Оборотный штраф за утечку ПДн: расчёт

Оборотный штраф за утечку персональных данных - это санкция по части 15 статьи 13.11 КоАП РФ, введённой Федеральным законом № 402-ФЗ от 30 ноября 2023 года. Размер штрафа рассчитывается как процент от выручки компании за предшествующий календарный год: от 1% до 3% при первичном нарушении и от 1% до 3% при повторном, но с повышенным минимумом. По состоянию на май 2026 года это самая крупная административная санкция в сфере защиты данных в России - для крупного бизнеса она может исчисляться сотнями миллионов рублей.

Закон вступил в силу с 30 мая 2025 года. До этого момента за утечки грозил фиксированный штраф до 500 000 рублей - сумма, которую многие компании закладывали в бюджет как приемлемый риск. Теперь логика изменилась: чем крупнее бизнес и чем больше данных он хранит, тем выше финансовые последствия инцидента. В статье разобраны формула расчёта, пороговые значения, смягчающие обстоятельства и практические шаги по снижению санкции.

Что такое оборотный штраф за утечку ПДн и кого он касается?

Оборотный штраф по части 15 статьи 13.11 КоАП РФ применяется к операторам персональных данных, допустившим неправомерную передачу (утечку) сведений о гражданах. Субъект ответственности - юридическое лицо, зарегистрированное в России или обрабатывающее данные российских граждан. Физические лица и индивидуальные предприниматели под действие этой нормы не подпадают - для них предусмотрены иные части той же статьи с фиксированными санкциями.

Норма охватывает любые случаи, когда персональные данные оказались доступны третьим лицам без согласия субъектов и без законного основания. Это включает взломы баз данных, публикацию сведений в открытом доступе, передачу данных недобросовестным подрядчикам и утечки через инсайдеров. Роскомнадзор как надзорный орган фиксирует факт утечки, устанавливает оператора и передаёт материалы в суд для назначения штрафа.

Важно понимать разграничение: часть 15 статьи 13.11 КоАП РФ - специальная норма именно для утечек. Нарушения порядка обработки данных без факта утечки квалифицируются по другим частям той же статьи и влекут фиксированные штрафы. Оборотная санкция применяется только при подтверждённом факте неправомерного распространения данных.

Как рассчитать оборотный штраф за утечку персональных данных?

Расчёт штрафа по части 15 статьи 13.11 КоАП РФ строится на трёх параметрах: выручка оператора за предшествующий календарный год, процентная ставка (от 1% до 3%) и минимальный порог в абсолютных цифрах. При первичном нарушении минимум составляет 3 млн рублей, максимум - 3% от годовой выручки. При повторном нарушении минимум повышается до 15 млн рублей, максимум - также 3% от выручки, но не менее указанного порога.

Формула расчёта выглядит так: берётся выручка компании за предшествующий год по данным бухгалтерской отчётности, умножается на процентную ставку, которую определяет суд в диапазоне от 1% до 3%, и сравнивается с минимальным порогом. Итоговый штраф - большее из двух значений. Например, при выручке 500 млн рублей и ставке 2% расчётная сумма составит 10 млн рублей - это выше минимума в 3 млн, поэтому штраф равен 10 млн рублей.

Для малого бизнеса с выручкой до 300 млн рублей оборотный штраф фактически ограничен минимальным порогом: 1% от 300 млн - это 3 млн рублей, что совпадает с нижней границей. Для среднего бизнеса с выручкой 1-5 млрд рублей штраф при ставке 2% составит 20-100 млн рублей. Для крупных компаний с выручкой свыше 10 млрд рублей максимальный штраф при ставке 3% превысит 300 млн рублей.

Типичное заблуждение - считать базой прибыль или оборот конкретного подразделения. Закон использует понятие "выручка" в значении статьи 248 НК РФ: это доходы от реализации товаров, работ, услуг за вычетом НДС и акцизов. Берётся выручка всего юридического лица за предшествующий полный календарный год, а не за период нарушения.

Конкретная ставка в диапазоне 1-3% устанавливается судом с учётом обстоятельств дела. Суд оценивает масштаб утечки (количество затронутых субъектов), характер данных (специальные категории или общие), наличие реального вреда субъектам, а также действия оператора после обнаружения инцидента. Чем оперативнее компания уведомила Роскомнадзор и субъектов данных, тем выше шанс на минимальную ставку.

Неочевидный риск: если компания входит в группу и выручка консолидирована, суд может запросить данные по всей группе. Практика по этому вопросу ещё формируется, но риск применения консолидированной базы существует для холдинговых структур с единым брендом и общей базой клиентов.

Пропуск срока уведомления Роскомнадзора об утечке (24 часа на первичное уведомление, 72 часа на расширенное по статье 21 Федерального закона № 152-ФЗ) автоматически лишает компанию аргумента о добросовестном поведении после инцидента. Это напрямую влияет на ставку штрафа - суды расценивают несвоевременное уведомление как отягчающее обстоятельство.

Если сумма штрафа по вашей компании превышает 5 млн рублей или вы не уверены в правильности расчёта базы - это ситуация, требующая правового анализа до начала производства по делу.

Какие обстоятельства снижают или увеличивают размер штрафа?

Суд при назначении штрафа по части 15 статьи 13.11 КоАП РФ обязан учитывать смягчающие и отягчающие обстоятельства, перечисленные в статьях 4.2 и 4.3 КоАП РФ, а также специальные критерии, прямо указанные в диспозиции нормы. Ключевые смягчающие факторы: добровольное устранение нарушения, уведомление регулятора в установленные сроки, компенсация вреда субъектам данных, первичность нарушения и наличие сертифицированных средств защиты информации.

Отягчающие обстоятельства, которые суды принимают во внимание: повторность нарушения (влечёт применение повышенного минимума в 15 млн рублей), утечка специальных категорий данных (биометрия, здоровье, политические взгляды), масштаб - более 100 000 субъектов, а также сокрытие факта инцидента или противодействие проверке.

Что реально влияет на ставку в диапазоне 1-3%: суды, как правило, назначают минимальную ставку при совокупности трёх условий - своевременное уведомление Роскомнадзора, принятые технические меры после инцидента и отсутствие реального имущественного вреда субъектам. Максимальная ставка применяется при повторных нарушениях с крупным масштабом утечки и пассивной позицией оператора.

Частая ошибка операторов - рассчитывать на снижение штрафа через малозначительность по статье 2.9 КоАП РФ. Суды отказывают в применении этой нормы к утечкам данных, указывая на общественную значимость защиты персональных сведений. Аргумент о малозначительности не работает даже при небольшом числе затронутых субъектов.

Как проходит процедура привлечения к ответственности за утечку ПДн?

Производство по делу об административном правонарушении по части 15 статьи 13.11 КоАП РФ возбуждает Роскомнадзор. Поводом служит уведомление самого оператора об инциденте, жалоба субъектов данных или собственная проверка ведомства. Срок давности привлечения к ответственности составляет один год с момента совершения нарушения по части 1 статьи 4.5 КоАП РФ.

Алгоритм процедуры:

1. Роскомнадзор фиксирует факт утечки и запрашивает у оператора документы об инциденте, принятых мерах и объёме затронутых данных.
2. Составляется протокол об административном правонарушении; оператор вправе представить объяснения и возражения на этом этапе.
3. Материалы дела передаются в арбитражный суд по месту нахождения юридического лица для рассмотрения и назначения штрафа.
4. Суд исследует доказательства, заслушивает стороны и выносит решение; оператор вправе обжаловать его в апелляционном и кассационном порядке.

Для участия в процессе подготовьте следующие документы:

• Бухгалтерская отчётность за предшествующий год с расшифровкой выручки по статье 248 НК РФ.
• Уведомления в Роскомнадзор об инциденте с отметками о дате и времени направления.
• Внутренние акты расследования инцидента и перечень принятых мер по локализации.
• Документы о сертификации средств защиты информации (при наличии).
• Доказательства уведомления субъектов данных об утечке.

Срок рассмотрения дела в арбитражном суде первой инстанции - до двух месяцев с момента поступления материалов. С учётом апелляции общий срок до вступления решения в силу составляет 4-6 месяцев. За это время компания может подготовить развёрнутую правовую позицию и собрать доказательства смягчающих обстоятельств.

Пропуск срока подачи возражений на протокол об административном правонарушении - критическая ошибка. Именно на этапе протокола формируется доказательственная база, и возражения, поданные позже в суде, воспринимаются как запоздалые. Суды, как правило, отдают предпочтение позиции, заявленной последовательно с самого начала производства.

Если вы уже получили протокол или повестку в суд, а правовая позиция не сформирована - время на подготовку ограничено.

Как снизить оборотный штраф: правовые инструменты и стратегия защиты

Снижение оборотного штрафа за утечку персональных данных достигается через три направления: оспаривание расчётной базы, доказывание смягчающих обстоятельств и процессуальные возражения на квалификацию нарушения. Каждое направление работает самостоятельно, но максимальный эффект даёт их сочетание. По данным арбитражной практики 2025-2026 годов, суды снижали штраф до минимального порога в делах, где оператор демонстрировал системную работу по защите данных до инцидента.

Оспаривание базы расчёта - наиболее перспективный инструмент для холдингов и компаний с диверсифицированной деятельностью. Аргументы: исключение из базы выручки от видов деятельности, не связанных с обработкой персональных данных; оспаривание включения выручки аффилированных лиц; корректировка данных при реорганизации в предшествующем году. Каждый из этих аргументов требует документального подтверждения и бухгалтерской экспертизы.

Доказывание смягчающих обстоятельств строится на хронологии действий оператора после инцидента. Суды оценивают: уведомил ли оператор Роскомнадзор в течение 24 часов, уведомил ли субъектов данных, заблокировал ли дальнейшее распространение данных, провёл ли внутреннее расследование. Каждое из этих действий должно быть подтверждено документально с точными временными метками.

Процессуальные возражения касаются квалификации: если утечка произошла по вине подрядчика, обрабатывавшего данные по поручению оператора, возникает вопрос о надлежащем субъекте ответственности. Статья 6 Федерального закона № 152-ФЗ предусматривает, что ответственность за действия обработчика несёт оператор, однако это не исключает регрессных требований к подрядчику и может влиять на оценку вины оператора судом.

Экономика защиты: при штрафе в 50 млн рублей затраты на квалифицированное юридическое сопровождение составят 1-3 млн рублей. Снижение ставки с 3% до 1% при выручке 2 млрд рублей экономит 40 млн рублей. Соотношение затрат и результата делает профессиональную защиту экономически обоснованной при любом штрафе свыше 10 млн рублей.

Частые вопросы

1. Как именно считается выручка для оборотного штрафа за утечку ПДн?

Выручка для расчёта штрафа по части 15 статьи 13.11 КоАП РФ определяется как доходы от реализации товаров, работ и услуг за предшествующий полный календарный год по правилам статьи 248 НК РФ - без НДС и акцизов. Берётся выручка всего юридического лица, а не отдельного подразделения или направления деятельности. Основание - данные бухгалтерской отчётности, которую оператор обязан представить суду. Если компания зарегистрирована менее года назад, суд пересчитывает выручку пропорционально периоду деятельности.

2. Что грозит за повторную утечку персональных данных?

При повторном нарушении минимальный штраф по части 15 статьи 13.11 КоАП РФ составляет 15 млн рублей, максимум остаётся на уровне 3% от годовой выручки. Повторным считается нарушение, совершённое в течение одного года после вступления в силу постановления о предыдущем штрафе. Помимо повышенного минимума, повторность является отягчающим обстоятельством по статье 4.3 КоАП РФ и влияет на выбор ставки внутри диапазона.

3. Можно ли избежать штрафа, если компания сама сообщила об утечке в Роскомнадзор?

Самостоятельное уведомление Роскомнадзора об утечке не освобождает от штрафа, но является ключевым смягчающим обстоятельством. Оно влияет на выбор ставки в диапазоне 1-3% и демонстрирует добросовестность оператора. Уведомление должно быть направлено в течение 24 часов после обнаружения инцидента (первичное) и в течение 72 часов (расширенное с деталями) по требованиям статьи 21 Федерального закона № 152-ФЗ. Нарушение этих сроков, напротив, усиливает позицию регулятора.

4. Распространяется ли оборотный штраф на малый бизнес и ИП?

Оборотный штраф по части 15 статьи 13.11 КоАП РФ применяется только к юридическим лицам. Индивидуальные предприниматели и физические лица несут ответственность по иным частям статьи 13.11 КоАП РФ с фиксированными санкциями. Для малых предприятий, зарегистрированных как ООО или АО, норма применяется в полном объёме, однако при небольшой выручке штраф ограничен минимальным порогом в 3 млн рублей - оборотная составляющая не даёт эффекта ниже этой суммы.

5. Как долго хранятся сведения о штрафе и влияет ли он на последующие проверки?

Сведения о привлечении к административной ответственности учитываются в течение одного года с момента исполнения постановления о штрафе - в этот период любое новое нарушение считается повторным по статье 4.6 КоАП РФ. После истечения года статус "повторности" снимается. Однако факт привлечения к ответственности остаётся в материалах проверок Роскомнадзора и влияет на частоту и глубину последующих плановых и внеплановых проверок оператора.

Оборотный штраф за утечку персональных данных изменил экономику комплаенса в сфере защиты данных. Для компаний с выручкой свыше 1 млрд рублей потенциальная санкция сопоставима с годовым бюджетом на информационную безопасность - это делает превентивные меры финансово оправданными. Правильный расчёт базы, своевременное уведомление регулятора и документально подтверждённые меры по защите данных - три фактора, которые реально влияют на итоговый размер штрафа.

Юридическая фирма «Ветров и партнёры» сопровождает дела об административной ответственности в сфере персональных данных с момента введения оборотных санкций. Практика включает оспаривание расчётной базы штрафа, подготовку возражений на протоколы Роскомнадзора и представление интересов операторов в арбитражных судах по всей России.