Уголовная защита для бизнеса, топ-менеджмента
и должностных лиц
МСК НСК КРН КМР
БРН ОМС ЕКБ
Партнёра
цитируют
и публикуют
РБК
Ведомости
Коммерсантъ
Деловой квартал
Главная/ Аналитика/ Прочие составы/ Ст. 137 УК РФ: персональные данные
⚖️ Прочие составы Аналитика

Ст. 137 УК РФ: нарушение персональных данных в компании (5-й выпуск)

Статья 137 УК РФ устанавливает уголовную ответственность за незаконный сбор или распространение сведений о частной жизни лица без его согласия. По состоянию на май 2026 года число возбуждённых дел по этой статье в корпоративном секторе выросло на 34% относительно 2023 года — преимущественно в связи с утечками баз данных сотрудников и клиентов. Для директора или сотрудника, использующего служебное положение, санкция достигает 4 лет лишения свободы.

Получите экспертную оценку рисков по вашей ситуации — конфиденциально.

Получить консультацию Telegram
АС
Антон Соколов
Аналитик · налоговые уголовные дела
Опубликовано Обновлено 15 мин. чтения
4 года
Максимальная санкция по ч. 2 ст. 137 УК РФ
300 тыс. ₽
Максимальный штраф для физлица по ч. 2
2 года
Срок давности по части первой статьи
+34 %
Рост числа дел в корпоративном секторе с 2023 г.

В чём состав преступления по статье 137 УК РФ?

Статья 137 УК РФ защищает неприкосновенность частной жизни: незаконный сбор или распространение сведений о частной жизни лица без его согласия образует состав преступления при наличии прямого умысла. Часть первая предусматривает штраф до 200 000 рублей или лишение свободы до двух лет. Часть вторая — та же деятельность с использованием служебного положения — влечёт лишение свободы до четырёх лет и запрет занимать должности на срок до пяти лет.

Предмет преступления — «сведения о частной жизни»: медицинские диагнозы, семейное положение, финансовое состояние, сексуальная жизнь, религиозные убеждения, переписка. В корпоративном контексте под эту категорию подпадают персональные данные сотрудников и клиентов, которые компания обрабатывает как оператор в рамках Федерального закона № 152-ФЗ «О персональных данных».

Обязательный признак субъективной стороны — прямой умысел: виновный осознаёт незаконность своих действий и желает раскрыть именно те сведения, которые составляют частную жизнь конкретного человека. Это принципиально отличает уголовный состав от административного, где умысел не требуется.

✓ Важно
Субъект преступления по части первой — любое физическое лицо, достигшее 16 лет. По части второй — лицо, использующее служебное положение: директор, менеджер по персоналу, системный администратор, имеющий доступ к базам данных в силу трудовых обязанностей.

Важно учитывать, что диспозиция статьи охватывает как активные действия — незаконный сбор, то есть получение данных без согласия субъекта — так и распространение: передачу третьим лицам, публикацию, использование в коммерческих целях. Хранение персональных данных само по себе состава по статье 137 не образует — только активное противоправное действие с ними.

Как статья 137 разграничивается с административной ответственностью по статье 13.11 КоАП РФ?

Административная ответственность за нарушение персональных данных по статье 13.11 КоАП РФ и уголовная по статье 137 УК РФ существуют параллельно, но имеют принципиально разные основания. Административный состав фиксирует процедурные нарушения оператора персональных данных — отсутствие политики конфиденциальности, обработку данных без согласия, нарушение требований локализации. Максимальный штраф для юридического лица по статье 13.11 КоАП РФ достигает 500 000 рублей.

Уголовный состав по статье 137 УК РФ требует трёх дополнительных условий. Первое — конкретный потерпевший: преступление совершается в отношении определённого физического лица, а не абстрактного «субъекта персональных данных». Второе — незаконность действия: отсутствие правового основания для сбора или передачи сведений. Третье — прямой умысел: осознанное желание нарушить право конкретного человека на частную жизнь.

Критерий Ст. 13.11 КоАП РФ Ст. 137 УК РФ
Субъект ответственности Организация (оператор) Физическое лицо
Умысел Не требуется Прямой умысел обязателен
Потерпевший Не идентифицируется Конкретное физическое лицо
Максимальное наказание Штраф 500 000 ₽ 4 года лишения свободы
Орган расследования Роскомнадзор Следователи МВД / СК РФ

На практике важно учитывать, что административное и уголовное преследование не исключают друг друга. Роскомнадзор фиксирует нарушение и штрафует организацию, а параллельно материалы могут быть переданы в органы внутренних дел для проверки наличия признаков состава по статье 137 УК РФ в действиях конкретных сотрудников.

⚠ Типичная ошибка
Компании нередко ограничиваются уплатой административного штрафа, полагая, что инцидент закрыт. Между тем административное разбирательство может стать отправной точкой уголовного дела против директора или ИТ-сотрудника — особенно если потерпевший подаёт отдельное заявление в полицию.

Кто реально попадает под уголовное преследование по статье 137 УК РФ в корпоративном контексте?

Анализ судебной практики показывает три устойчивых типа обвиняемых в корпоративных делах по статье 137 УК РФ: бывший сотрудник, забравший клиентскую базу при увольнении; менеджер, передавший персональные данные коллеги или клиента третьим лицам в личных целях; и директор, отдавший распоряжение раскрыть медицинские или финансовые сведения о работнике.

Наиболее уязвимая категория — системные администраторы и сотрудники HR-служб. Они имеют технический доступ к полным базам персональных данных в силу служебных обязанностей, и любая несанкционированная выгрузка или передача данных формально подпадает под часть вторую статьи 137 — с квалифицирующим признаком использования служебного положения.

Три характерных сценария уголовного преследования:

  • Собственник ООО: дал указание юридическому отделу раскрыть сведения о бывшем партнёре контрагентам с целью дискредитации — риск части второй статьи 137 УК РФ.
  • Наёмный директор: организовал передачу базы данных клиентов конкурирующей структуре при смене работодателя — риск части второй в совокупности со статьёй 183 УК РФ (незаконное получение и разглашение коммерческой тайны).
  • Главный бухгалтер: передал сведения о заработных платах сотрудников третьему лицу без их согласия — риск части первой или второй в зависимости от умысла и способа передачи.
Кейс 1 · 2024 · Ритейл

Директор по персоналу торговой сети, Сибирский федеральный округ, выручка компании 820 млн ₽

Триггер
Бывший сотрудник обратился в полицию с заявлением о том, что его медицинские данные и сведения о кредитной истории были переданы новому работодателю без согласия. Оперативное подразделение провело ОРМ (оперативно-розыскные мероприятия), зафиксировав электронную переписку HR-директора.
Результат
Переквалификация с части второй на часть первую статьи 137 УК РФ — доказан умысел, но исключён квалифицирующий признак использования служебного положения. Назначен условный срок — 1 год 6 месяцев условно с испытательным сроком 2 года.

Отдельную категорию составляют дела, связанные с передачей персональных данных в рамках корпоративных конфликтов. Один из акционеров или партнёров раскрывает конфиденциальные сведения о другом — деловые связи, финансовое положение, личную жизнь — в целях давления или дискредитации. Такие дела квалифицируются по статье 137 УК РФ, а в ряде случаев в совокупности со статьёй 159 (мошенничество) или статьёй 163 (вымогательство).

Квалификация действий по части первой или второй существенно влияет на стратегию защиты и вероятность прекращения дела. Ошибка на этапе первых допросов нередко лишает обвиняемого возможности добиться переквалификации.

Уже возбуждено дело или идёт проверка?
В первые 48–72 часа после начала проверки формируются ключевые доказательства. Правильная позиция на этапе объяснений — основа для последующей переквалификации или прекращения дела. Специалисты «Ветров. 49» анализируют ситуацию и вырабатывают тактику на первом сеансе.
Получить консультацию Telegram → WhatsApp →
+7 (983) 510-38-76 · конфиденциально

Как следствие строит доказательную базу по делам о нарушении персональных данных?

Следователи по делам статьи 137 УК РФ формируют доказательную базу из трёх ключевых источников: цифровые следы (журналы доступа к базам данных, метаданные файлов, электронная переписка), показания потерпевшего и свидетелей, а также заключения компьютерно-технических экспертиз. Именно экспертиза носителей информации определяет, был ли доступ к данным санкционирован и когда произошла выгрузка.

На практике важно учитывать, что следователь вправе изъять серверное оборудование, рабочие компьютеры и смартфоны сотрудников в рамках обыска по статье 182 УПК РФ. Компании без настроенных систем логирования доступа оказываются в особенно уязвимом положении: при отсутствии журналов доступа следствие интерпретирует любой контакт с базой данных в пользу обвинения.

// Примечание
Электронная переписка изымается в рамках выемки (статья 183 УПК РФ) или путём направления запросов операторам связи. Переписка в мессенджерах — Telegram, WhatsApp — также может быть получена следствием через операторов в случаях, предусмотренных законодательством об ОРД.

Срок расследования по стандартному делу статьи 137 УК РФ составляет от двух до шести месяцев. При назначении компьютерно-технической экспертизы дело нередко расследуется до восьми месяцев. Срок давности по части первой — два года, по части второй — шесть лет с момента совершения деяния.

Частая ошибка директора или владельца бизнеса — попытка самостоятельно «урегулировать» ситуацию: переговоры с потерпевшим без адвоката, удаление данных с корпоративных серверов после возбуждения дела. Уничтожение доказательств после начала расследования квалифицируется как отдельное деяние и существенно ухудшает позицию обвиняемого.

⚠ Типичная ошибка
Попытка договориться с потерпевшим без письменного соглашения и без участия адвоката не только не прекращает дело, но и может быть квалифицирована следствием как давление на потерпевшего. Возмещение вреда должно оформляться через процессуальный механизм — с фиксацией в материалах дела.

Стратегия защиты и превентивные меры для бизнеса

Стратегия защиты по делам статьи 137 УК РФ строится на двух направлениях: оспаривание умысла и переквалификация на административный состав либо прекращение дела в связи с возмещением ущерба. Доказать отсутствие прямого умысла — то есть то, что сотрудник действовал по ошибке или в рамках служебных полномочий, — означает вывести ситуацию из уголовно-правового поля в административное.

Ключевой инструмент защиты на досудебном этапе — письменные соглашения о возмещении вреда потерпевшему. По части первой статьи 137 УК РФ (небольшая тяжесть) дело может быть прекращено судом по основаниям статьи 76 УК РФ — примирение с потерпевшим при условии возмещения причинённого вреда. Это наиболее реалистичный результат при отсутствии отягчающих обстоятельств и первичном привлечении к ответственности.

Превентивные меры для компании, снижающие риск уголовного преследования сотрудников:

  • Ввести ролевую модель доступа к базам персональных данных: каждый сотрудник имеет доступ только к тем данным, которые необходимы для выполнения его функций.
  • Настроить системы логирования всех операций с персональными данными с хранением журналов не менее 12 месяцев.
  • Внедрить регламент работы с запросами третьих лиц на предоставление сведений о сотрудниках или клиентах.
  • Провести обучение HR-службы и ИТ-отдела по правовым основаниям обработки персональных данных согласно Федеральному закону № 152-ФЗ.
  • Разработать внутреннюю процедуру реагирования на инциденты — утечки и несанкционированный доступ — с фиксацией всех шагов.
✓ Важно
Наличие задокументированных внутренних регламентов и журналов доступа — это не только требование Роскомнадзора, но и ключевой аргумент защиты при уголовном преследовании: они подтверждают, что компания приняла все разумные меры, а нарушение — самовольное отклонение конкретного сотрудника от установленного порядка.
Кейс 2 · 2025 · IT-сервисы

Системный администратор SaaS-компании, Центральный федеральный округ, выручка компании 240 млн ₽

Триггер
Бывший сотрудник перед увольнением скопировал базу данных клиентов — 47 000 записей, включая паспортные данные и контакты. Утечка обнаружена службой безопасности через три месяца после увольнения; подано заявление в полицию. Следствие установило факт копирования через журналы DLP-системы.
Результат
Дело прекращено в связи с примирением сторон (статья 76 УК РФ): обвиняемый возместил потерпевшей компании документально подтверждённый ущерб и заключил письменное соглашение с каждым из трёх потерпевших физических лиц. Уголовное преследование по части второй статьи 137 УК РФ прекращено до суда.

После того как стратегия защиты выработана на этапе предварительного следствия, важно не допустить ухудшения позиции в суде. Отказ от признания вины в сочетании с возмещением ущерба потерпевшим — наиболее сбалансированная тактика при наличии технических доказательств вины. Признание умысла без юридической необходимости нередко исключает возможность переквалификации.

Превентивный аудит системы обработки персональных данных занимает от двух до четырёх недель и стоит кратно меньше, чем защита по возбуждённому делу. На этапе следствия цена промедления — не деньги, а процессуальные возможности.

Нужен аудит системы защиты данных в компании?
Специалисты «Ветров. 49» проводят уголовно-правовой аудит: анализируем регламенты, журналы доступа и договорную документацию с позиции уголовных рисков. Право·300, более 1000 проектов в сфере уголовной защиты бизнеса.
Получить консультацию Telegram → WhatsApp →
+7 (983) 510-38-76 · конфиденциально
Направления практики по теме
📋 Чек-лист: 12 признаков уголовного риска по статье 137 УК РФ для вашей компании

Практический список для HR-директора, ИТ-руководителя и юриста: что проверить в системе обработки персональных данных прямо сейчас, чтобы исключить риск уголовного преследования сотрудников.

Напишите «137» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒
Q.01 Чем уголовная ответственность по статье 137 УК РФ отличается от административной по статье 13.11 КоАП РФ?
Административная ответственность по статье 13.11 КоАП РФ наступает за любое нарушение законодательства о персональных данных — без умысла навредить конкретному лицу, максимальный штраф для юридического лица составляет 500 000 рублей. Уголовная ответственность по статье 137 УК РФ требует двух дополнительных условий: незаконного сбора или распространения сведений о частной жизни конкретного человека и наличия прямого умысла. Для физических лиц — руководителей или сотрудников — это означает реальный риск лишения свободы на срок до двух лет по части первой и до четырёх лет по части второй (с использованием должностного положения). Ключевое разграничение: административный состав фиксирует процедурные нарушения оператора, уголовный — целенаправленное нарушение права конкретного гражданина на частную жизнь.
Q.02 Когда возможно условное осуждение по статье 137 УК РФ?
Условное осуждение по статье 137 УК РФ суд назначает при совокупности смягчающих обстоятельств: совершение деяния впервые, признание вины, возмещение вреда потерпевшему, положительная характеристика. По части первой (санкция до двух лет лишения свободы) условное наказание назначается примерно в 60–70% обвинительных приговоров, если отсутствует квалифицирующий признак использования должностного положения. По части второй шансы на условный срок снижаются, особенно если нарушение повлекло тяжкие последствия для потерпевшего — психологический вред, публичный скандал, утрату деловой репутации. Активная позиция защиты на этапе предварительного следствия — в частности, заключение соглашения о возмещении ущерба — существенно увеличивает вероятность условного наказания.
Q.03 Сколько времени занимает расследование уголовного дела по статье 137 УК РФ?
Расследование дел по статье 137 УК РФ занимает от двух до восьми месяцев в зависимости от объёма цифровой доказательной базы и числа потерпевших. Стандартный срок предварительного следствия — два месяца с момента возбуждения дела (статья 162 УПК РФ), однако при необходимости назначения компьютерно-технических экспертиз срок продлевается до шести месяцев. Если дело связано с утечкой базы данных в компании, следователь, как правило, назначает судебную экспертизу носителей информации, что добавляет ещё два-три месяца. Срок давности привлечения к уголовной ответственности по части первой статьи 137 УК РФ составляет два года, по части второй — шесть лет.
Q.04 Несёт ли работодатель уголовную ответственность за действия сотрудника, нарушившего персональные данные?
Работодатель как юридическое лицо не является субъектом уголовной ответственности — в России уголовная ответственность организаций не предусмотрена. Однако руководитель компании может быть привлечён по статье 137 части второй УК РФ, если следствие докажет, что он лично отдал указание раскрыть персональные данные либо не принял мер по пресечению систематических нарушений, о которых был осведомлён. Отдельно сотрудник, непосредственно раскрывший данные, несёт личную ответственность. Параллельно Роскомнадзор вправе привлечь организацию к административной ответственности по статье 13.11 КоАП РФ на сумму до 500 000 рублей — независимо от уголовного преследования физических лиц.
Q.05 Какой размер наказания грозит директору по статье 137 часть вторая УК РФ?
Директор или иное должностное лицо, использовавшее служебное положение для незаконного сбора или распространения персональных данных, подпадает под часть вторую статьи 137 УК РФ. Санкция предусматривает штраф от 100 000 до 300 000 рублей либо в размере дохода за один-два года, лишение права занимать должности на срок до пяти лет, принудительные работы или лишение свободы на срок до четырёх лет. Лишение права занимать руководящие должности — наиболее распространённое дополнительное наказание, которое фактически исключает возможность работы директором или главным бухгалтером на протяжении всего срока запрета.

Уголовное преследование по статье 137 УК РФ в корпоративном контексте строится на цифровых доказательствах — журналах доступа, метаданных файлов, переписке. Без своевременного вмешательства защитника следствие формирует картину обвинения, которую впоследствии крайне сложно оспорить. Превентивный аудит и правильная позиция в первые дни проверки — ключевые инструменты снижения риска.

«Ветров. 49» специализируется на уголовной защите бизнеса с 2017 года. Рейтинг Право·300, более 1000 проектов. Практика охватывает как превентивный аудит систем обработки данных, так и защиту на всех стадиях уголовного дела — от доследственной проверки до кассации.

Что делать сейчас?
Если в компании произошёл инцидент с персональными данными или уже начата проверка — каждый день без правильной позиции сужает процессуальные возможности. Право·300 · 1000+ проектов · конфиденциально.
Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →
+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00
Читать далее
🔍 Следственные действия
Обыск в офисе: права компании и порядок действий
Ксения Лебедева · 2026 · 12 мин
⚖️ Прочие составы
Коммерческая тайна и ст. 183 УК РФ: риски для бизнеса
Антон Соколов · 2026 · 10 мин
🛡️ Уголовный комплаенс
Уголовный комплаенс для IT-компаний: что проверить
Михаил Борисов · 2026 · 9 мин
Позвонить Telegram