Защита в арбитраже по ч. 11 ст. 13.11: типовые ошибки
Штраф за несвоевременное уведомление РКН об инциденте с персональными данными до 30.05.2025 составлял несколько десятков тысяч рублей. После вступления в силу ФЗ-420 от 30.11.2024 санкция по ч. 11 ст. 13.11 КоАП выросла до 1–3 млн ₽ для юридических лиц. При этом большинство компаний продолжают защищаться в арбитраже теми же аргументами, что работали в 2022–2024 годах — и проигрывают. Ниже — разбор типовых ошибок и стратегия их устранения.
Что именно нарушает ч. 11 ст. 13.11 — и почему это важно для защиты?
Состав нарушения по ч. 11 ст. 13.11 КоАП сформулирован конкретно: оператор не уведомил или уведомил с опозданием Роскомнадзор о факте инцидента с персональными данными. Срок — 24 часа с момента обнаружения, порядок — Приказ РКН №187 от 14.11.2022. Через 72 часа оператор обязан направить отчёт о результатах внутреннего расследования.
Для защиты в арбитраже принципиально важно разграничить три юридически разных события. Первое — момент возникновения инцидента (атака, утечка). Второе — момент обнаружения инцидента оператором. Третье — момент уведомления РКН. Срок 24 часа отсчитывается от второго события. Именно это разграничение — точка входа для возражений по составу нарушения.
Типовая ошибка защиты № 1: компания не документирует момент обнаружения. Нет журнала, нет временной метки в системе SIEM, нет внутреннего приказа о фиксации инцидента. В результате суд или РКН устанавливают момент обнаружения самостоятельно — как правило, по первому внешнему сигналу (публикация в Telegram-канале хакеров, обращение пострадавшего субъекта). Это сдвигает точку отсчёта назад и превращает своевременное уведомление в опоздание.
Получили протокол по ч. 11 ст. 13.11 — что делать в первые 48 часов?
Штраф 1–3 млн ₽ по ч. 11 обжалуется в арбитражном суде субъекта. С 28.12.2025 (ФЗ-508) дела по ст. 13.11 рассматривают мировые судьи — проверьте, какой порядок применим к вашему делу. Процессуальный срок обжалования — 10 суток с даты вручения постановления. Ошибка в первых документах сужает пространство для маневра.
Защитить от штрафа 13.11+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие ошибки допускают компании при подготовке к арбитражу по ч. 11?
Анализ практики показывает несколько устойчивых паттернов, которые повторяются вне зависимости от отрасли и масштаба компании.
Ошибка № 2: смешение ч. 11 и ч. 12–14. Часть 11 — это нарушение процедурное: не уведомил или уведомил поздно. Части 12–14 — это нарушение по существу: произошла утечка определённого объёма данных. Это разные составы с разными санкциями. Компании нередко выстраивают защиту так, будто доказательство отсутствия утечки снимет ответственность по ч. 11. Это неверно: состав ч. 11 не требует доказанности самой утечки — достаточно факта обнаружения признаков инцидента и последующего уведомления позже 24 часов.
Ошибка № 3: подача первичного уведомления с неполными сведениями. Приказ РКН №187 устанавливает обязательный состав сведений в первичном уведомлении. Компании в спешке направляют неполное сообщение и считают 24-часовой срок выдержанным. РКН квалифицирует такое уведомление как ненаправленное и составляет протокол по ч. 11. В суде позиция РКН, как правило, поддерживается: суды оценивают соответствие уведомления требованиям Приказа №187 по существу, а не только по факту отправки.
Ошибка № 4: отсутствие доказательств отправки. Уведомление через личный кабинет на pd.rkn.gov.ru фиксирует системное время подачи. Компании иногда заявляют в суде, что уведомление было направлено, но не могут представить скриншот с временной меткой, подтверждение доставки или выгрузку из ЕСИА. Без этого доказательства факта своевременной подачи нет.
Что подготовить для защиты в арбитраже по ч. 11
- Журнал фиксации инцидента с временной меткой момента обнаружения (SIEM, приказ, акт)
- Скриншот или выгрузка из pd.rkn.gov.ru с подтверждением отправки первичного уведомления и временем
- Текст первичного уведомления — для сверки с требованиями Приказа РКН №187
- Отчёт о расследовании, направленный в течение 72 часов, с доказательством отправки
- Документы о принятых мерах по защите ПДн до инцидента (для ст. 4.1 и ст. 4.1.1 КоАП)
Как работают ст. 4.1 и ст. 4.1.1 КоАП при защите по ч. 11?
Статья 4.1 КоАП регулирует общие правила назначения административного наказания, в том числе учёт смягчающих обстоятельств. При доказанном нарушении по ч. 11 суд вправе назначить штраф ниже минимального санкции при наличии исключительных обстоятельств. Типичные смягчающие обстоятельства в делах по ч. 11: оперативное уведомление РКН после устранения технической причины задержки, отсутствие вреда субъектам, добровольное раскрытие полных сведений об инциденте.
Статья 4.1.1 КоАП позволяет заменить штраф предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии вреда. Важное ограничение: ст. 4.1.1 не применяется к оборотным составам — ч. 15 и ч. 18 ст. 13.11. По ч. 11 замена штрафа предупреждением теоретически возможна, если компания соответствует критериям СМП и нарушение первичное. На практике суды применяют ст. 4.1.1 к ч. 11 точечно — при наличии развёрнутых доказательств добросовестности оператора.
Ошибка № 5: использование аргументов ст. 4.1.1 при повторном нарушении. Если компания уже привлекалась по любой из частей ст. 13.11 в течение срока, установленного для признания повторности, — аргумент о «первичности» не работает. Суд проверяет факт предыдущего привлечения по базе ИАС «Мониторинг правоприменения» или запросу в РКН.
Если CEO уже получил постановление по ч. 11 и рассматривает возможность обжалования — срок 10 суток с даты вручения. Пропуск срока без уважительных причин закрывает арбитражный путь. Юристы DATUM оценят позицию и перспективы в день обращения.
Защитить от штрафа 13.11Что меняет ФЗ-420 и почему старые аргументы не работают с 30.05.2025?
До вступления в силу ФЗ-420 от 30.11.2024 максимальный штраф за несвоевременное уведомление об утечке не превышал нескольких десятков тысяч рублей. Практика была ориентирована на формальное исполнение: уведомить хоть как-то — и штраф будет минимальным. С 30.05.2025 логика изменилась: санкция по ч. 11 — 1–3 млн ₽, и суды рассматривают содержательное соответствие уведомления требованиям Приказа №187, а не только факт отправки.
Параллельно введены новые составы за саму утечку — ч. 12 (1–10 тыс. субъектов, 3–5 млн ₽), ч. 13 (10–100 тыс. субъектов, 5–10 млн ₽), ч. 14 (более 100 тыс. субъектов, 10–15 млн ₽). При повторности — ч. 15: оборотный штраф 1–3% совокупной годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Это означает, что дело по ч. 11 теперь рассматривается в связке с потенциальным делом по ч. 12–14 и угрозой ч. 15 при следующем инциденте.
Ошибка № 6: изолированная защита только по ч. 11 без учёта смежных рисков. Компания концентрируется на обжаловании штрафа 1–3 млн ₽ и не анализирует, есть ли параллельное производство по ч. 12–14 или будущий риск ч. 15. В результате выигранный арбитраж по ч. 11 не устраняет риск оборотного штрафа при следующей проверке.
Как применяется практика на конкретных примерах?
Кейс 1. Компания финансового сектора (Центральный ФО, осень 2025) зафиксировала подозрительный трафик в 23:40, внутренний инцидент-менеджмент подтвердил утечку в 08:15 следующего дня. Первичное уведомление направлено в РКН в 09:40 — в пределах 24 часов от подтверждения инцидента. Однако журнал событий SIEM оказался единственным документом, подтверждающим время обнаружения: в компании не было ни акта, ни приказа о фиксации. РКН установил момент обнаружения по дате аномалии в трафике — 23:40. Уведомление признано поданным с опозданием. Назначен штраф в диапазоне нижней трети санкции ч. 11. Арбитраж подтвердил позицию РКН, суд снизил штраф с учётом смягчающих обстоятельств по ст. 4.1 КоАП, применив исключительные обстоятельства — добровольное раскрытие деталей инцидента. Итог: штраф снижен, но не отменён. Урок: без отдельного акта фиксации момента обнаружения время отсчёта устанавливает регулятор.
Кейс 2. Торговая компания (Приволжский ФО, начало 2026) получила протокол по ч. 11 ст. 13.11 — первичное уведомление направлено через 31 час после обнаружения. Компания относилась к малому предпринимательству, нарушение первичное. Суд применил ст. 4.1.1 КоАП и заменил штраф предупреждением. Одновременно выдано предписание разработать регламент реагирования на инциденты с ПДн. Параллельного дела по ч. 12–14 не было — объём утечки составил менее 500 субъектов. Урок: статус СМП и первичность работают, но только при отсутствии предыдущих нарушений по ст. 13.11 и при объёме утечки ниже порога ч. 12.
Услуги DATUM по теме
- Защита при штрафе в арбитраже — оспаривание протоколов и постановлений по ст. 13.11 КоАП, ст. 4.1 и ст. 4.1.1
- Аудит соответствия 152-ФЗ — проверка готовности к проверке РКН по 38 пунктам
- Сопровождение проверок РКН — подготовка и представление интересов при взаимодействии с регулятором
Частые вопросы
1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?
С 30.05.2025 вступила в силу новая редакция ст. 13.11 КоАП (ФЗ-420 от 30.11.2024) — статья расширена с 7 до 18 частей. Для юридических лиц ключевые санкции: ч. 11 (неуведомление об утечке) — 1–3 млн ₽; ч. 12 (утечка до 10 000 субъектов) — 3–5 млн ₽; ч. 13 (до 100 000 субъектов) — 5–10 млн ₽; ч. 14 (более 100 000 субъектов) — 10–15 млн ₽; ч. 15 (оборотный при повторности) — 1–3% выручки, не менее 20 млн ₽, не более 500 млн ₽.
2. Что такое оборотный штраф 1–3% по ч. 15 ст. 13.11?
Оборотный штраф по ч. 15 ст. 13.11 КоАП применяется при повторном нарушении: если компания ранее привлекалась по ч. 12–14, 16–18 или самой ч. 15, и совершила новое нарушение тех же составов. Размер — 1–3% совокупной выручки за предшествующий календарный год. Установлены абсолютные пределы: не менее 20 млн ₽ и не более 500 млн ₽. Стандартная 50-процентная скидка при быстрой уплате по ст. 32.2 КоАП к оборотным штрафам не применяется.
3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?
Минимум 20 млн ₽ по ч. 15 ст. 13.11 применяется всегда, когда расчётная сумма 1–3% выручки ниже этого порога. Например, если выручка компании за предшествующий год составила 500 млн ₽, расчётный штраф 1% = 5 млн ₽ — но будет назначен минимум 20 млн ₽. Исключение: при подтверждённых инвестициях в информационную безопасность не менее 0,1% выручки за три года суд вправе снизить оборотный штраф до 1/10 минимума, но не ниже 15 млн ₽ (ст. 4.1 КоАП, примечание 3.4-2).
4. Можно ли заменить штраф по ч. 11 ст. 13.11 на предупреждение?
Замена штрафа предупреждением по ст. 4.1.1 КоАП возможна при одновременном соблюдении условий: компания относится к субъектам малого или среднего предпринимательства, нарушение совершено впервые, отсутствует причинённый вред субъектам ПДн. По ч. 11 (в отличие от ч. 15 и ч. 18) замена технически допустима. На практике суды применяют её точечно — при наличии документальных доказательств добросовестности оператора и принятых мерах по устранению нарушения.
5. Какая подсудность дел по ст. 13.11 после ФЗ-508 от 28.12.2025?
ФЗ-508 от 28.12.2025 вернул рассмотрение дел по ст. 13.11 КоАП мировым судьям. В период с 30.05.2025 по 27.12.2025 дела рассматривались арбитражными судами. С 28.12.2025 действует прежний порядок: мировые судьи по месту нахождения юридического лица. Это влияет на выбор процессуальной тактики: стандарты доказывания, сроки рассмотрения и практика применения ст. 4.1.1 КоАП у мировых судей и арбитражных судов различаются.
Итог
Часть 11 ст. 13.11 КоАП в редакции с 30.05.2025 — это не административный пустяк, а санкция от 1 до 3 млн ₽ с риском создать «повторность» для оборотного штрафа по ч. 15. Типовые ошибки защиты — отсутствие документированного момента обнаружения, неполное первичное уведомление, смешение составов ч. 11 и ч. 12–14, игнорирование смежного риска оборотного штрафа — устраняются ещё до составления протокола при правильно выстроенном процессе реагирования.
Юристы DATUM сопровождают компании при получении протоколов по ст. 13.11, формируют доказательную базу для арбитража и применяют инструменты ст. 4.1 и ст. 4.1.1 КоАП там, где это обоснованно по фактуре дела.