Ответственность по ст.13.11 КоАП 2026

Статья 13.11 Кодекса об административных правонарушениях РФ устанавливает ответственность за нарушения в области персональных данных. По состоянию на май 2026 года норма действует в редакции, существенно расширенной поправками 2022-2023 годов: вместо единственного состава появилось семь самостоятельных, а максимальный штраф для юридических лиц вырос с 75 000 до 500 000 рублей за первичное нарушение и до 15 000 000 рублей за повторное. Для бизнеса это означает качественно иной уровень риска по сравнению с тем, что было до реформы.

Практика Роскомнадзора показывает: число возбуждённых дел по статье 13.11 КоАП РФ ежегодно растёт. Операторы персональных данных - компании, которые собирают, хранят и обрабатывают сведения о физических лицах, - всё чаще получают предписания и постановления о штрафах. Разобраться в составах, суммах и логике правоприменения необходимо каждому, кто работает с клиентскими базами, кадровыми документами или пользовательскими аккаунтами.

Что изменилось в статье 13.11 КоАП РФ: сравнение до и после реформы

До 2022 года статья 13.11 КоАП РФ содержала один состав с максимальным штрафом 75 000 рублей для организаций. После поправок, вступивших в силу с 1 сентября 2022 года (Федеральный закон от 14.07.2022 № 266-ФЗ), норма разделилась на семь частей, каждая из которых описывает отдельное нарушение с собственной санкцией. Это принципиальное изменение: теперь одна проверка может выявить несколько составов одновременно, и штрафы суммируются.

До реформы регулятор мог назначить единственный штраф вне зависимости от числа выявленных нарушений. Сейчас Роскомнадзор квалифицирует каждое нарушение отдельно. Компания, которая не получила согласие на обработку данных, не опубликовала политику конфиденциальности и не уведомила регулятора об утечке, рискует получить три постановления по трём разным частям статьи 13.11. Совокупный штраф для крупной организации может превысить 1 000 000 рублей за одну проверку.

Ещё одно ключевое изменение - введение повышенных санкций за повторные нарушения. Если в течение года компания снова нарушает ту же норму, штраф кратно возрастает: для юридических лиц по ряду составов - до 15 000 000 рублей. Такой подход превращает административную ответственность из формального риска в реальную финансовую угрозу.

Семь составов статьи 13.11 КоАП РФ: что грозит за каждое нарушение?

Статья 13.11 КоАП РФ в редакции 2022-2023 годов включает семь частей. Каждая часть - самостоятельный состав с отдельной санкцией. Штрафы для юридических лиц варьируются от 60 000 до 500 000 рублей за первичное нарушение и от 100 000 до 15 000 000 рублей за повторное.

Часть 1 - обработка персональных данных без законного основания или в целях, несовместимых с целями сбора. Штраф для организации: от 60 000 до 100 000 рублей, при повторном нарушении - от 100 000 до 300 000 рублей. Часть 2 - обработка специальных категорий данных (здоровье, биометрия, политические взгляды) без надлежащего согласия. Санкция выше: от 100 000 до 300 000 рублей, повторно - от 300 000 до 500 000 рублей.

Часть 3 - обработка биометрических данных с нарушением установленного порядка. Для юридических лиц: от 100 000 до 300 000 рублей. Часть 4 - непредоставление субъекту данных информации об обработке его сведений. Штраф: от 40 000 до 80 000 рублей. Часть 5 - невыполнение требования субъекта об уточнении, блокировании или уничтожении данных. Санкция: от 40 000 до 90 000 рублей.

Часть 6 - несоблюдение требований к защите персональных данных при их обработке в информационных системах. Штраф: от 60 000 до 100 000 рублей. Часть 7 - неисполнение оператором обязанности по уведомлению Роскомнадзора об утечке персональных данных. Это самый высокий штраф в статье: от 1 000 000 до 3 000 000 рублей за первичное нарушение, от 3 000 000 до 15 000 000 рублей - за повторное. Именно часть 7 стала главным инструментом давления на операторов после резонансных утечек 2022-2024 годов.

Типичное заблуждение операторов - считать, что достаточно разместить политику конфиденциальности на сайте. Роскомнадзор проверяет не наличие документа, а его содержание, порядок получения согласия, сроки хранения данных и фактическое соответствие обработки заявленным целям. Формальный документ без реального соответствия процессов - основание для штрафа по части 1.

Для должностных лиц санкции по всем частям статьи 13.11 значительно ниже, чем для организаций, однако с 2023 года практика привлечения руководителей и ответственных сотрудников к ответственности наряду с компанией стала распространённой.

Пропуск трёхлетнего срока исковой давности по статье 196 ГК РФ лишает кредитора права на судебную защиту - арбитражный суд применяет давность по заявлению ответчика. Аналогично в административном праве: срок давности привлечения к ответственности по статье 13.11 составляет один год с момента совершения нарушения (статья 4.5 КоАП РФ). Пропуск этого срока регулятором означает прекращение дела, но не означает, что нарушение не повторится и не будет выявлено снова.

Если вы получили предписание Роскомнадзора или постановление о штрафе по статье 13.11, важно действовать в пределах установленных сроков обжалования. Самостоятельная подготовка возражений без анализа доказательственной базы нередко приводит к тому, что суд оставляет постановление в силе, а компания теряет право на снижение санкции.

Как проходит проверка Роскомнадзора по персональным данным?

Роскомнадзор проводит плановые и внеплановые проверки операторов персональных данных на основании Федерального закона от 26.12.2008 № 294-ФЗ и Федерального закона от 27.07.2006 № 152-ФЗ о персональных данных. Плановые проверки включаются в ежегодный план, который публикуется на сайте регулятора. Внеплановые назначаются по жалобам субъектов данных, по результатам мониторинга или после выявленной утечки.

Проверка начинается с запроса документов: политики обработки персональных данных, форм согласий, договоров с операторами-обработчиками, технической документации информационных систем. Срок предоставления документов - как правило, 10 рабочих дней. Непредоставление документов в срок само по себе является основанием для составления протокола.

По итогам проверки инспектор составляет акт. Если выявлены нарушения - возбуждается дело об административном правонарушении. Протокол по статье 13.11 КоАП РФ составляет должностное лицо Роскомнадзора, постановление выносит руководитель территориального управления или суд (в зависимости от состава). Срок рассмотрения дела - 15 дней с момента получения протокола.

Что подготовить для прохождения проверки или для защиты при уже возбуждённом деле:

• Политика обработки персональных данных, опубликованная на сайте и актуализированная под действующую редакцию закона 152-ФЗ.
• Формы согласий субъектов данных с указанием конкретных целей, перечня данных и срока хранения.
• Договоры с операторами-обработчиками (облачные сервисы, колл-центры, CRM-провайдеры) с условиями об обеспечении конфиденциальности.
• Уведомление Роскомнадзора о начале обработки персональных данных (если оператор обязан его подавать).
• Документация по информационной безопасности: модель угроз, акты классификации информационных систем, журналы доступа.

Многие компании недооценивают значение договоров с подрядчиками. Если CRM-система или облачное хранилище находится у стороннего провайдера, оператор обязан заключить с ним договор поручения обработки данных с конкретными условиями защиты. Отсутствие такого договора - самостоятельное нарушение, которое Роскомнадзор квалифицирует по части 1 статьи 13.11.

Как обжаловать постановление по статье 13.11 КоАП РФ?

Постановление по делу об административном правонарушении по статье 13.11 КоАП РФ можно обжаловать в течение 10 суток с момента получения (статья 30.3 КоАП РФ). Жалоба подаётся в вышестоящий орган Роскомнадзора или в арбитражный суд по месту нахождения организации. Пропуск срока влечёт оставление постановления в силе без рассмотрения по существу, если суд не восстановит срок по уважительным причинам.

Основания для отмены постановления делятся на процессуальные и материальные. Процессуальные - нарушения при составлении протокола: ненадлежащее извещение законного представителя, отсутствие подписи, неверное указание нормы. Материальные - неправильная квалификация деяния, истечение срока давности, малозначительность нарушения (статья 2.9 КоАП РФ). Суды применяют малозначительность по статье 13.11 редко, но прецеденты есть - особенно по части 4 (непредоставление информации субъекту).

Снижение штрафа ниже минимального размера санкции возможно при наличии исключительных обстоятельств (часть 3.2 статьи 4.1 КоАП РФ). Для юридических лиц это актуально по части 7, где минимальный штраф составляет 1 000 000 рублей. Суды принимают во внимание финансовое положение компании, отсутствие умысла, принятие мер по устранению нарушения до вынесения постановления.

Экономия на юридическом сопровождении при оспаривании штрафа по части 7 статьи 13.11 стоимостью от 1 000 000 рублей создаёт риск пропуска процессуальных сроков и утраты аргументов, которые суд принял бы во внимание при своевременном заявлении.

Если компания уже пробовала обжаловать постановление самостоятельно и получила отказ в первой инстанции, апелляция остаётся открытой. Арбитражный суд апелляционной инстанции рассматривает дело заново по имеющимся и дополнительно представленным доказательствам.

Как снизить риски по статье 13.11 КоАП РФ: практические меры

Снижение рисков по статье 13.11 КоАП РФ строится на трёх направлениях: приведение документации в соответствие с законом 152-ФЗ, настройка внутренних процессов обработки данных и выстраивание системы реагирования на инциденты. Ни одно из направлений не заменяет другое - регулятор проверяет все три.

Документация - первое, что запрашивает Роскомнадзор. Политика обработки персональных данных должна описывать реальные процессы, а не быть скопирована с шаблона. Формы согласий должны быть конкретными: отдельное согласие на каждую цель, отдельное - на передачу третьим лицам. Согласие, совмещённое с пользовательским соглашением или договором оферты, суды и регулятор признают ненадлежащим.

Процессы - второй уровень. Оператор обязан обеспечить возможность субъекту данных отозвать согласие, получить информацию об обработке и потребовать удаления сведений. Если технически это невозможно (например, данные хранятся в устаревшей системе без функции удаления), это самостоятельный риск по части 5 статьи 13.11. Срок исполнения требования субъекта - 30 дней по статье 21 закона 152-ФЗ.

Реагирование на инциденты - третий уровень, наиболее критичный после введения части 7. Оператор обязан уведомить Роскомнадзор об утечке в течение 24 часов с момента обнаружения (предварительное уведомление) и в течение 72 часов - с результатами внутреннего расследования. Нарушение этих сроков влечёт штраф от 1 000 000 до 3 000 000 рублей. Для соблюдения сроков необходим заранее разработанный план реагирования на инциденты с назначенными ответственными.

Неочевидный риск - трансграничная передача данных. Если компания использует зарубежные сервисы (аналитика, реклама, облачное хранение), она обязана уведомить Роскомнадзор о трансграничной передаче данных до её начала (статья 12 закона 152-ФЗ). Нарушение этого требования квалифицируется по части 1 статьи 13.11, но с 2024 года регулятор начал выделять его в отдельный эпизод при проверках.

Частые вопросы

1. Какой максимальный штраф по статье 13.11 КоАП РФ для юридического лица в 2026 году?

Максимальный штраф для юридического лица по статье 13.11 КоАП РФ составляет 15 000 000 рублей - он предусмотрен за повторное неисполнение обязанности по уведомлению Роскомнадзора об утечке персональных данных (часть 7 статьи 13.11). За первичное нарушение по той же части максимальная санкция - 3 000 000 рублей. По остальным частям статьи максимальный штраф для организаций варьируется от 80 000 до 500 000 рублей в зависимости от состава.

2. Можно ли оспорить штраф Роскомнадзора по статье 13.11 и в какой срок?

Постановление Роскомнадзора по статье 13.11 КоАП РФ можно обжаловать в течение 10 суток с момента его получения - в вышестоящий орган или в арбитражный суд (статья 30.3 КоАП РФ). Пропуск срока влечёт возврат жалобы без рассмотрения, если суд не восстановит его по уважительным причинам. Основания для отмены: процессуальные нарушения при составлении протокола, неправильная квалификация, истечение срока давности, малозначительность нарушения.

3. Обязаны ли все компании уведомлять Роскомнадзор об утечке персональных данных?

Уведомить Роскомнадзора об утечке обязаны все операторы персональных данных, у которых произошёл инцидент, повлёкший неправомерный доступ к данным, их распространение или уничтожение (статья 21 Федерального закона от 27.07.2006 № 152-ФЗ). Срок предварительного уведомления - 24 часа с момента обнаружения, итогового - 72 часа. Освобождение от уведомления возможно только если инцидент не затронул данные субъектов и не создал угрозы их правам.

4. Привлекают ли к ответственности по статье 13.11 КоАП РФ индивидуальных предпринимателей?

Индивидуальные предприниматели привлекаются к ответственности по статье 13.11 КоАП РФ как должностные лица - санкции для них ниже, чем для организаций, но выше, чем для граждан. Например, по части 7 штраф для должностного лица составляет от 400 000 до 800 000 рублей за первичное нарушение. ИП, обрабатывающие данные клиентов, сотрудников или пользователей сайта, являются операторами персональных данных и обязаны соблюдать требования закона 152-ФЗ в полном объёме.

5. Что считается повторным нарушением по статье 13.11 КоАП РФ?

Повторным нарушением по статье 13.11 КоАП РФ считается совершение аналогичного правонарушения в течение одного года с момента вступления в силу предыдущего постановления о назначении административного наказания (статья 4.6 КоАП РФ). Повторность применяется в рамках одной и той же части статьи: нарушение по части 1 и нарушение по части 7 не образуют повторности по отношению друг к другу. Повторное нарушение по части 7 влечёт штраф до 15 000 000 рублей для организации.

Статья 13.11 КоАП РФ после реформы 2022-2023 годов стала одним из наиболее жёстких инструментов административного воздействия на бизнес в сфере цифровой экономики. Семь самостоятельных составов, суммируемые штрафы и многократно возросшие санкции за повторные нарушения требуют системного подхода к compliance, а не точечного реагирования на предписания.

Юридическая фирма «Ветров и партнёры» сопровождает операторов персональных данных на всех стадиях: от аудита документации до представительства в арбитражных судах при оспаривании постановлений Роскомнадзора. Практика по делам об административной ответственности охватывает все федеральные округа.