⚖️ Прочие составы Аналитика

Ст. 137 УК РФ: нарушение персональных данных в компании (4-й выпуск)

Статья 137 Уголовного кодекса Российской Федерации устанавливает уголовную ответственность за незаконный сбор и распространение сведений о частной жизни, составляющих личную или семейную тайну, без согласия субъекта. По состоянию на май 2026 года число уголовных дел по этому составу в коммерческом секторе растёт: Роскомнадзор за 2024–2025 годы зафиксировал свыше 300 крупных утечек персональных данных. Для бизнеса риск персональный: уголовное дело возбуждается не против компании, а против конкретного сотрудника или директора.

Оцените, есть ли уголовный риск в вашей ситуации — за 30 минут.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

Суть состава: что именно запрещает статья 137 УК РФ

Статья 137 Уголовного кодекса Российской Федерации запрещает незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, а равно распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ. Санкция по части первой — штраф до 200 000 рублей или лишение свободы до двух лет; по части второй (с использованием служебного положения) — штраф до 300 000 рублей или лишение свободы до четырёх лет. Именно часть вторая — основной риск для любого сотрудника, имеющего должностной доступ к базам данных клиентов или персонала.

Состав включает четыре обязательных элемента: незаконность действий (отсутствие согласия субъекта или иного правового основания); предмет — сведения о частной жизни, которые сам человек считает тайными; умысел; наступление или реальная угроза вреда охраняемым интересам потерпевшего. Отсутствие любого из элементов исключает уголовную квалификацию.

Предмет преступления — не любые персональные данные в смысле Федерального закона № 152-ФЗ «О персональных данных», а именно сведения, составляющие личную или семейную тайну: диагнозы, сведения о сексуальной жизни, финансовые обязательства, семейные конфликты, биографические факты, которые человек намеренно скрывает. Передача в открытый доступ ФИО и должности сотрудника по статье 137 не квалифицируется.

✓ Важно

Статья 137 — специальная норма по отношению к Федеральному закону № 152-ФЗ. Административная ответственность по статье 13.11 КоАП и уголовная по статье 137 УК применяются параллельно и не поглощают друг друга. Компания заплатит административный штраф; конкретный виновный сотрудник может быть привлечён к уголовной ответственности одновременно.

Когда действия сотрудника образуют состав преступления по статье 137 УК РФ?

Действия сотрудника компании образуют состав по статье 137 Уголовного кодекса, если он умышленно собирает или передаёт третьим лицам сведения о частной жизни конкретного человека, используя доступ, предоставленный ему по должности, и делает это без согласия субъекта и без законного основания. Ключевой критерий — умысел: случайная пересылка файла не образует состав, целенаправленная передача данных конкуренту или в СМИ — образует.

Наиболее частые корпоративные ситуации, при которых возбуждаются дела:

HR-специалист передаёт сведения о состоянии здоровья или семейном положении уволенного работника его новому работодателю;
менеджер по работе с клиентами «сливает» базу данных с медицинскими или финансовыми сведениями конкурирующей организации;
сотрудник службы безопасности передаёт коллекторам данные о должниках, включая сведения об имуществе и семье;
руководитель публично оглашает личную переписку или медицинский диагноз подчинённого в ходе трудового конфликта.

⚠ Типичная ошибка

Директора нередко полагают, что подписание сотрудником согласия на обработку персональных данных при трудоустройстве снимает все риски. Это не так: согласие на обработку данных в рамках трудового договора не даёт права на их передачу третьим лицам. Передача данных за пределы законного основания — самостоятельный уголовный риск для конкретного исполнителя и руководителя, санкционировавшего передачу.

Разграничение с составом по статье 272 УК РФ (неправомерный доступ к компьютерной информации) проходит по субъекту и способу: статья 272 применяется при взломе или иных технических способах несанкционированного доступа к системе, тогда как статья 137 — при использовании законного доступа в незаконных целях. На практике оба состава могут вменяться одному лицу.

Разграничение составов и наличие умысла — ключевые вопросы защиты на стадии доследственной проверки. Позиция, выработанная до предъявления обвинения, существенно влияет на перспективы дела.

Вас или сотрудника проверяют по статье 137 УК РФ?

Дела по этому составу чаще всего возбуждаются после заявления потерпевшего или по материалам проверки Роскомнадзора. До предъявления обвинения есть реальные процессуальные возможности. «Ветров. 49» — более 1 000 проектов в уголовной защите бизнеса, рейтинг Право·300.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Как статья 137 УК РФ применяется в корпоративной практике 2024–2026 годов?

Правоприменение по статье 137 Уголовного кодекса в коммерческом секторе концентрируется вокруг трёх сценариев: трудовые конфликты с разглашением данных работников, целенаправленные «сливы» клиентских баз и использование личных сведений в корпоративных спорах. По данным Судебного департамента при Верховном суде Российской Федерации, ежегодно по статье 137 осуждается от 180 до 250 человек; доля оправдательных приговоров — менее 1%. Большинство осуждённых — физические лица, занимавшие должности, связанные с обработкой персональных данных.

до 4 лет

лишения свободы по ч. 2 ст. 137 УК РФ (служебное положение)

6 лет

срок давности по чч. 2 и 3 ст. 137 УК РФ (средняя тяжесть)

2 года

срок давности по ч. 1 ст. 137 УК РФ (небольшая тяжесть)

300 000 ₽

максимальный штраф по ч. 2 (альтернатива лишению свободы)

Кейс 1 · 2024 · Финансовые услуги

Менеджер МФО, Приволжский ФО, клиентская база ~12 000 записей

Триггер

Бывший сотрудник передал базу данных заёмщиков, включая сведения о просроченных долгах и семейном положении, конкурирующей организации. Потерпевший обратился с заявлением после звонка из незнакомой компании с осведомлённостью о его личных обстоятельствах.

Результат

Дело прекращено на стадии предварительного расследования в связи с примирением сторон (статья 25 УПК РФ): подзащитный возместил моральный вред потерпевшим и достиг примирения. Уголовное преследование прекращено без судимости.

Характерная черта дел по статье 137 в корпоративном контексте — активная роль Роскомнадзора. Ведомство выявляет утечки, составляет административные протоколы, а материалы проверки затем передаются в следственные органы. С 2023 года санкции по статье 13.11 КоАП существенно выросли: штраф для юридического лица за повторное нарушение при обработке биометрических данных достигает 500 000 рублей. Параллельно следователь проверяет наличие умысла у конкретного сотрудника — именно это открывает путь к уголовному составу.

Три сценария с разным уголовным риском:

Субъект	Типичная ситуация	Норма	Риск
Собственник / директор	Санкционировал передачу данных сотрудников или клиентов третьей стороне	Ч. 2 ст. 137 УК РФ	до 4 лет
Наёмный директор	Выдал данные по устному указанию собственника без письменного основания	Ч. 1 или ч. 2 ст. 137 УК РФ	до 2–4 лет
Главный бухгалтер / HR	Передал справки о доходах или медицинские заключения по устному запросу	Ч. 2 ст. 137 УК РФ	до 4 лет

Чем уголовный риск по статье 137 отличается от административной ответственности за персональные данные?

Уголовная ответственность по статье 137 Уголовного кодекса и административная по статье 13.11 КоАП различаются по субъекту, умыслу и последствиям. Административный состав предусматривает ответственность организации как оператора персональных данных — штраф до 500 000 рублей за отдельные нарушения. Уголовный состав адресован конкретному физическому лицу, действовавшему умышленно, и влечёт не штраф, а судимость, запрет занимать должности и реальное лишение свободы.

На практике административное и уголовное преследование нередко идут параллельно. Роскомнадзор составляет протокол в отношении компании; следователь, получив материалы, устанавливает конкретного сотрудника с умыслом и возбуждает уголовное дело. При этом факт уплаты компанией административного штрафа не освобождает виновное физическое лицо от уголовной ответственности.

// Примечание

С 2024 года в Государственной думе обсуждается законопроект о введении самостоятельного уголовного состава за утечку персональных данных в крупном объёме. Если поправки в УК будут приняты, дела об «оборотных» штрафах дополнятся прямой уголовной ответственностью для руководства компании. Следить за законодательными изменениями необходимо в реальном времени.

Разграничение, принципиальное для защиты: статья 137 требует доказать умысел на раскрытие сведений именно о частной жизни, составляющих личную тайну. Передача служебных сведений о коммерческой деятельности конкурента квалифицируется по другим нормам — статьям 183 или 272 УК РФ. Поэтому первый вопрос защиты при возбуждении дела по статье 137: являются ли переданные сведения личной или семейной тайной конкретного потерпевшего — или это корпоративная информация.

Если компания уже получила предписание Роскомнадзора или следователь запросил документы об обработке персональных данных, время для выработки позиции ограничено. До предъявления требований о допросе важно понять, в каком статусе может оказаться директор или HR-специалист.

Роскомнадзор начал проверку или следователь запросил документы?

Материалы административной проверки по статье 13.11 КоАП нередко становятся поводом для возбуждения уголовного дела по статье 137 УК РФ. «Ветров. 49» анализирует уголовные риски для конкретного должностного лица на основании имеющихся документов — конфиденциально.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Как выстроить защиту при возбуждении дела по статье 137 УК РФ?

Защита по статье 137 Уголовного кодекса строится на трёх процессуальных направлениях: оспаривании умысла, исключении предмета преступления и достижении примирения с потерпевшим. Примирение (статья 25 УПК РФ) — наиболее реалистичный путь прекращения дела до приговора при первичном привлечении по части первой или части второй: необходимо возместить моральный вред и получить заявление потерпевшего об отсутствии претензий. Это условие выполнимо в большинстве корпоративных дел, где пострадавший — один или несколько сотрудников, а не неопределённый круг лиц.

Направления процессуальной защиты:

Отсутствие умысла. Если передача данных произошла по ошибке, по устному указанию или в условиях неопределённости правового основания — это аргумент против прямого умысла, обязательного для состава статьи 137.
Предмет не является личной тайной. Если переданные сведения — данные о коммерческой деятельности, публично известная информация или не составляющая личной тайны субъекта — состав статьи 137 отсутствует.
Законное основание. Ряд операций с персональными данными допустим без согласия субъекта — в частности, передача данных государственным органам по запросу. Наличие такого основания исключает незаконность.
Деятельное раскаяние (статья 28 УПК РФ): явка с повинной + устранение вреда + первичное привлечение. Применимо при части первой.

⚠ Типичная ошибка

После предъявления обвинения по части второй статьи 137 УК РФ у стороны защиты есть ограниченное время до избрания судом меры пресечения. Промедление с привлечением защитника в этот период существенно сужает возможности для примирения с потерпевшим и формирования позиции об отсутствии умысла — эти действия наиболее эффективны именно на стадии предварительного расследования.

Кейс 2 · 2025 · Медицинские услуги

Главный врач частной клиники, Северо-Западный ФО, оборот 180 млн ₽

Триггер

Администратор клиники передала журналисту сведения о диагнозе публичной персоны, проходившей лечение. Материал вышел в региональном издании. Потерпевший обратился в полицию; дело возбуждено по части второй статьи 137 УК РФ с квалифицирующим признаком использования служебного положения.

Результат

Переквалификация на часть первую статьи 137 УК РФ: в ходе расследования установлено, что сотрудница действовала по собственной инициативе, доступ к сведениям в рамках должностных обязанностей не использовался. Назначено наказание в виде штрафа без лишения свободы.

Превентивные меры: как снизить уголовный риск по статье 137 УК РФ в 2026 году?

Превентивная защита от уголовного преследования по статье 137 Уголовного кодекса включает организационные, технические и юридические меры, исключающие несанкционированный доступ к персональным данным и фиксирующие законные основания каждой операции с ними. Ключевой принцип: уголовный риск персонализирован — он лежит на конкретном сотруднике, а не на компании. Задача превентивных мер — сделать так, чтобы у следователя не было оснований для возбуждения дела против конкретного физического лица.

Что подготовить заранее: чек-лист для директора

Реестр операторов и обработчиков данных — задокументировать, кто имеет доступ к каким категориям персональных данных и на каком основании.
Политика обработки персональных данных — актуальный документ с перечнем целей, сроков хранения и порядком передачи третьим лицам; подписан директором.
Инструктаж сотрудников — письменный под роспись, с описанием запрещённых действий и последствий нарушения. При возбуждении дела снимает с директора обвинение в соучастии.
Журнал запросов — фиксировать каждый внешний запрос персональных данных с указанием основания, даты и ответственного исполнителя.
Процедура реагирования на утечку — алгоритм действий при инциденте, включая уведомление Роскомнадзора в установленный срок (72 часа по Федеральному закону № 152-ФЗ).

✓ Важно

Наличие актуальной политики обработки персональных данных и инструктажей не исключает уголовную ответственность конкретного сотрудника, умышленно нарушившего установленный порядок. Однако оно снимает с директора обвинение по части второй статьи 137 УК РФ как лица, создавшего условия для нарушения, и переводит ответственность на непосредственного исполнителя.

Отдельное направление превентивной работы — аудит договоров с контрагентами, обрабатывающими персональные данные компании: колл-центры, рекламные агентства, аутсорсинговые бухгалтеры. Если такой контрагент допустит утечку данных клиентов вашей компании, следователь будет проверять, кто подписал договор поручения обработки и предусматривал ли он надлежащий контроль за обработчиком. Подробнее о структуре превентивных мер для бизнеса — в обзоре типовых корпоративных составов УК РФ.

📋 Чек-лист уголовных рисков по персональным данным

Документ на 2 страницы: 12 триггеров, при которых административная ответственность компании перерастает в уголовное дело для директора или HR-специалиста. Со ссылками на нормы УК и КоАП.

Напишите «137 риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒

Направления практики по теме

Защита по уголовному делу — сопровождение от проверки до приговора
Уголовно-правовой аудит — оценка рисков до возбуждения дела

Q.01 Какое наказание грозит по статье 137 УК РФ в 2025–2026 году?

По части первой статьи 137 Уголовного кодекса Российской Федерации гражданину или должностному лицу грозит штраф до 200 000 рублей, либо лишение свободы сроком до двух лет. Часть вторая — совершение тех же действий с использованием служебного положения — предусматривает штраф до 300 000 рублей или лишение свободы до четырёх лет с лишением права занимать определённые должности. Часть третья, введённая в 2013 году и касающаяся несовершеннолетних потерпевших, предусматривает лишение свободы до пяти лет. Для бизнеса наиболее значима часть вторая: именно по ней привлекают руководителей и сотрудников HR-служб, допустивших распространение персональных данных работников или клиентов с использованием доступа, предоставленного по должности.

Q.02 Каков срок давности привлечения к ответственности по статье 137 УК РФ?

Срок давности уголовного преследования по статье 137 Уголовного кодекса Российской Федерации определяется категорией тяжести преступления. Часть первая относится к преступлениям небольшой тяжести: срок давности составляет два года с момента совершения деяния. Части вторая и третья — преступления средней тяжести, срок давности — шесть лет. На практике это означает: если факт утечки данных клиентов выявлен Роскомнадзором или потерпевшим спустя три года, привлечение по части первой уже невозможно, тогда как по части второй срок ещё не истёк. Для бизнеса важно фиксировать дату возможного нарушения и незамедлительно консультироваться с защитником при появлении претензий.

Q.03 Можно ли прекратить уголовное дело по статье 137 УК РФ до вынесения приговора?

Прекращение уголовного дела по статье 137 Уголовного кодекса Российской Федерации до приговора возможно по нескольким основаниям. Наиболее распространённое — примирение с потерпевшим (статья 25 Уголовно-процессуального кодекса): применяется по части первой и части второй при условии, что лицо привлекается впервые, загладило вред и примирилось с пострадавшим. По части первой также возможно прекращение в связи с истечением срока давности — двух лет с момента деяния. Дополнительное основание — деятельное раскаяние (статья 28 Уголовно-процессуального кодекса): применимо при первичном привлечении, явке с повинной и возмещении ущерба. На практике примирение с потерпевшим — наиболее реалистичный путь для сотрудника компании при утечке данных ограниченного круга лиц.

Q.04 Чем статья 137 УК РФ отличается от административной ответственности за нарушения при работе с персональными данными?

Административная ответственность за нарушения в сфере персональных данных наступает по статье 13.11 Кодекса об административных правонарушениях и предусматривает штраф для юридических лиц до 500 000 рублей за отдельные составы — в частности, за обработку данных без согласия субъекта. Уголовная ответственность по статье 137 Уголовного кодекса наступает только при умышленном незаконном сборе или распространении сведений о частной жизни конкретного человека, составляющих его личную или семейную тайну. Ключевое разграничение: административный состав применяется к организации как оператору данных, уголовный — к физическому лицу, действовавшему умышленно. Для директора компании оба риска могут реализоваться одновременно: организация получит административный штраф, а виновный сотрудник — уголовное преследование.

Q.05 Когда утечка данных клиентов становится уголовным делом, а не административным нарушением?

Утечка персональных данных клиентов перерастает в уголовное дело по статье 137 Уголовного кодекса при одновременном наличии трёх условий: умысел конкретного сотрудника на распространение сведений, составляющих личную или семейную тайну потерпевшего; публичное распространение либо передача данных третьим лицам; наличие идентифицируемого потерпевшего, подавшего заявление. Массовая техническая утечка через взлом базы данных, как правило, квалифицируется по статье 272 Уголовного кодекса (неправомерный доступ к компьютерной информации), а не по статье 137. Практика показывает: заявления потерпевших чаще всего связаны с целенаправленной передачей данных конкретного человека конкуренту, коллектору или в СМИ — именно это превращает инцидент в уголовное дело.

Статья 137 УК РФ — состав с относительно невысокими санкциями, но значительными последствиями: судимость, запрет на должности, репутационный ущерб для компании. Большинство дел прекращается до приговора при своевременно выработанной позиции. Ключевые инструменты защиты — примирение с потерпевшим, оспаривание умысла и исключение предмета из категории личной тайны — работают прежде всего на стадии расследования, а не в суде.

«Ветров. 49» специализируется на уголовной защите бизнеса. Рейтинг Право·300 с 2017 года, более 1 000 завершённых проектов. Команда анализирует доказательственную базу следствия, выстраивает позицию и сопровождает клиента на всех стадиях — от доследственной проверки до апелляции.

Что делать сейчас?

Если в отношении вас, директора или сотрудника компании проводится проверка по статье 137 УК РФ или поступил запрос Роскомнадзора — оцените уголовный риск до того, как следователь вызовет на допрос. Право·300 · 1000+ проектов.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00