), если иное прямо не предусмотрено законом. При утечке — неважно, через взлом инфраструктуры, инсайдерский слив или ошибку конфигурации — оператор несёт ответственность по ч. 17.

Важно разграничить составы. Если компания — банк, МФО или МФЦ — нарушила требования размещения данных в ЕБС (Единой биометрической системе по ФЗ-572), применяется ст. 13.11.3 КоАП: штраф 500 тыс. – 1 млн ₽. Ч. 17 ст. 13.11 — для всех остальных операторов, хранящих биометрию в собственной инфраструктуре или у подрядчика.

Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

ФЗ-420 от 30.11.2024 радикально перестроил ст. 13.11 КоАП: вместо 7 частей — 18. Для генерального директора, получившего протокол по биометрической утечке, критичны четыре части:

Ч. 16 ст. 13.11 — обработка биометрии с нарушением требований ст. 11 ФЗ-152 (без письменного согласия, с ненадлежащим составом согласия). Точный диапазон для юрлиц — уточняется по тексту КоАП перед подачей возражений.
Ч. 17 ст. 13.11 — утечка биометрических ПДн. Штраф для юрлица: 15 000 000 – 20 000 000 ₽.
Ч. 18 ст. 13.11 — повторное нарушение по ч. 16 или ч. 17. Оборотный штраф: 1–3% совокупной выручки за предшествующий год, не менее 20 млн ₽, не более 500 млн ₽.
Ч. 11 ст. 13.11 — неуведомление или несвоевременное уведомление РКН об утечке в течение 24 часов. Штраф: 1 000 000 – 3 000 000 ₽. Нередко предъявляется одновременно с ч. 17.

При утечке биометрии компания рискует получить два протокола одновременно: по ч. 17 (факт утечки) и по ч. 11 (нарушение срока уведомления). Совокупный штраф — до 23 млн ₽ при первичном нарушении. Суды назначают наказание по каждому составу отдельно; зачёт одного в другой не предусмотрен.

Получили протокол РКН по ч. 17 ст. 13.11 — что делать сейчас?

Если РКН составил протокол за утечку биометрии, позиция по делу формируется в течение 10–15 дней до передачи материалов в суд. Это единственный момент, когда можно представить доказательства инвестиций в ИБ, запросить снижение по ст. 4.1 КоАП и исключить повторность по ч. 18. После вынесения постановления — только апелляция, и шансы снижаются.

Защитить от штрафа 13.11

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как работает защита в арбитраже по ч. 17 ст. 13.11?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП снова рассматривают мировые судьи — с 30.05.2025 по 27.12.2025 их рассматривали арбитражные суды. Это меняет тактику: апелляция на постановление мирового судьи подаётся в районный суд, затем — кассация. Для юридических лиц подсудность мировому судье сохранена; организации вправе представлять интересы через представителей по доверенности.

Алгоритм защиты строится на трёх уровнях.

Уровень 1 — стадия протокола (до суда). На этом этапе нужно представить РКН письменные возражения на протокол. Ключевые аргументы: отсутствие вины при надлежащем уровне защиты, принятые технические меры по Приказу ФСТЭК №21, наличие приказа о назначении ответственного по ст. 22.1 ФЗ-152, факт своевременного уведомления за 24 часа по ч. 3.1 ст. 21 ФЗ-152. Если уведомление подано в срок — это смягчающее обстоятельство по ст. 4.1 КоАП.

Уровень 2 — рассмотрение дела судьёй. На заседании суда защита обосновывает снижение штрафа ниже минимума по ч. 3.2 ст. 4.1 КоАП (не менее половины минимума при наличии смягчающих). Для ч. 17 минимум — 15 млн ₽; снижение до половины минимума даёт 7,5 млн ₽. Отдельно — аргумент об отсутствии тяжких последствий: если утечка не повлекла реального вреда субъектам, суд вправе учесть это при назначении наказания.

Уровень 3 — применение ст. 4.1 КоАП (инвестиционный аргумент). Примечание 3.4-2 к ст. 4.1 КоАП, введённое ФЗ-420, устанавливает: если компания инвестировала в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 18 ст. 13.11) снижается до 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽. Для ч. 17 это правило напрямую не применяется, но документально подтверждённые ИБ-инвестиции суды учитывают как смягчающее по ст. 4.1 КоАП в общем порядке.

Что подготовить для защиты по ч. 17 ст. 13.11

Первичное уведомление РКН об утечке (с отметкой о времени подачи — не позднее 24 часов с момента обнаружения, ч. 3.1 ст. 21 ФЗ-152)
Отчёт о результатах внутреннего расследования, направленный в РКН в течение 72 часов (Приказ РКН №187 от 14.11.2022)
Документы о принятых организационных и технических мерах: политика обработки ПДн, приказ о назначении ответственного (ст. 22.1 ФЗ-152), модель угроз по ПП РФ №1119
Финансовые документы об инвестициях в ИБ за три предшествующих года — для применения примечания 3.4-2 к ст. 4.1 КоАП при повторности
Доказательства отсутствия тяжких последствий для субъектов: анализ состава утекших данных, отсутствие зафиксированных случаев использования в мошеннических целях

Когда штраф можно снизить или заменить на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП теоретически возможна для микропредприятий и субъектов малого предпринимательства при первичном нарушении и отсутствии реального вреда. Однако для составов, связанных с утечкой данных значительного числа субъектов (особенно биометрии), суды применяют ст. 4.1.1 редко: суд оценивает общественную опасность нарушения. При этом ч. 18 ст. 13.11 (оборотный) прямо исключена из сферы применения ст. 4.1.1 КоАП.

Снижение штрафа ниже минимума по ч. 3.2 ст. 4.1 КоАП — более реалистичный инструмент. Суд вправе назначить штраф ниже минимума, установленного санкцией, при наличии исключительных обстоятельств. Для ч. 17 минимум 15 млн ₽ — потолок снижения по ч. 3.2 составляет не менее половины: 7,5 млн ₽. На практике суды применяли снижение в делах, где оператор:

уведомил РКН в срок (24 часа и 72 часа);
устранил нарушение и представил план мероприятий;
не имел предшествующих нарушений по ст. 13.11;
документально подтвердил понесённые расходы на ликвидацию последствий.

Если у вас уже есть постановление о штрафе по ч. 17 ст. 13.11 — срок апелляции ограничен 10 сутками с момента вручения. Юристы DATUM оспорят постановление в районном суде, применят ст. 4.1 КоАП для снижения и подготовят кассационную жалобу при необходимости.

Защитить от штрафа 13.11

Как выглядят типовые сценарии защиты по ч. 17 на практике?

Сценарий 1 — утечка через подрядчика. Компания передала обработку биометрии (например, системы контроля доступа СКУД) внешнему интегратору по договору поручения. Интегратор был взломан, данные утекли. РКН составил протокол против основного оператора по ч. 17.

Доказательства защиты: договор поручения с надлежащими условиями защиты ПДн (ч. 3 ст. 6 ФЗ-152), инструкция для обработчика, журнал аудита доступа. Вероятный исход: суд может снизить штраф по ч. 3.2 ст. 4.1 КоАП — оператор принял разумные меры, нарушение произошло на стороне подрядчика. Стратегия: сформировать доказательную базу о надлежащем поручении и предъявить регрессные требования к подрядчику.

Сценарий 2 — утечка из внутренней инфраструктуры, уведомление в срок. Компания обнаружила несанкционированный доступ к базе биометрических данных. В течение 18 часов уведомила РКН (ч. 3.1 ст. 21 ФЗ-152), через 70 часов — направила отчёт с результатами расследования (Приказ РКН №187). Протокол по ч. 17 составлен, но ч. 11 не применялась — сроки соблюдены.

Вероятный исход: суд учтёт своевременное уведомление как смягчающее по ст. 4.1 КоАП. При отсутствии тяжких последствий и первичности нарушения — основание для снижения штрафа. Стратегия: сделать акцент на оперативности и принятых мерах по устранению уязвимости.

Сценарий 3 — повторность и угроза оборотного штрафа по ч. 18. Компания привлекалась к ответственности по ч. 17 ранее (2025 год). Новая утечка биометрии — РКН возбуждает дело по ч. 18: оборотный штраф 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.

Доказательства защиты: документация об ИБ-инвестициях за три года (не менее 0,1% выручки по примечанию 3.4-2 к ст. 4.1 КоАП) — это снижает оборотный штраф до 1/10 минимума (но не менее 15 млн ₽ и не более 50 млн ₽). Стратегия: немедленно собрать финансовые документы по ИБ-расходам до первого судебного заседания; ст. 4.1.1 КоАП при повторности неприменима.

Как применяется ч. 15 и оборотный штраф при биометрических утечках?

Часть 15 ст. 13.11 КоАП (оборотный штраф за повторную утечку по ч. 12–14) и ч. 18 (оборотный за повторное нарушение по ч. 16–17) — разные составы. Если компания ранее привлекалась по ч. 12–14 (общие утечки) и теперь произошла утечка биометрии — применяется ч. 17 или ч. 18 в зависимости от повторности именно биометрических нарушений. Смешение составов недопустимо.

«Ч. 15 ст. 13.11 КоАП — оборотный штраф при повторной утечке по ч. 12–14: 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽. Ч. 18 ст. 13.11 КоАП — оборотный штраф при повторном нарушении по ч. 16–17 (биометрия): аналогичные параметры. Скидка 50% при досрочной уплате по ст. 32.2 КоАП к оборотным штрафам не применяется.»

Для генерального директора практическое следствие: до введения ФЗ-420 компания могла многократно нарушать ст. 13.11 и платить десятки тысяч рублей. С 30.05.2025 каждое нарушение формирует «историю», которая при следующем инциденте активирует оборотный состав. Рекомендация: провести аудит всех протоколов и постановлений по ст. 13.11, составленных в отношении компании с 30.05.2025, — это исходная точка для оценки риска повторности.

Кейс 1. IT-компания (Центральный ФО, осень 2025) допустила утечку биометрических данных сотрудников через систему СКУД. РКН составил протоколы по ч. 17 ст. 13.11 и ч. 11 (просрочка уведомления на 8 часов). Компания представила доказательства принятых мер защиты и устранения нарушения. Мировой судья снизил штраф по ч. 17 до минимума (15 млн ₽) с учётом смягчающих; по ч. 11 назначен штраф в сотни тысяч рублей. Апелляция не подавалась — итоговая сумма принята как компромисс. Ошибка: уведомление подано с задержкой, что исключило аргумент об оперативности. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Производственная компания (Уральский ФО, начало 2026) получила протокол по ч. 18 ст. 13.11 — повторная утечка биометрии после нарушения в 2025 году. Юристы представили финансовую документацию об ИБ-инвестициях за три года (0,18% совокупной выручки). Суд применил примечание 3.4-2 к ст. 4.1 КоАП: оборотный штраф снижен до 1/10 минимума (около 15 млн ₽ при минимуме 20 млн ₽ по ч. 18). ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспорим протокол и постановление, применим ст. 4.1 и 4.1.1 КоАП
Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний
Аудит соответствия 152-ФЗ — проверка обработки биометрии, УЗ и ОРД до инцидента

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП с 30.05.2025?

ФЗ-420 от 30.11.2024 расширил ст. 13.11 КоАП до 18 частей. Для биометрических утечек: ч. 17 — 15–20 млн ₽ для юрлица; ч. 18 (повторность) — 1–3% совокупной выручки, не менее 20 млн ₽, не более 500 млн ₽. Для неуведомления об утечке (ч. 11) — 1–3 млн ₽. За нарушение срока уведомления о намерении обрабатывать ПДн (ч. 10) — 100–300 тыс. ₽. До 30.05.2025 действовали старые нормы, и даже крупные утечки обходились сотнями тысяч рублей — как показало дело А40-263126/2025 (26 млн записей, штраф 150 тыс. ₽ по нормам до ФЗ-420).

2. Что такое оборотный штраф 1–3% по ч. 15 и ч. 18 ст. 13.11?

Оборотный штраф исчисляется от совокупной выручки компании за предшествующий календарный год — не от прибыли и не от оборота по конкретному направлению. Минимум по ч. 15 и ч. 18 — 20 млн ₽; максимум — 500 млн ₽. Ч. 15 применяется при повторной утечке по ч. 12–14 (общие ПДн), ч. 18 — при повторном нарушении по ч. 16–17 (биометрия). Скидка 50% при досрочной уплате по ст. 32.2 КоАП на оборотные штрафы не распространяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ по ч. 15 и ч. 18 применяется, когда расчётный оборотный штраф (1–3% выручки) оказывается ниже этой суммы. Например, при выручке 500 млн ₽ и ставке 1% расчётный штраф — 5 млн ₽, но назначается минимум 20 млн ₽. Единственный инструмент снижения — примечание 3.4-2 к ст. 4.1 КоАП: при ИБ-инвестициях не менее 0,1% выручки за три года штраф снижается до 1/10 минимума (не менее 15 млн ₽, не более 50 млн ₽).

4. Можно ли заменить штраф по ч. 17 на предупреждение?

Замена на предупреждение по ст. 4.1.1 КоАП теоретически возможна для микропредприятий при первичном нарушении и отсутствии реального вреда субъектам. На практике для биометрических утечек суды применяют её редко из-за высокой общественной опасности состава. Ч. 18 (оборотный) из сферы ст. 4.1.1 КоАП прямо исключена. Более реалистичный путь — снижение ниже минимума по ч. 3.2 ст. 4.1 КоАП при наличии исключительных смягчающих обстоятельств.

5. Какая подсудность дел по ст. 13.11 после ФЗ-508?

С 28.12.2025 (ФЗ-508 от 28.12.2025) дела по ст. 13.11 КоАП рассматривают мировые судьи. С 30.05.2025 по 27.12.2025 подсудность была передана арбитражным судам субъектов РФ — это переходный период, в который и рассматривались первые дела по новым нормам ФЗ-420. Апелляция на постановление мирового судьи подаётся в районный суд в течение 10 суток со дня вручения постановления.

Итог

Часть 17 ст. 13.11 КоАП — самый дорогой единичный состав в российском законодательстве о персональных данных для большинства компаний: 15–20 млн ₽ при первичной утечке биометрии. При повторности ч. 18 активирует оборотный штраф с нижней планкой 20 млн ₽ и верхней — 500 млн ₽. Защита строится на трёх элементах: соблюдении 24-часового срока уведомления РКН, доказательстве принятых технических и организационных мер, и — при повторности — документации об ИБ-инвестициях для применения примечания 3.4-2 к ст. 4.1 КоАП.

Практика DATUM по делам ст. 13.11 КоАП включает сопровождение с момента получения протокола РКН через стадию мирового суда до апелляции в районном суде. Первые решения по ч. 17 в редакции ФЗ-420 показывают: суды готовы снижать штраф при наличии полного доказательного пакета — но только если он представлен до вынесения постановления.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с РКН и арбитражной защите. Специализация — ст. 13.11 КоАП в редакции ФЗ-420, защита от оборотных штрафов, обжалование протоколов.