⚖️ Прочие составы Аналитика

Ст. 137 УК РФ: нарушение персональных данных в компании (3-й выпуск)

Статья 137 Уголовного кодекса РФ устанавливает ответственность за незаконный сбор или распространение сведений о частной жизни лица без его согласия. По состоянию на май 2026 года санкция части первой — лишение свободы до двух лет, части второй (с использованием служебного положения) — до четырёх лет. Для бизнеса это означает: HR-директор, передавший медицинские данные сотрудника, и системный администратор, выгрузивший клиентскую базу, рискуют уголовным преследованием — а не только административным штрафом по КоАП РФ.

Проверьте, создаёт ли ваш внутренний регламент обработки данных уголовные риски для сотрудников.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

Состав преступления по статье 137 УК РФ: что нужно знать директору

Статья 137 Уголовного кодекса РФ охраняет неприкосновенность частной жизни и устанавливает уголовную ответственность за три формы незаконного обращения с персональными данными: незаконный сбор, незаконное хранение и распространение сведений о частной жизни лица без его согласия. Объективная сторона требует доказанных умышленных действий, распространения или использования сведений, а также наличия субъекта — физического лица старше шестнадцати лет. Юридическое лицо субъектом уголовного преступления не является.

Состав формальный — для привлечения к ответственности достаточно самого факта незаконного распространения, реальный имущественный ущерб не требуется. Это принципиальное отличие от большинства экономических составов, где ущерб является обязательным квалифицирующим признаком. Размер санкции зависит от наличия квалифицирующих обстоятельств.

Часть ст. 137 УК РФ	Квалифицирующий признак	Максимальное лишение свободы	Дополнительное наказание
Часть 1	Основной состав	2 года	Штраф до 200 000 ₽ или лишение права занимать должности до 3 лет
Часть 2	С использованием служебного положения	4 года	Штраф от 100 000 до 300 000 ₽ или лишение права занимать должности до 5 лет
Часть 3	Несовершеннолетний потерпевший, публичное СМИ или интернет	5 лет	Лишение права занимать должности до 6 лет

На практике по делам в корпоративном секторе наиболее часто применяется часть вторая — через признак «использование служебного положения». Под него подпадают все категории сотрудников, имеющих доступ к персональным данным в силу должностных обязанностей: HR-специалисты, системные администраторы, бухгалтеры, сотрудники службы безопасности. Это существенно расширяет круг потенциальных обвиняемых внутри одной компании.

✓ Важно

Умысел — обязательный элемент состава. Неосторожная передача данных не образует состава статьи 137 УК РФ, но может влечь административную ответственность по статье 13.11 КоАП РФ с штрафом на организацию до 500 000 рублей.

Кейс 1 · 2024 · HR / торговля

Торговая компания, Приволжский ФО, выручка около 800 млн ₽

Триггер

Директор по персоналу направил конкурирующей компании сведения о зарплате и медицинских ограничениях двадцати трёх ключевых сотрудников. Цель — «помочь» бывшему работодателю и получить предложение о трудоустройстве. Потерпевшие обратились в полицию коллективно.

Результат

Дело прекращено на стадии предварительного следствия в связи с деятельным раскаянием (статья 28 УПК РФ): обвиняемый принёс публичные извинения каждому из потерпевших и выплатил компенсацию морального вреда на общую сумму 940 000 рублей. Уголовное преследование прекращено.

Сотрудник уже под проверкой или получил повестку? На этапе доследственной проверки ещё есть возможность скорректировать позицию до возбуждения дела.

Конкретный состав действий и допустимые инструменты защиты зависят от стадии, должности обвиняемого и характера переданных данных. Разобраться в ситуации можно на первичной консультации.

Сотрудник компании — под угрозой возбуждения дела?

Разберём состав, оценим стадию и определим оптимальную процессуальную позицию. Ветров. 49 — рейтинг Право·300 с 2017 года, более 1000 проектов по уголовной защите бизнеса.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Чем уголовная ответственность за персональные данные отличается от административной?

Уголовная ответственность по статье 137 УК РФ и административная по статье 13.11 КоАП РФ разграничиваются по двум критериям: наличию умысла и характеру нарушенного блага. Административный состав фиксирует сам факт нарушения порядка обработки данных — например, обработку без согласия субъекта или хранение данных дольше установленного срока, — тогда как уголовный состав требует доказанного прямого умысла на нарушение неприкосновенности частной жизни конкретного человека.

Ключевые разграничения по объекту: КоАП РФ защищает установленный государством порядок работы с данными (публичный интерес), статья 137 УК РФ — частную жизнь конкретного физического лица (частный интерес). Отсюда важное процессуальное следствие: административное дело возбуждается по инициативе Роскомнадзора, уголовное — как правило, по заявлению потерпевшего.

// Примечание

С поправками 2024 года Роскомнадзор получил право самостоятельно возбуждать административные дела по статье 13.11 КоАП РФ без обращения субъекта данных. Это означает, что Федеральный закон № 152-ФЗ «О персональных данных» теперь проверяется в плановом режиме наряду с налоговым законодательством.

Для директора и собственника это создаёт двойной риск при одном инциденте: компания получает административный штраф до 500 000 рублей, ответственный сотрудник — уголовное дело. Два производства идут параллельно и требуют раздельных процессуальных позиций, поскольку показания по административному делу могут быть использованы следствием по уголовному. Это частая ошибка: компания «признаётся» в административном деле ради скорейшего урегулирования с Роскомнадзором — и тем самым формирует доказательную базу против своего же сотрудника.

⚠ Типичная ошибка

Компания даёт развёрнутые пояснения Роскомнадзору об «ошибочной» передаче данных, полагая, что это закроет административное дело. Те же объяснения следователь использует как доказательство умысла в уголовном деле против сотрудника. Координация позиций по обоим производствам обязательна.

Какие конкретные действия сотрудников создают уголовный риск по статье 137 УК РФ?

Уголовный риск по статье 137 УК РФ в корпоративной среде возникает при умышленной передаче, публикации или использовании персональных данных без согласия их субъекта в целях, не предусмотренных трудовым договором или должностной инструкцией. Следственная практика выделяет несколько устойчивых паттернов, которые регулярно становятся основанием для возбуждения дел.

Три сценария по должностным ролям:

Собственник или генеральный директор: указание подчинённым собрать компромат на увольняемого топ-менеджера — медицинские сведения, переписку, данные о кредитных обязательствах. Формально директор не «распространяет» данные сам, однако организация незаконного сбора квалифицируется как соучастие (статья 33 УК РФ).

Директор по персоналу или HR-менеджер: передача кадровых досье кандидатов конкурирующему работодателю; разглашение сведений о состоянии здоровья сотрудника при аттестации без его письменного согласия; направление информации о дисциплинарных взысканиях в отраслевую ассоциацию.

Системный администратор или ИТ-директор: выгрузка клиентской базы с контактами и платёжными данными «для личного использования» при увольнении; предоставление доступа к персональным аккаунтам сотрудников третьим лицам без судебного решения. При наличии признаков неправомерного доступа к компьютерной информации дело дополнительно квалифицируется по статье 272 УК РФ — это создаёт совокупность и увеличивает итоговое наказание.

Зафиксировать перечень должностей, имеющих доступ к персональным данным
Проверить наличие письменных согласий субъектов на каждый вид обработки
Убедиться, что должностные инструкции описывают допустимые операции с данными
Ввести журнал выгрузок и экспорта данных из ключевых систем
Установить порядок действий сотрудника при запросе данных третьими лицами

✓ Важно

Пересечение с коммерческой тайной: если переданные данные включали также сведения, составляющие коммерческую тайну (клиентская база с условиями договоров), дело может быть дополнительно возбуждено по статье 183 УК РФ. Совокупность двух составов существенно увеличивает итоговый срок и исключает возможность прекращения по нереабилитирующим основаниям по первому составу.

Как расследуются дела по статье 137 УК РФ и чего ожидать обвиняемому?

Расследование уголовного дела по статье 137 УК РФ, как правило, начинается с доследственной проверки по заявлению потерпевшего в порядке статей 144–145 УПК РФ продолжительностью до тридцати суток. Ключевое следственное действие — компьютерно-техническая экспертиза, которая устанавливает факт и время передачи данных, использованные каналы (почта, мессенджеры, внешние носители) и авторство действий. Именно экспертиза определяет реальный срок расследования: от трёх месяцев при бесспорных цифровых следах до восьми месяцев при сложной инфраструктуре.

Следователи в подавляющем большинстве дел производят обыск по месту работы и в жилище подозреваемого — изымают рабочие компьютеры, телефоны, внешние накопители и корпоративную переписку. Отдельно запрашиваются сведения у провайдеров и мессенджеров в рамках оперативно-розыскных мероприятий (ОРМ). Если данные передавались через иностранные сервисы, получение сведений затягивается, но принципиально картину не меняет — следствие работает с логами на стороне российских получателей.

// Примечание

Срок давности по части 1 статьи 137 УК РФ — два года (категория небольшой тяжести, статья 78 УК РФ). По части 2 — шесть лет (средней тяжести). Это важно: при утечке данных, обнаруженной спустя год-полтора, дело по части 1 может быть прекращено по истечении давности ещё до вынесения приговора.

Судебная практика по делам об уголовном нарушении персональных данных демонстрирует устойчивую тенденцию к назначению наказания, не связанного с реальным лишением свободы, при первом привлечении, наличии смягчающих обстоятельств и возмещении морального вреда потерпевшему до судебного разбирательства. По данным Судебного департамента при Верховном суде РФ, vsrf.ru, удельный вес реального лишения свободы по статье 137 УК РФ не превышает 10–12% от числа обвинительных приговоров.

Кейс 2 · 2025 · IT / SaaS

Технологическая компания, Северо-Западный ФО, выручка около 350 млн ₽

Триггер

Системный администратор при увольнении выгрузил базу данных клиентов (около 12 000 записей с email и телефонами) и передал её будущему работодателю-конкуренту. Бывший работодатель обратился с заявлением. Следствие возбудило дело по статьям 137, часть 2 и 272 УК РФ в совокупности.

Результат

После подключения защиты на стадии предъявления обвинения удалось исключить эпизод по статье 272 УК РФ в связи с недоказанностью несанкционированного доступа (у администратора имелись штатные права на выгрузку). Дело рассмотрено по части 2 статьи 137 УК РФ единственным эпизодом. Назначено условное лишение свободы сроком 2 года с испытательным сроком 3 года.

Описанные сценарии показывают: на стадии следствия ещё есть инструменты для изменения квалификации и предотвращения совокупности составов. После передачи дела в суд процессуальные возможности сужаются.

Если уголовное дело уже возбуждено или ожидается — оценить перспективы переквалификации и допустимые процессуальные шаги можно в рамках первичной консультации.

Дело возбуждено или ожидается предъявление обвинения?

Проанализируем материалы дела, оценим обоснованность квалификации и выработаем позицию защиты. Ветров. 49 — рейтинг Право·300 с 2017 года, более 1000 проектов по уголовной защите бизнеса.

Обсудить ситуацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Как снизить уголовные риски компании при работе с персональными данными?

Превентивная защита от уголовных рисков по статье 137 УК РФ строится на трёх элементах: разграничении прав доступа к данным, документировании согласий субъектов и выработке регламента действий при инцидентах. Ни один из этих элементов не исключает уголовное преследование полностью — его могут инициировать только потерпевший и следственные органы, — но существенно сужает возможности обвинения доказать умысел и использование служебного положения.

Матрица рисков по должностям и инструментам защиты:

Должность	Типичный риск	Инструмент защиты	Срок внедрения
Директор по персоналу	Разглашение мед. данных, кадровых досье	Политика ограниченного доступа + согласия	2–3 недели
Системный администратор	Выгрузка баз данных при увольнении	Журнал выгрузок + лишение доступа при уведомлении об уходе	1 неделя
Бухгалтер	Разглашение зарплат и банковских реквизитов	NDA + регламент ответа на запросы третьих лиц	1–2 недели
Служба безопасности	Несанкционированный мониторинг переписки сотрудников	Регламент мониторинга + уведомление сотрудников	2–4 недели

Ключевой инструмент на стадии инцидента — разделение процессуальных позиций компании и физического лица. Компания как оператор данных несёт административную ответственность и взаимодействует с Роскомнадзором. Сотрудник — потенциальный субъект уголовной ответственности, и его позиция требует самостоятельной юридической поддержки. Совмещение этих позиций в одном юридическом лице (корпоративный юрист представляет и компанию, и сотрудника) создаёт конфликт интересов и в большинстве случаев работает против физического лица.

✓ Важно

Экономика превентивных мер: уголовно-правовой аудит обработки персональных данных в компании с разработкой регламентов обойдётся значительно дешевле, чем защита по возбуждённому уголовному делу. Медианная стоимость защиты по делам данной категории в Москве и Санкт-Петербурге — от 800 000 до 2,5 млн рублей, в зависимости от стадии и сложности.

📋 Регламент: 7 мер защиты при инциденте с персональными данными

Пошаговый алгоритм действий компании и сотрудника в первые 48 часов после обнаружения утечки — до прихода следователя.

Напишите «Регламент 137» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒

Направления практики по теме

Защита по уголовному делу — защита при предъявлении обвинения и в суде
Уголовно-правовой аудит — превентивный анализ рисков для бизнеса

Q.01 Чем уголовная ответственность по статье 137 УК РФ отличается от административной по статье 13.11 КоАП РФ?

Разграничение проходит по признаку умысла и наступившего вреда: административный состав по статье 13.11 КоАП РФ фиксирует нарушения порядка обработки персональных данных безотносительно к последствиям, тогда как уголовная ответственность по статье 137 УК РФ требует доказанного умысла на нарушение неприкосновенности частной жизни и реального распространения сведений без согласия лица. На практике это означает: если работник отдела кадров случайно переслал личные данные не тому адресату — это административный состав. Если директор по персоналу целенаправленно передал медицинские сведения о сотруднике конкуренту ради дискредитации — налицо признаки части первой статьи 137 УК РФ. Санкция по КоАП РФ — штраф до 500 000 рублей на организацию. Санкция по части первой статьи 137 УК РФ — штраф до 200 000 рублей, лишение свободы до двух лет, лишение права занимать определённые должности до трёх лет. При использовании служебного положения (часть вторая) — лишение свободы до четырёх лет.

Q.02 Когда суд назначает условное осуждение по статье 137 УК РФ?

Условное осуждение по статье 137 УК РФ назначается судом при совокупности смягчающих обстоятельств: отсутствие судимости, признание вины, возмещение вреда потерпевшему до вынесения приговора, положительные характеристики с места работы. Статистика Судебного департамента при Верховном суде РФ показывает: по части первой статьи 137 УК РФ условный срок назначается примерно в 55–60% обвинительных приговоров, по части второй — реже, около 30–35%, поскольку использование служебного положения отягчает ответственность. Ключевой фактор для получения условного срока — заключение соглашения о возмещении морального вреда с потерпевшим до судебного следствия. Размер компенсации, взыскиваемой судами по данной категории дел, в практике составляет от 30 000 до 500 000 рублей в зависимости от характера разглашённых сведений и тяжести последствий для потерпевшего.

Q.03 Сколько времени занимает расследование дела по статье 137 УК РФ?

Расследование уголовного дела по статье 137 УК РФ в среднем занимает от трёх до восьми месяцев с момента возбуждения до направления дела в суд. Базовый срок предварительного следствия по части первой составляет два месяца (статья 162 УПК РФ), однако он продлевается руководителем следственного органа при необходимости проведения компьютерно-технической экспертизы — она является ключевой по данной категории дел и сама по себе занимает один-три месяца. Ещё до возбуждения дела проводится доследственная проверка в порядке статей 144–145 УПК РФ сроком до тридцати суток с учётом продлений. Если дело возбуждено в отношении нескольких лиц или касается утечки значительного массива данных (более десяти тысяч записей), следствие, как правило, продлевается до шести–восьми месяцев. Срок давности привлечения к ответственности по части первой — два года, по части второй — шесть лет.

Q.04 Может ли компания как юридическое лицо быть привлечена к ответственности по статье 137 УК РФ?

Статья 137 УК РФ предусматривает ответственность только физических лиц: непосредственного исполнителя и лиц, действовавших с использованием служебного положения. Юридическое лицо субъектом уголовной ответственности в российском праве не является. Однако компания несёт параллельную административную ответственность по статье 13.11 КоАП РФ — штраф до 500 000 рублей на организацию за каждый факт нарушения. После принятия поправок 2024 года Роскомнадзор вправе возбуждать административные дела самостоятельно, без обращения потерпевшего. На практике это означает, что утечка персональных данных из корпоративной базы одновременно влечёт: уголовное дело против конкретного сотрудника и административное производство против компании. Защита по обоим производствам строится раздельно и требует независимых процессуальных позиций.

Q.05 Какие действия сотрудника образуют состав преступления по части второй статьи 137 УК РФ?

Часть вторая статьи 137 УК РФ применяется, когда лицо использует своё служебное положение для незаконного сбора или распространения сведений о частной жизни лица без его согласия. Квалифицирующий признак — доступ к персональным данным именно в силу должностных полномочий: системный администратор, выгружающий базу клиентов; HR-директор, передающий медицинские сведения о сотруднике; бухгалтер, раскрывающий зарплатные данные коллег сторонним лицам. Ключевой элемент состава — умысел: лицо осознаёт, что данные относятся к частной жизни, и желает их распространить без согласия субъекта. Неосторожная утечка данных состава части второй не образует. Санкция: штраф от 100 000 до 300 000 рублей, лишение свободы до четырёх лет с лишением права занимать определённые должности до пяти лет.

Уголовная ответственность за нарушение персональных данных по статье 137 УК РФ — не абстрактный риск: дела возбуждаются регулярно, в том числе в компаниях со зрелыми процессами и формальными политиками конфиденциальности. Формальный документооборот не защищает от обвинения, если он не подкреплён реальным разграничением прав доступа и регламентом действий при инциденте.

Ветров. 49 специализируется на уголовной защите бизнеса — рейтинг Право·300 с 2017 года, более 1000 проектов. Если сотрудник уже под следствием или компания ожидает проверки, первичная консультация позволяет понять реальный объём риска и допустимые инструменты защиты.

Что делать сейчас?

Оцените свою ситуацию и выберите подходящий формат работы. Ветров. 49 — Право·300, 1000+ проектов по уголовной защите бизнеса.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00