Биометрические данные: ответственность по ст.13.11 ч.17

Часть 17 статьи 13.11 КоАП РФ устанавливает ответственность за нарушение порядка обработки биометрических персональных данных - особой категории сведений, позволяющих идентифицировать человека по физиологическим и биологическим характеристикам. По состоянию на май 2026 года штраф для юридических лиц достигает 20 миллионов рублей, что делает эту норму одной из самых жёстких в блоке административной ответственности за нарушения в сфере персональных данных. Роскомнадзор последовательно усиливает надзор: число проверок операторов биометрии растёт, а суммы штрафов по итогам 2024-2025 годов существенно превысили показатели предыдущих лет.

Биометрические данные - это сведения о физиологических и биологических особенностях человека, на основании которых можно установить его личность: изображение лица, отпечатки пальцев, голос, радужная оболочка глаза, ДНК. Их правовой режим регулируется статьёй 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" и отдельными нормами Федерального закона от 29.12.2022 N 572-ФЗ о единой биометрической системе. Бизнес, использующий системы распознавания лиц, биометрический контроль доступа или идентификацию клиентов, автоматически становится оператором биометрических данных - со всеми вытекающими обязанностями и рисками.

Что такое часть 17 статьи 13.11 КоАП РФ и кого она касается

Часть 17 статьи 13.11 КоАП РФ введена Федеральным законом от 14.07.2022 N 266-ФЗ и предусматривает ответственность за нарушение установленного порядка обработки биометрических персональных данных. Санкция для юридических лиц составляет от 500 000 до 1 000 000 рублей при первичном нарушении и до 20 000 000 рублей при повторном. Для должностных лиц - от 100 000 до 300 000 рублей, для граждан - от 10 000 до 15 000 рублей.

Норма охватывает широкий круг субъектов. Под её действие подпадают банки и финансовые организации, использующие биометрическую идентификацию клиентов; работодатели, применяющие системы контроля доступа по отпечатку пальца или распознаванию лица; медицинские учреждения, обрабатывающие биометрию пациентов; ритейл и транспортные компании с системами видеоаналитики. Формальный признак - любая обработка данных, позволяющих идентифицировать физическое лицо по биологическим характеристикам.

Типичное заблуждение - считать, что видеозапись в офисе не является обработкой биометрии. Роскомнадзор и суды квалифицируют как биометрические данные изображения лиц, если оператор использует их для идентификации конкретных людей - даже без специализированного программного обеспечения. Достаточно самого факта целенаправленного сбора и хранения таких записей.

Субъектный состав нарушения не ограничивается операторами, напрямую собирающими биометрию. Ответственность несут и обработчики - организации, которым оператор передал данные по договору. Пункт 3 статьи 6 Федерального закона N 152-ФЗ прямо указывает: ответственность за действия обработчика перед субъектом данных несёт оператор, однако административная ответственность обработчика за собственные нарушения порядка обработки наступает самостоятельно.

Какие конкретные нарушения образуют состав по части 17?

Состав нарушения по части 17 статьи 13.11 КоАП РФ образует любое отступление от установленного порядка обработки биометрических данных: сбор без письменного согласия субъекта, передача данных третьим лицам без оснований, хранение за пределами единой биометрической системы в случаях, когда закон требует её использования, а также несоблюдение требований к защите данных при их обработке.

Наиболее распространённые нарушения, фиксируемые Роскомнадзором в ходе проверок, можно разделить на несколько групп. Первая - нарушения при сборе: отсутствие отдельного письменного согласия на обработку биометрии (статья 11 Федерального закона N 152-ФЗ требует именно письменной формы, а не включения пункта в общую политику конфиденциальности). Вторая - нарушения при хранении: размещение биометрических данных на серверах за пределами Российской Федерации, что одновременно нарушает требования о локализации по статье 18 того же закона. Третья - нарушения при передаче: предоставление биометрии партнёрам, подрядчикам или аффилированным структурам без надлежащего правового основания.

Отдельную группу составляют нарушения, связанные с единой биометрической системой (ЕБС). Федеральный закон N 572-ФЗ обязал банки, нотариусов и ряд других организаций использовать ЕБС при дистанционной идентификации клиентов. Создание параллельных биометрических баз данных вне ЕБС в случаях, когда закон требует её применения, образует самостоятельный состав нарушения.

Что упускают при подготовке к проверке: Роскомнадзор проверяет не только наличие согласия, но и его содержание. Согласие на обработку биометрических данных должно содержать конкретный перечень данных, цель обработки, способы обработки, срок действия и порядок отзыва. Общая фраза "даю согласие на обработку персональных данных, включая биометрические" не соответствует требованиям части 4 статьи 9 Федерального закона N 152-ФЗ.

Пропуск срока обжалования постановления по делу об административном правонарушении составляет 10 суток с момента вручения или получения копии (статья 30.3 КоАП РФ). После его истечения постановление вступает в законную силу, и штраф в размере до 20 миллионов рублей становится обязательным к уплате. Оспорить его в суде после этого срока можно только при наличии уважительных причин пропуска - и суды удовлетворяют такие ходатайства редко.

Контекстный мост: описанные составы нарушений типовые, но квалификация конкретной ситуации зависит от деталей - как именно организована система обработки данных, какие документы оформлены, на каком этапе выявлено нарушение. Ошибка в оценке состава на стадии проверки приводит к тому, что возражения подаются по неверному основанию и не достигают цели.

Размер штрафов по части 17 статьи 13.11: таблица санкций

Санкция части 17 статьи 13.11 КоАП РФ дифференцирована по субъекту и кратности нарушения. Для юридических лиц первичное нарушение влечёт штраф от 500 000 до 1 000 000 рублей; повторное нарушение - от 1 000 000 до 20 000 000 рублей. Для должностных лиц: первичное - от 100 000 до 300 000 рублей, повторное - от 500 000 до 1 000 000 рублей. Для граждан: первичное - от 10 000 до 15 000 рублей, повторное - от 15 000 до 30 000 рублей.

Повторным считается нарушение, совершённое в течение одного года после вступления в силу постановления о предыдущем нарушении (статья 4.3 КоАП РФ). Это означает: если организация получила штраф в январе 2025 года, а в декабре того же года допустила аналогичное нарушение - применяется повышенная санкция. Годовой период исчисляется с даты вступления постановления в силу, а не с даты совершения нарушения.

Для наглядности - структура санкций по субъектам и кратности:

• Юридическое лицо, первичное нарушение: от 500 000 до 1 000 000 рублей
• Юридическое лицо, повторное нарушение: от 1 000 000 до 20 000 000 рублей
• Должностное лицо, первичное нарушение: от 100 000 до 300 000 рублей
• Должностное лицо, повторное нарушение: от 500 000 до 1 000 000 рублей
• Гражданин, первичное / повторное нарушение: от 10 000 до 30 000 рублей

Важный практический момент: штраф назначается за каждый факт нарушения, а не за всю совокупность выявленных нарушений в рамках одной проверки. Если Роскомнадзор зафиксировал три самостоятельных нарушения порядка обработки биометрии - составляется три протокола, и штраф назначается по каждому. Общая сумма санкций по итогам одной проверки может многократно превысить максимальный размер по одному эпизоду.

Как проходит проверка Роскомнадзора и что проверяют?

Роскомнадзор проводит проверки операторов биометрических данных в плановом и внеплановом порядке на основании Федерального закона от 26.12.2008 N 294-ФЗ о защите прав юридических лиц при осуществлении государственного контроля. Плановые проверки включаются в ежегодный план, размещаемый на сайте ведомства; внеплановые инициируются по жалобам субъектов данных или при выявлении признаков нарушений в ходе мониторинга.

В ходе проверки инспекторы запрашивают следующий пакет документов:

• Политика в отношении обработки персональных данных с разделом о биометрии
• Согласия субъектов на обработку биометрических данных (письменные, отдельные от общих согласий)
• Приказы о назначении ответственного за обработку персональных данных
• Технические регламенты и инструкции по работе с биометрическими системами
• Договоры с обработчиками данных (при наличии аутсорсинга)

Проверяющие также запрашивают доступ к информационным системам для оценки технических мер защиты. Отсутствие шифрования биометрических данных при хранении и передаче, недостаточный контроль доступа к базам данных, отсутствие журналов аудита - всё это фиксируется как нарушения требований к защите персональных данных, установленных постановлением Правительства РФ от 01.11.2012 N 1119.

Срок проведения проверки - не более 20 рабочих дней для плановой и не более 5 рабочих дней для внеплановой документарной проверки. По результатам составляется акт; при выявлении нарушений - протокол об административном правонарушении, который направляется на рассмотрение в суд или рассматривается самим Роскомнадзором в пределах его полномочий.

Как обжаловать штраф по части 17 статьи 13.11 КоАП РФ?

Постановление по делу об административном правонарушении по части 17 статьи 13.11 КоАП РФ обжалуется в арбитражный суд по месту нахождения организации в течение 10 суток с момента вручения или получения копии постановления (статья 30.3 КоАП РФ, статья 208 АПК РФ). Государственная пошлина при обжаловании постановлений по делам об административных правонарушениях не уплачивается.

Основания для отмены или снижения штрафа делятся на процессуальные и материальные. Процессуальные: нарушение порядка составления протокола (статья 28.2 КоАП РФ), рассмотрение дела в отсутствие законного представителя без надлежащего уведомления, истечение срока давности привлечения к ответственности. Срок давности по части 17 статьи 13.11 КоАП РФ составляет один год с момента совершения нарушения (статья 4.5 КоАП РФ - для нарушений в сфере персональных данных установлен специальный годичный срок).

Материальные основания: отсутствие состава нарушения (например, данные не являются биометрическими в смысле статьи 11 Федерального закона N 152-ФЗ), малозначительность нарушения (статья 2.9 КоАП РФ), устранение нарушения до вынесения постановления. Суды учитывают устранение нарушения как смягчающее обстоятельство при назначении наказания, хотя само по себе оно не освобождает от ответственности.

Неочевидный риск при самостоятельном обжаловании: суды нередко квалифицируют действия организации как повторное нарушение при наличии ранее вынесенных предписаний Роскомнадзора - даже если предписание не было обжаловано и не содержало штрафа. Такая квалификация автоматически переводит дело в диапазон санкции до 20 миллионов рублей. Оспорить её без анализа всей истории взаимодействия с регулятором практически невозможно.

Если организация уже получила решение суда первой инстанции не в свою пользу, апелляционная жалоба подаётся в течение 10 дней с момента принятия решения (статья 30.9 КоАП РФ). Пропуск этого срока без уважительных причин лишает права на пересмотр, и штраф до 20 миллионов рублей подлежит принудительному исполнению через службу судебных приставов.

Самостоятельная подготовка возражений на акт проверки без анализа всей доказательственной базы и истории взаимодействия с Роскомнадзором приводит к тому, что суд принимает позицию регулятора. Средний размер штрафа по повторным нарушениям части 17 статьи 13.11 КоАП РФ по данным судебной практики 2024-2025 годов составляет от 3 до 10 миллионов рублей.

Если организация уже пробовала урегулировать ситуацию самостоятельно или через другого юриста, но постановление вынесено не в её пользу - важно оценить перспективы апелляционного обжалования до истечения 10-дневного срока. После его пропуска возможности для защиты резко сужаются.

Как снизить риски привлечения к ответственности по части 17?

Снижение риска привлечения к ответственности по части 17 статьи 13.11 КоАП РФ строится на трёх направлениях: правовое оформление согласий, технические меры защиты и организационные процедуры. Комплексное выполнение всех трёх направлений формирует доказательную базу добросовестности оператора, которую суды и Роскомнадзор учитывают при назначении наказания.

Правовое оформление. Согласие на обработку биометрических данных оформляется отдельным документом - не включается в общую политику конфиденциальности или трудовой договор. Исключение для трудовых отношений: статья 11 Федерального закона N 152-ФЗ допускает обработку биометрии работников без согласия в случаях, прямо предусмотренных законом (например, при допуске на режимные объекты на основании специального законодательства). Во всех остальных случаях - только отдельное письменное согласие.

Технические меры. Постановление Правительства РФ от 01.11.2012 N 1119 устанавливает уровни защищённости информационных систем персональных данных. Биометрические данные относятся к специальным категориям, что требует применения не ниже второго уровня защищённости. Это означает: шифрование данных при хранении и передаче, многофакторная аутентификация при доступе к системам, ведение журналов аудита с хранением не менее трёх лет.

Чек-лист для самопроверки перед проверкой Роскомнадзора:

• Отдельные письменные согласия на обработку биометрии от каждого субъекта данных
• Политика обработки персональных данных с разделом о биометрии, опубликованная на сайте
• Приказ о назначении ответственного за организацию обработки персональных данных
• Технический регламент по работе с биометрическими системами и журналы аудита доступа
• Договоры с обработчиками данных, содержащие требования по защите биометрии

Организационные процедуры. Ключевой элемент - регулярный внутренний аудит соответствия. Роскомнадзор при назначении наказания учитывает, предпринимал ли оператор меры по выявлению и устранению нарушений самостоятельно. Наличие актов внутренних проверок, планов устранения нарушений и документов об их исполнении существенно снижает вероятность назначения максимального штрафа.

Частые вопросы

1. Является ли видеозапись с камер наблюдения биометрическими данными по части 17 статьи 13.11 КоАП РФ?

Видеозапись признаётся биометрическими данными, если оператор использует её для идентификации конкретных физических лиц - например, через систему распознавания лиц или путём сопоставления с базой данных. Простая запись без функции идентификации биометрией не является. Роскомнадзор при проверках оценивает не технические характеристики камер, а цель и способ использования записей: если организация может установить личность человека по видеозаписи и делает это - данные биометрические, и требуется соблюдение статьи 11 Федерального закона N 152-ФЗ.

2. Какой срок давности привлечения к ответственности по части 17 статьи 13.11 КоАП РФ?

Срок давности привлечения к административной ответственности за нарушения в сфере персональных данных составляет один год со дня совершения нарушения (статья 4.5 КоАП РФ). Для длящихся нарушений - например, хранения биометрии без надлежащего согласия - срок исчисляется с момента обнаружения нарушения Роскомнадзором. По истечении годичного срока производство по делу подлежит прекращению, что является самостоятельным основанием для отмены постановления о штрафе.

3. Можно ли включить согласие на обработку биометрии в трудовой договор с сотрудником?

Включение согласия на обработку биометрических данных в трудовой договор допускается только в случаях, прямо предусмотренных законодательством - например, при допуске к сведениям, составляющим государственную тайну. В остальных случаях согласие оформляется отдельным документом. Роскомнадзор квалифицирует включение согласия в трудовой договор как нарушение, поскольку работник лишён возможности отказаться от обработки биометрии без риска для трудовых отношений, что ставит под сомнение добровольность согласия по смыслу части 1 статьи 9 Федерального закона N 152-ФЗ.

4. Что такое повторное нарушение по части 17 и как оно влияет на размер штрафа?

Повторным признаётся нарушение, совершённое в течение одного года после вступления в силу постановления о предыдущем аналогичном нарушении (статья 4.3 КоАП РФ). При повторном нарушении санкция для юридического лица возрастает с диапазона 500 000 - 1 000 000 рублей до диапазона 1 000 000 - 20 000 000 рублей. Годовой период исчисляется с даты вступления первого постановления в силу; если организация обжаловала первое постановление и проиграла, срок исчисляется с даты вступления в силу судебного акта по жалобе.

5. Как снизить штраф по части 17 статьи 13.11 КоАП РФ, если нарушение уже зафиксировано?

Снижение штрафа возможно через несколько механизмов: признание нарушения малозначительным по статье 2.9 КоАП РФ (применяется редко, требует доказательства отсутствия реального вреда), устранение нарушения до вынесения постановления как смягчающее обстоятельство, оспаривание квалификации нарушения как повторного, а также процессуальные нарушения при составлении протокола. На практике наиболее эффективна комбинация: устранение нарушения плюс оспаривание в суде с акцентом на смягчающие обстоятельства. Суды снижают штраф ниже минимума санкции при наличии исключительных обстоятельств по части 3.2 статьи 4.1 КоАП РФ - но только для субъектов малого и среднего предпринимательства.

Ответственность по части 17 статьи 13.11 КоАП РФ - одна из наиболее серьёзных в административном законодательстве о персональных данных. Санкция до 20 миллионов рублей для юридических лиц при повторном нарушении сопоставима с оборотными штрафами в других отраслях регулирования. Ключевые факторы защиты - правильное оформление согласий, технические меры защиты и своевременное реагирование на предписания регулятора.

"Ветров и партнёры" сопровождают дела об административных правонарушениях в сфере персональных данных с момента получения акта проверки до вступления судебного акта в силу. Практика включает обжалование постановлений Роскомнадзора, подготовку возражений на акты проверок и разработку комплаенс-документации для операторов биометрических данных.