Неуведомление РКН об утечке ст.13.11 ч.11

Неуведомление РКН об утечке персональных данных - это административное правонарушение, ответственность за которое установлена частью 11 статьи 13.11 КоАП РФ. Норма введена в 2022 году и с тех пор активно применяется: штраф для юридических лиц составляет от 3 до 15 миллионов рублей за первичное нарушение. По состоянию на май 2026 года Роскомнадзор ведёт систематический мониторинг соблюдения операторами обязанности по уведомлению, а число возбуждённых дел ежегодно растёт. Для бизнеса это означает: любая утечка без своевременного уведомления регулятора автоматически создаёт риск многомиллионного штрафа - независимо от того, причинила ли утечка реальный вред субъектам данных.

Обязанность уведомлять РКН об инцидентах с персональными данными распространяется на всех операторов - от небольших интернет-магазинов до крупных корпораций. Сроки жёсткие, процедура формализована, а незнание требований не освобождает от ответственности. Разберём, как устроена эта обязанность, какие ошибки допускают операторы и как минимизировать риски при проверке РКН.

Что требует закон: обязанность уведомить РКН об утечке

Оператор персональных данных обязан уведомить Роскомнадзор о выявленном инциденте в течение 24 часов с момента его обнаружения - это первичное уведомление. Дополнительное уведомление с результатами внутреннего расследования направляется в течение 72 часов. Основание - статья 21 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в редакции, действующей с 1 сентября 2022 года. Уведомление подаётся через портал Госуслуг или систему взаимодействия с РКН.

Первичное уведомление должно содержать: описание инцидента, предполагаемые причины, категории и примерное количество затронутых субъектов, принятые меры реагирования. Дополнительное уведомление - результаты расследования, установленные причины, перечень пострадавших лиц, меры по устранению последствий. Отсутствие хотя бы одного из двух уведомлений образует самостоятельный состав нарушения.

Многие операторы недооценивают, что обязанность возникает с момента обнаружения инцидента, а не с момента его подтверждения. Типичное заблуждение: "мы сначала разберёмся, была ли утечка, а потом уведомим". Закон не предусматривает такой отсрочки. Если есть основания полагать, что персональные данные скомпрометированы, уведомление должно быть направлено в течение суток - даже при неопределённости в масштабах инцидента.

Уведомлению подлежат инциденты, связанные с неправомерной передачей, предоставлением, распространением, доступом к персональным данным или их утратой. Под действие нормы подпадают как внешние атаки (взлом, фишинг), так и внутренние инциденты (несанкционированный доступ сотрудника, случайная публикация данных).

Состав правонарушения по части 11 статьи 13.11 КоАП РФ

Часть 11 статьи 13.11 КоАП РФ устанавливает ответственность за неисполнение оператором обязанности по уведомлению уполномоченного органа об инциденте с персональными данными. Санкция для юридических лиц - штраф от 3 до 15 миллионов рублей; для должностных лиц - от 500 тысяч до 1 миллиона рублей; для индивидуальных предпринимателей - от 1 до 3 миллионов рублей. Повторное нарушение влечёт увеличение штрафа.

Объективная сторона нарушения охватывает три варианта поведения: ненаправление первичного уведомления в 24-часовой срок; ненаправление дополнительного уведомления в 72-часовой срок; направление уведомления с заведомо недостоверными сведениями. Каждый из этих вариантов - самостоятельное основание для привлечения к ответственности.

Субъектами нарушения выступают операторы персональных данных - юридические лица, индивидуальные предприниматели и должностные лица, ответственные за организацию обработки данных. Физические лица, не являющиеся ИП, под действие нормы не подпадают. Важно: ответственность несёт именно оператор, а не обработчик, действующий по его поручению.

Неочевидный риск - параллельное привлечение к ответственности по нескольким частям статьи 13.11 КоАП РФ. Одна утечка может породить нарушения по части 1 (незаконная обработка), части 6 (нарушение требований к защите), части 11 (неуведомление). Суды и РКН рассматривают их как самостоятельные составы, что кратно увеличивает итоговую сумму санкций.

Срок давности привлечения к ответственности по части 11 статьи 13.11 КоАП РФ составляет один год с момента совершения правонарушения (статья 4.5 КоАП РФ). Для длящихся нарушений срок исчисляется с момента их обнаружения. РКН вправе возбудить дело в течение года после того, как установит факт неуведомления.

Пропуск срока уведомления даже на несколько часов при наличии доказательств того, что оператор знал об инциденте, - достаточное основание для возбуждения дела. Зафиксированы случаи, когда РКН выявлял нарушение по публикациям в СМИ о взломе и сопоставлял дату публикации с датой поступления уведомления.

Если сумма потенциального штрафа превышает 3 миллиона рублей, а уведомление уже просрочено или не направлено - самостоятельные действия по урегулированию ситуации с РКН создают дополнительные риски. Неверно составленное запоздалое уведомление может быть квалифицировано как представление недостоверных сведений.

Как выглядит таблица штрафов по части 11 статьи 13.11 КоАП РФ?

Санкция части 11 статьи 13.11 КоАП РФ дифференцирована по субъекту нарушения и кратности. Для юридических лиц первичный штраф составляет от 3 до 15 миллионов рублей; повторное нарушение - от 15 до 500 миллионов рублей. Для должностных лиц: первичное - от 500 тысяч до 1 миллиона рублей, повторное - от 1 до 2 миллионов рублей. Для индивидуальных предпринимателей: первичное - от 1 до 3 миллионов рублей, повторное - от 3 до 5 миллионов рублей.

Размер штрафа в пределах санкции определяется судом с учётом обстоятельств дела. Смягчающими обстоятельствами по статье 4.2 КоАП РФ признаются: добровольное устранение нарушения, содействие расследованию, возмещение вреда, совершение нарушения впервые. Отягчающие обстоятельства - повторность, продолжение нарушения после предписания, сокрытие информации.

Практика РКН показывает: регулятор, как правило, запрашивает штраф в верхней трети санкции. Суды при наличии смягчающих обстоятельств снижают его до нижней трети или минимума. Разрыв между запрошенным и назначенным штрафом может составлять 3-5 раз - именно поэтому качество правовой позиции в суде критически влияет на итоговую сумму.

Параллельно с административным штрафом оператор несёт риск гражданско-правовых требований от субъектов данных, чьи сведения были скомпрометированы. Компенсация морального вреда по статье 24 Федерального закона N 152-ФЗ взыскивается в судебном порядке. При массовой утечке совокупный объём таких требований может превысить административный штраф.

Как РКН выявляет неуведомление об утечке?

Роскомнадзор выявляет факты неуведомления тремя основными способами: мониторинг публикаций в СМИ и социальных сетях об инцидентах с данными; проверка баз данных, появившихся в открытом доступе или на теневых площадках; жалобы субъектов персональных данных. Регулятор сопоставляет дату появления информации об инциденте с датой поступления уведомления от оператора.

С 2023 года РКН ведёт автоматизированный мониторинг утечек через систему взаимодействия с НКЦКИ (Национальным координационным центром по компьютерным инцидентам). Оператор, получивший уведомление от НКЦКИ об инциденте, обязан одновременно уведомить и РКН. Разрыв между датой уведомления НКЦКИ и датой уведомления РКН фиксируется как нарушение срока.

Плановые и внеплановые проверки РКН также выявляют неуведомления. При проверке регулятор запрашивает журналы инцидентов, внутренние расследования, переписку с подрядчиками. Если журнал фиксирует инцидент, а уведомление в РКН не поступало - это прямое основание для протокола по части 11 статьи 13.11 КоАП РФ.

Что упускают операторы: уведомление НКЦКИ не заменяет уведомление РКН. Это два самостоятельных требования с разными адресатами и разными сроками. Направление уведомления только в НКЦКИ при отсутствии уведомления РКН образует полный состав нарушения по части 11 статьи 13.11 КоАП РФ.

Что подготовить для защиты при проверке РКН?

Готовность к проверке РКН по вопросам уведомления об утечках определяется наличием внутренней документации, подтверждающей соблюдение процедуры. Ключевой документ - журнал инцидентов с фиксацией даты обнаружения, описания и принятых мер. Без него доказать соблюдение 24-часового срока практически невозможно.

Для защиты при проверке или в суде подготовьте:

• Журнал инцидентов с персональными данными с датой и временем обнаружения каждого события.
• Копии направленных уведомлений в РКН с подтверждением даты отправки (квитанция портала Госуслуг или системы взаимодействия).
• Внутренний приказ или регламент реагирования на инциденты с персональными данными.
• Документы внутреннего расследования: акты, заключения, переписку с IT-службой.
• Доказательства принятых мер по устранению последствий инцидента.

Отдельного внимания заслуживает вопрос о моменте "обнаружения" инцидента. Если оператор узнал об утечке из внешнего источника (СМИ, жалоба клиента, уведомление подрядчика), именно эта дата будет считаться точкой отсчёта для 24-часового срока. Внутренняя переписка, фиксирующая более раннюю осведомлённость, - серьёзный риск при проверке.

Частая ошибка операторов - делегирование обязанности по уведомлению подрядчику-обработчику без надлежащего контроля. Обработчик, действующий по поручению оператора, не является субъектом обязанности по уведомлению РКН. Если подрядчик не уведомил оператора об инциденте своевременно - это не освобождает оператора от ответственности, но может быть учтено как смягчающее обстоятельство.

Пропуск срока уведомления при наличии доказательств того, что оператор знал об инциденте, лишает его возможности ссылаться на добросовестность. Штраф в 15 миллионов рублей за первичное нарушение - реальный исход для крупного оператора при отсутствии смягчающих обстоятельств и грамотной защиты.

Как обжаловать постановление о штрафе по части 11 статьи 13.11 КоАП РФ?

Постановление РКН о назначении штрафа по части 11 статьи 13.11 КоАП РФ обжалуется в арбитражный суд по месту нахождения юридического лица в течение 10 суток с момента вручения (статья 30.3 КоАП РФ). Пропуск срока обжалования лишает оператора права на судебную защиту - постановление вступает в силу и подлежит принудительному исполнению.

Основания для отмены постановления делятся на процессуальные и материальные. Процессуальные: нарушение порядка составления протокола, ненадлежащее уведомление о месте и времени рассмотрения дела, рассмотрение дела в отсутствие законного представителя без надлежащего уведомления. Материальные: недоказанность факта нарушения, истечение срока давности, малозначительность деяния.

Малозначительность по статье 2.9 КоАП РФ применяется судами редко по делам о нарушениях в сфере персональных данных, однако не исключена. Суды учитывают: отсутствие реального вреда субъектам данных, незначительный объём скомпрометированных сведений, немедленное устранение нарушения после его выявления, отсутствие умысла.

Снижение штрафа ниже минимума санкции возможно при наличии исключительных обстоятельств по статье 4.1.2 КоАП РФ для субъектов малого и среднего предпринимательства. Для крупных операторов этот инструмент недоступен, однако суд вправе назначить штраф в нижней трети санкции при наличии совокупности смягчающих обстоятельств.

Частые вопросы

1. Что считается моментом обнаружения утечки для целей 24-часового срока уведомления?

Момент обнаружения утечки - это дата и время, когда оператор или его уполномоченный сотрудник получил информацию, достаточную для вывода о возможной компрометации персональных данных. Это может быть уведомление от IT-службы, сообщение подрядчика, жалоба клиента или публикация в СМИ. Закон не требует полной уверенности в факте утечки - достаточно обоснованного подозрения. Именно поэтому внутренние журналы инцидентов с точным временем записи критически важны для доказывания соблюдения срока.

2. Нужно ли уведомлять РКН, если утечка произошла у подрядчика-обработчика, а не у самого оператора?

Да, уведомлять РКН обязан оператор персональных данных - независимо от того, произошла ли утечка у него самого или у привлечённого обработчика. Обработчик действует по поручению оператора, и ответственность за соблюдение требований закона лежит на операторе. Обработчик обязан незамедлительно уведомить оператора об инциденте - это условие должно быть закреплено в договоре. Если подрядчик не уведомил оператора вовремя, это может быть учтено как смягчающее обстоятельство, но не освобождает от штрафа.

3. Можно ли избежать штрафа, если уведомление направлено с нарушением срока, но до возбуждения дела РКН?

Направление запоздалого уведомления до возбуждения дела РКН не исключает привлечения к ответственности, но существенно влияет на размер штрафа. Суды рассматривают добровольное устранение нарушения как смягчающее обстоятельство по статье 4.2 КоАП РФ. На практике разница между штрафом при наличии и отсутствии запоздалого уведомления может составлять 30-50% от суммы. Полностью избежать штрафа за пропуск срока при доказанном факте нарушения не удастся.

4. Какой срок давности по делам о неуведомлении РКН об утечке?

Срок давности привлечения к административной ответственности по части 11 статьи 13.11 КоАП РФ составляет один год с момента совершения правонарушения (статья 4.5 КоАП РФ). Для длящихся нарушений срок исчисляется с момента их обнаружения уполномоченным органом. Если РКН выявил факт неуведомления спустя 11 месяцев после инцидента, у него есть ещё один месяц для возбуждения дела. По истечении года дело не может быть возбуждено, а возбуждённое - подлежит прекращению.

5. Как снизить штраф по части 11 статьи 13.11 КоАП РФ в суде?

Снижение штрафа в суде достигается через доказывание смягчающих обстоятельств: совершение нарушения впервые, отсутствие реального вреда субъектам данных, добровольное устранение нарушения, активное содействие расследованию. Для субъектов малого и среднего предпринимательства доступно снижение ниже минимума санкции по статье 4.1.2 КоАП РФ. Суды Сибирского и Уральского округов в 2024-2025 годах назначали штрафы в диапазоне 3-5 миллионов рублей при запрошенных РКН 10-15 миллионах при наличии совокупности смягчающих обстоятельств.

Ответственность за неуведомление РКН об утечке персональных данных - один из наиболее чувствительных рисков для операторов в 2026 году. Штраф от 3 до 15 миллионов рублей за первичное нарушение, повторный - до 500 миллионов, плюс риск параллельного привлечения по смежным составам статьи 13.11 КоАП РФ. Ключевые факторы защиты - документальная фиксация момента обнаружения инцидента, соблюдение двухэтапной процедуры уведомления и грамотная правовая позиция при рассмотрении дела.

"Ветров и партнёры" ведут дела по статье 13.11 КоАП РФ с момента введения нормы. Практика включает защиту операторов при проверках РКН, оспаривание протоколов, представление интересов в арбитражных судах по делам об административных правонарушениях в сфере персональных данных.