КоАП для разработчиков и IT-бизнеса: персданные и реклама

КоАП РФ для IT-бизнеса - это прежде всего статья 13.11 (нарушения в сфере персональных данных) и статья 14.3 (незаконная реклама). По состоянию на май 2026 года штрафы по статье 13.11 достигают 15 млн рублей за повторное нарушение, а Роскомнадзор проводит плановые и внеплановые проверки операторов персональных данных. Разработчики приложений, SaaS-сервисов и рекламных платформ входят в зону риска автоматически - как только они собирают данные пользователей или размещают рекламу.

IT-компании недооценивают административную ответственность по КоАП РФ: типичная ошибка - считать, что штрафы касаются только крупных корпораций. Роскомнадзор штрафует стартапы, мобильные приложения и небольшие SaaS-сервисы наравне с банками. Чек-лист соответствия требованиям, понимание составов и сроков давности - это минимум, который защищает бизнес от доначислений и блокировок.

Статья 13.11 КоАП РФ: какие нарушения грозят IT-компании?

Статья 13.11 КоАП РФ содержит девять самостоятельных составов нарушений в сфере персональных данных - от обработки без согласия до непредоставления информации субъекту. Минимальный штраф для юридического лица составляет 60 000 рублей, максимальный за повторное нарушение по части 2 - 15 млн рублей. Роскомнадзор вправе возбудить дело без проверки - по обращению гражданина или по результатам мониторинга сайта.

Для IT-компании наиболее опасны три состава. Часть 1 - обработка персональных данных без законного основания или сверх заявленных целей: штраф до 100 000 рублей для юрлица. Часть 2 - обработка без согласия субъекта или с нарушением требований к согласию: штраф до 300 000 рублей, при повторном нарушении - до 500 000 рублей. Часть 8 - невыполнение требования об уничтожении данных: штраф до 500 000 рублей.

С 1 сентября 2024 года вступили в силу поправки, которые ввели оборотные штрафы за утечку персональных данных. Статья 13.11 дополнена частями 13 и 14: за утечку данных от 10 000 до 100 000 субъектов штраф составляет от 3 до 5 млн рублей, свыше 100 000 субъектов - от 10 до 15 млн рублей. Для разработчиков мобильных приложений и облачных сервисов это означает прямую финансовую ответственность за уязвимости в коде.

Многие IT-компании полагают, что достаточно разместить политику конфиденциальности на сайте. Роскомнадзор проверяет не только наличие документа, но и его содержание: цели обработки, перечень третьих лиц, которым передаются данные, механизм отзыва согласия. Политика, скопированная с шаблона без адаптации под конкретный сервис, не защищает от штрафа.

Контекстный мост: описанные составы применяются к любому оператору персональных данных - независимо от размера компании. Конкретная квалификация зависит от архитектуры сервиса, способа сбора данных и наличия трансграничной передачи. Ошибка в квалификации на этапе проверки превращает предупреждение в максимальный штраф.

Как правильно собирать согласие на обработку персональных данных в IT-сервисе?

Согласие на обработку персональных данных должно быть конкретным, информированным, сознательным и однозначным - это требование части 1 статьи 9 Федерального закона о персональных данных (152-ФЗ). Для IT-сервисов это означает: отдельный чекбокс для каждой цели обработки, запрет на предзаполненные галочки, явное указание третьих лиц, которым передаются данные. Отсутствие любого из этих элементов - готовый состав по части 2 статьи 13.11 КоАП РФ.

Роскомнадзор в ходе проверок фиксирует типичные нарушения в механизме согласия. Первое - объединение согласия с пользовательским соглашением: одна галочка «Я принимаю условия» не заменяет отдельного согласия на обработку данных. Второе - отсутствие механизма отзыва: кнопка «Удалить аккаунт» не равнозначна отзыву согласия, если данные продолжают обрабатываться в аналитических целях. Третье - неполный перечень целей: если приложение передаёт данные рекламным SDK, это должно быть прямо указано в согласии.

Для мобильных приложений действуют дополнительные требования. Запрос разрешений на доступ к геолокации, контактам или камере сам по себе не является согласием на обработку персональных данных - нужен отдельный экран с информацией о целях. Приложения в App Store и Google Play дополнительно проверяются платформами, но это не освобождает от требований российского законодательства.

Чек-лист для проверки механизма согласия в IT-сервисе:

• Отдельный чекбокс для согласия на обработку персональных данных (не совмещён с пользовательским соглашением).
• Перечислены все цели обработки, включая передачу данных аналитическим и рекламным сервисам.
• Указаны третьи лица - получатели данных (или их категории).
• Предусмотрен явный механизм отзыва согласия с описанием последствий.
• Срок хранения данных указан для каждой категории или цели обработки.

Реклама в IT: какие нарушения статьи 14.3 КоАП РФ встречаются чаще всего?

Статья 14.3 КоАП РФ устанавливает ответственность за нарушение законодательства о рекламе: штраф для юридических лиц составляет от 100 000 до 500 000 рублей. IT-компании нарушают Федеральный закон о рекламе (38-ФЗ) по трём основным направлениям: ненадлежащая реклама в приложениях, нарушения при рассылке, отсутствие маркировки интернет-рекламы.

С 1 сентября 2022 года действует обязательная маркировка интернет-рекламы через операторов рекламных данных (ОРД). Каждое рекламное объявление должно содержать токен - уникальный идентификатор, присвоенный ОРД. Отсутствие токена или его неправильное размещение образует состав по части 1 статьи 14.3 КоАП РФ. ФАС России и Роскомнадзор ведут совместный мониторинг: в 2024 году было возбуждено более 2 000 дел по нарушениям маркировки.

Push-уведомления и email-рассылки - отдельная зона риска. Статья 18 закона о рекламе требует предварительного согласия адресата на получение рекламы. Согласие должно быть получено до первой отправки, а не после регистрации в сервисе. Типичная ошибка: компания считает, что регистрация в приложении автоматически означает согласие на рекламные рассылки. Это не так - нужен отдельный явный opt-in.

Неочевидный риск для разработчиков рекламных платформ и агрегаторов: ответственность по статье 14.3 КоАП РФ может быть возложена одновременно на рекламодателя, рекламораспространителя и рекламопроизводителя. Если IT-компания предоставляет платформу для размещения рекламы, она может быть привлечена как рекламораспространитель - даже если не создавала рекламный контент.

Локализация данных и трансграничная передача: риски для разработчиков

Статья 18.1 Федерального закона о персональных данных обязывает операторов хранить данные российских граждан на серверах в России. Нарушение этого требования образует состав по части 8 статьи 13.11 КоАП РФ - штраф до 6 млн рублей для юридического лица. Роскомнадзор вправе заблокировать сервис, не выполняющий требование локализации, - именно так были заблокированы LinkedIn и ряд других платформ.

Для IT-компаний, использующих зарубежную облачную инфраструктуру (AWS, Google Cloud, Azure), требование локализации означает необходимость выбора российского региона размещения или использования российских облачных провайдеров. Использование CDN с зарубежными узлами само по себе не нарушает требование, если основная база данных находится в России. Однако передача данных в аналитические системы (Google Analytics, Amplitude) может квалифицироваться как трансграничная передача.

Трансграничная передача данных с 1 марта 2023 года требует предварительного уведомления Роскомнадзора и оценки достаточности защиты в стране-получателе. Перечень стран с достаточным уровнем защиты утверждён приказом Роскомнадзора. Передача данных в страны, не включённые в перечень, допускается только при наличии согласия субъекта или в рамках договора с ним. Нарушение порядка трансграничной передачи - часть 12 статьи 13.11 КоАП РФ, штраф до 6 млн рублей.

Пропуск срока уведомления Роскомнадзора о намерении осуществить трансграничную передачу лишает компанию возможности легально передавать данные до получения ответа регулятора - а это может остановить работу сервиса на срок до 10 рабочих дней. Уведомление подаётся через портал Роскомнадзора не менее чем за 10 рабочих дней до начала передачи.

Если IT-сервис работает с данными пользователей из нескольких юрисдикций или использует зарубежные аналитические инструменты, правовая оценка архитектуры данных требует анализа конкретных потоков. Стандартный шаблон политики конфиденциальности не закрывает риски трансграничной передачи.

Как обжаловать постановление по статье 13.11 или 14.3 КоАП РФ?

Постановление по делу об административном правонарушении обжалуется в течение 10 суток с момента вручения - это срок, установленный статьёй 30.3 КоАП РФ. Для IT-компаний, привлечённых Роскомнадзором, жалоба подаётся в арбитражный суд по месту нахождения органа, вынесшего постановление. Пропуск срока без уважительных причин лишает права на обжалование - постановление вступает в законную силу и направляется на принудительное исполнение.

Основания для отмены постановления делятся на процессуальные и материальные. Процессуальные: нарушение порядка составления протокола, ненадлежащее извещение о времени и месте рассмотрения дела, истечение срока давности привлечения к ответственности. По статье 13.11 КоАП РФ срок давности составляет один год с момента совершения нарушения (статья 4.5 КоАП РФ). Материальные: отсутствие состава правонарушения, малозначительность деяния, добровольное устранение нарушения до вынесения постановления.

Суды по делам об административных правонарушениях в сфере персональных данных всё чаще применяют статью 2.9 КоАП РФ о малозначительности - при первичном нарушении, отсутствии вреда субъектам и немедленном устранении. Однако с 2024 года Роскомнадзор активнее квалифицирует нарушения как повторные, что исключает применение малозначительности и удваивает санкцию.

Для обжалования постановления подготовьте следующие документы:

• Копию постановления с отметкой о дате получения (для расчёта срока обжалования).
• Протокол об административном правонарушении и материалы проверки.
• Доказательства устранения нарушения (скриншоты, технические акты, переписка).
• Документы, подтверждающие соответствие требованиям на момент нарушения (политика, согласия, уведомления).

Частые вопросы

1. Какой штраф грозит IT-компании за утечку персональных данных пользователей?

За утечку персональных данных от 10 000 до 100 000 субъектов штраф для юридического лица составляет от 3 до 5 млн рублей по части 13 статьи 13.11 КоАП РФ; при утечке данных более 100 000 субъектов - от 10 до 15 млн рублей по части 14 той же статьи. Эти нормы действуют с 1 сентября 2024 года. Помимо штрафа, компания обязана уведомить Роскомнадзор об утечке в течение 24 часов с момента её обнаружения.

2. Нужно ли IT-стартапу регистрироваться в реестре операторов персональных данных?

Уведомление Роскомнадзора об обработке персональных данных обязательно для большинства операторов - это требование статьи 22 Федерального закона о персональных данных (152-ФЗ). Исключения узкие: данные обрабатываются исключительно для исполнения договора с субъектом, без передачи третьим лицам. Большинство IT-сервисов под исключение не подпадают. Работа без уведомления - самостоятельный состав по части 1 статьи 13.11 КоАП РФ, штраф до 100 000 рублей.

3. Распространяется ли требование маркировки рекламы на собственные push-уведомления приложения?

Push-уведомления, направляемые пользователям собственного приложения о его функциях и обновлениях, рекламой не являются и маркировки не требуют. Однако push-уведомления с предложением купить товар или услугу третьего лица, а также уведомления с акциями и скидками квалифицируются как реклама по статье 3 Федерального закона о рекламе (38-ФЗ) и требуют токена ОРД и предварительного согласия адресата.

4. Какой срок давности по делам о нарушениях в сфере персональных данных?

Срок давности привлечения к административной ответственности по статье 13.11 КоАП РФ составляет один год со дня совершения правонарушения - это установлено частью 1 статьи 4.5 КоАП РФ. Для длящихся нарушений (например, постоянная обработка данных без согласия) срок исчисляется с момента обнаружения нарушения. По истечении срока давности производство по делу подлежит прекращению, и это самостоятельное основание для отмены постановления.

5. Может ли физическое лицо - разработчик приложения быть привлечено к ответственности по статье 13.11 КоАП РФ?

Физическое лицо, являющееся оператором персональных данных (например, индивидуальный предприниматель или самозанятый разработчик, собирающий данные пользователей), привлекается к ответственности по статье 13.11 КоАП РФ как физическое лицо - штрафы в этом случае значительно ниже, чем для юридических лиц. Для ИП штраф по части 2 статьи 13.11 составляет от 10 000 до 20 000 рублей. Должностные лица организации (директор, DPO) также могут быть привлечены одновременно с юридическим лицом.

КоАП РФ создаёт для IT-бизнеса комплексную зону риска: статья 13.11 охватывает весь жизненный цикл персональных данных - от сбора согласия до уничтожения, а статья 14.3 регулирует рекламную деятельность включая маркировку и рассылки. Штрафы 2024-2025 годов показывают: Роскомнадзор и ФАС переходят от предупреждений к максимальным санкциям при повторных нарушениях.

«Ветров и партнёры» сопровождают IT-компании в делах об административных правонарушениях по КоАП РФ: от аудита документации оператора персональных данных до обжалования постановлений в арбитражных судах. Практика включает дела по статьям 13.11 и 14.3 КоАП РФ, споры с Роскомнадзором и ФАС, сопровождение проверок.