⚖️ Прочие составы Аналитика

Ст. 137 УК РФ: нарушение персональных данных в компании (6-й выпуск)

Статья 137 УК РФ устанавливает уголовную ответственность за незаконный сбор или распространение сведений о частной жизни лица без его согласия — в том числе персональных данных сотрудников и клиентов компании. По состоянию на май 2026 года ежегодно возбуждается более 1 200 уголовных дел по этой статье; значительная часть касается корпоративной среды. Для директора, кадровика или IT-администратора разница между административным штрафом и реальным сроком определяется умыслом и должностным положением.

Оцените уголовные риски для вашей компании — до того, как этим займётся следователь.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

Что является составом преступления по статье 137 УК РФ?

Статья 137 УК РФ защищает конституционное право на неприкосновенность частной жизни (статья 23 Конституции РФ). Преступление образует умышленный незаконный сбор сведений о частной жизни лица без его согласия либо их распространение публично или в СМИ. Под «частной жизнью» суды понимают персональные данные в смысле Федерального закона № 152-ФЗ — сведения о состоянии здоровья, семейном положении, доходах, переписке, биометрические данные.

Объективная сторона состоит из двух самостоятельных деяний: сбор (получение любым способом без согласия) и распространение (передача третьим лицам, публикация). Достаточно одного из них. Субъективная сторона — только прямой умысел: виновный осознаёт незаконность, желает наступления результата. Неосторожная утечка (например, ошибочная рассылка) уголовного состава не образует — здесь применяется административная ответственность.

✓ Важно

Предмет преступления — сведения о частной жизни, а не любые персональные данные. ФИО сотрудника в открытом приказе не охраняется статьёй 137 УК РФ. Охраняются: сведения о болезнях, долговых обязательствах, переписке, сексуальной ориентации, религиозных убеждениях.

Часть первая — базовый состав, санкция до двух лет лишения свободы. Часть вторая применяется при использовании служебного положения: директор, кадровик, системный администратор, получившие доступ к данным именно в силу должности. Санкция — до четырёх лет. Часть третья — специальный состав: распространение сведений о несовершеннолетних, пострадавших по уголовному делу, — до пяти лет лишения свободы.

2 года

макс. санкция ч. 1 ст. 137 УК РФ

4 года

санкция при использовании служебного положения (ч. 2)

6 млн ₽

макс. административный штраф для юрлица (ст. 13.11 КоАП РФ)

6 лет

срок давности по ч. 2 (средняя тяжесть, ст. 78 УПК РФ)

Чем уголовная ответственность за нарушение персональных данных отличается от административной?

Уголовная ответственность по статье 137 УК РФ и административная по статье 13.11 КоАП РФ защищают смежные интересы, но применяются к разным субъектам и при разных обстоятельствах. Административный состав — нарушение порядка обработки персональных данных: отсутствие согласия субъекта, нарушение сроков хранения, передача данных оператору без договора. Уголовный — умышленное распространение сведений о частной жизни конкретного человека без его согласия с осознанием незаконности.

Принципиальное различие — в субъекте ответственности. Административный штраф по статье 13.11 КоАП РФ назначается юридическому лицу (до 6 млн рублей при повторном нарушении с 2024 года). Уголовное преследование по статье 137 УК РФ — физическому лицу: директору, кадровику, IT-администратору. Оба состава применяются одновременно: компания платит административный штраф, её сотрудник становится фигурантом уголовного дела.

⚠ Типичная ошибка

Директора полагают, что уплата административного штрафа закрывает все вопросы. Это не так: Роскомнадзор фиксирует нарушение, материалы могут быть переданы в СК РФ при наличии признаков умысла. Административное производство и уголовное идут параллельно.

С 2023 года штрафы по КоАП за нарушения в сфере персональных данных существенно возросли. Поправки, вступившие в силу в 2024 году, ввели оборотные штрафы за утечку данных большого объёма — до 3% от годовой выручки компании. Это повышает стимул для следственных органов возбуждать уголовные дела параллельно с административными: крупная утечка теперь однозначно привлекает внимание как Роскомнадзора, так и МВД. Подробнее о смежных рисках при налоговых проверках — в материале «Налоговая проверка: что делать».

Граница между административным нарушением и уголовным составом нередко определяется на этапе доследственной проверки. Позиция, занятая сотрудниками компании в первые часы после запроса правоохранительных органов, во многом предопределяет исход.

Пришёл запрос от Роскомнадзора или полиции?

Доследственная проверка по статье 137 УК РФ — это стадия, на которой ещё возможно не допустить возбуждения дела. После предъявления обвинения опций становится значительно меньше. «Ветров. 49» специализируется на сопровождении с первого контакта правоохранителей.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кто в компании рискует стать фигурантом дела по статье 137 УК РФ?

Уголовный риск по статье 137 УК РФ в корпоративной среде распределён неравномерно: часть вторая применяется только к лицам, использующим служебное положение, что на практике означает три категории сотрудников. Конкретный субъект определяется тем, кто принял решение о передаче данных, имел к ним законный служебный доступ и осознавал незаконность своих действий.

Директор и владелец бизнеса. Риск возникает при санкционировании передачи персональных данных сотрудников или клиентов третьим лицам — в том числе банкам, партнёрам, коллекторам — без надлежащего правового основания. Частая ошибка: руководитель передаёт базу данных клиентов новому партнёру при реструктуризации бизнеса, считая это «рабочим вопросом». Если клиенты не давали согласия на такую передачу, а среди данных есть сведения о состоянии здоровья или финансовом положении, — состав части второй статьи 137 УК РФ налицо.

Кадровик и HR-специалист. Передача трудовых книжек, справок о доходах, сведений о состоянии здоровья сотрудника третьим лицам без письменного согласия работника — типичный сценарий. Запросы от судебных приставов или банков исполнять обязательно; запросы от «знакомых» директора, адвокатов другой стороны в споре или от частных лиц — нет. На практике кадровики нередко выдают справки по устному указанию руководства, не проверяя законность основания.

IT-администратор и системный администратор. Выгрузка клиентской базы при увольнении, предоставление доступа к CRM третьим лицам, копирование персональных данных на внешние носители — всё это при наличии умысла образует состав части второй статьи 137 УК РФ. Суды квалифицируют подобные действия как «использование служебного положения», даже если IT-специалист действовал по указанию директора: соисполнительство не освобождает от ответственности.

// Примечание

При наличии признаков несанкционированного доступа к компьютерной информации (взлом, перехват) деяние может быть дополнительно квалифицировано по статье 272 УК РФ. Совокупность статей 137 и 272 УК РФ — не редкость в делах против IT-специалистов.

Что подготовить сотрудникам, работающим с персональными данными:

Локальный акт о порядке обработки персональных данных с перечнем лиц, имеющих доступ
Журнал запросов на предоставление данных третьим лицам с указанием правового основания
Форма согласия субъекта персональных данных, охватывающая конкретные цели передачи
Регламент действий сотрудника при получении запроса от правоохранительных органов

Кейс 1 · 2024 · Розничная торговля · Сибирский ФО

Директор торговой сети, выручка 380 млн ₽

Триггер

По заявлению уволенного сотрудника возбуждено дело по части 2 статьи 137 УК РФ: директор передал базу данных работников (включая сведения о медицинских противопоказаниях) новому подрядчику по аутсорсингу кадрового учёта без согласия субъектов данных.

Результат

Дело прекращено на стадии предварительного следствия за отсутствием состава преступления: защита доказала, что передача данных осуществлялась в рамках исполнения трудовых обязательств в соответствии с договором на обработку данных — правовое основание имелось, умысел на незаконное распространение отсутствовал.

Как складывается судебная практика по статье 137 УК РФ в 2024–2026 годах?

По данным Судебного департамента при Верховном суде РФ, ежегодно по статье 137 УК РФ осуждается от 150 до 250 человек, однако реальное число возбуждённых дел значительно выше — большинство прекращается на досудебном этапе либо завершается примирением сторон. Доля обвинительных приговоров среди дел, дошедших до суда, превышает 85%, что соответствует общей тенденции по уголовным делам в России.

Характерная черта корпоративных дел по части второй статьи 137 УК РФ — возбуждение на волне трудовых конфликтов. По наблюдениям из практики, значительная часть заявлений поступает от уволенных сотрудников, бывших деловых партнёров или конкурентов, располагающих сведениями о незаконных передачах данных. Следствие использует корпоративный конфликт как точку входа для широкой доследственной проверки, нередко совмещая её с обысками в офисе.

✓ Важно

Верховный суд РФ в Обзоре судебной практики № 1 (2018) указал: статья 137 УК РФ применяется только при незаконном распространении сведений о частной жизни, а не любой конфиденциальной информации. Данные о хозяйственной деятельности компании под статью не подпадают.

Тенденция 2024–2026 годов: увеличение числа дел, связанных с утечками клиентских баз данных. Рост оборотных штрафов по КоАП создал для потерпевших (клиентов компаний) стимул подавать уголовные заявления в отношении конкретных сотрудников, ответственных за утечку. Параллельно Роскомнадзор активнее направляет материалы проверок в МВД при выявлении признаков умысла. Смежные риски при работе с персональными данными в контексте налоговых и корпоративных дел разобраны в материале «Составы преступлений в сфере бизнеса».

Особенность квалификации в корпоративных делах: суды устанавливают «использование служебного положения» расширительно. Достаточно, чтобы виновный имел доступ к данным в силу должности — не требуется, чтобы он официально был назначен оператором данных. IT-специалист, администрирующий CRM, признаётся субъектом части второй, даже если в его должностной инструкции нет упоминания персональных данных.

Как защититься: превентивные меры и стратегия при возбуждённом деле?

Защита по статье 137 УК РФ строится на двух уровнях: превентивном (до возбуждения дела) и процессуальном (после). Превентивный уровень значительно дешевле и эффективнее: устранение условий для обвинения обходится в разы меньше, чем защита на стадии следствия или в суде. Центральный элемент превентивной защиты — документальное подтверждение законного основания каждой операции с персональными данными.

На стадии доследственной проверки критически важно установить, какие именно сведения квалифицируются следствием как «частная жизнь». Не все персональные данные охраняются статьёй 137 УК РФ — только те, что относятся к частной жизни лица. Защита нередко строится на доказательстве того, что переданные сведения не являлись сведениями о частной жизни в уголовно-правовом смысле, либо что согласие субъекта имелось в иной форме (например, в условиях пользовательского соглашения).

Три сценария в зависимости от статуса в компании:

Субъект	Типичный риск	Инструмент защиты	Срок реакции
Собственник / директор	Санкция передачи базы клиентов без согласия	Доказательство законного основания: договор поручения, согласие в оферте	До возбуждения дела
Главный бухгалтер / кадровик	Передача справок о доходах по устному указанию	Письменный приказ руководства как основание; отказ без письменного поручения	Немедленно при запросе
IT-администратор	Выгрузка БД при увольнении / доступ третьих лиц	Журнал доступа, разграничение прав, протокол уничтожения данных при увольнении	Постоянный режим

⚠ Типичная ошибка

При первом опросе следователем сотрудники нередко дают объяснения «как есть», полагая, что честность защитит. На практике объяснения, данные без юриста, становятся основным доказательством умысла в обвинительном заключении. Право хранить молчание гарантировано статьёй 51 Конституции РФ.

При уже возбуждённом деле центральные направления защиты: оспаривание наличия умысла (неосторожная утечка — не уголовный состав); доказательство законного основания передачи данных; установление отсутствия предмета преступления (переданные сведения не относились к «частной жизни»). По части первой статьи 137 УК РФ возможно прекращение дела за примирением сторон (статья 76 УК РФ) при возмещении вреда потерпевшему. Это наиболее быстрый путь завершить дело без судимости.

Подробнее о тактике при обыске в офисе и допросе сотрудников читайте в разделе «Аналитика» — следственные действия.

Кейс 2 · 2025 · IT-компания · Северо-Западный ФО

Системный администратор, штат 80 человек

Триггер

Возбуждено дело по части 2 статьи 137 УК РФ: при увольнении IT-специалист скопировал клиентскую базу компании на личный носитель и передал её конкуренту. База содержала паспортные данные и сведения о платёжном поведении клиентов физических лиц.

Результат

Переквалификация с части 2 на часть 1 статьи 137 УК РФ: защита доказала, что значительная часть переданных сведений не составляла «частную жизнь» в уголовно-правовом смысле, а относилась к деловой активности клиентов. Итог — условный срок вместо реального лишения свободы; дополнительное обвинение по статье 272 УК РФ снято.

📋 Регламент компании: защита персональных данных от уголовного риска

Чек-лист из 12 пунктов: что документировать, кому давать доступ и как реагировать на запросы правоохранительных органов.

Напишите «137 регламент» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒

Направления практики по теме

Защита по уголовному делу — сопровождение с доследственной проверки до суда
Уголовно-правовой аудит — превентивный анализ рисков по персональным данным

Q.01 Какое наказание грозит по статье 137 УК РФ в 2025–2026 году?

По части первой статьи 137 УК РФ физическому лицу грозит штраф до двухсот тысяч рублей, либо обязательные работы до трёхсот шестидесяти часов, либо лишение свободы до двух лет. Часть вторая применяется при использовании служебного положения и предусматривает штраф от ста тысяч до трёхсот тысяч рублей или лишение свободы до четырёх лет с лишением права занимать определённые должности. Часть третья — за распространение данных о несовершеннолетних потерпевших по уголовному делу — до пяти лет лишения свободы. Для руководителей компаний критична часть вторая: директор, санкционировавший передачу персональных данных сотрудников конкурентам или третьим лицам с использованием своего положения, рискует реальным сроком до четырёх лет.

Q.02 Каков срок давности по статье 137 УК РФ?

Срок давности привлечения к уголовной ответственности определяется категорией преступления по статье 78 УПК РФ. Часть первая статьи 137 УК РФ относится к преступлениям небольшой тяжести — срок давности составляет два года с момента совершения. Часть вторая — преступление средней тяжести, срок давности — шесть лет. Часть третья — тяжкое преступление, давность — десять лет. На практике важно учитывать: при длящемся нарушении (например, персональные данные продолжают храниться и передаваться) срок начинает течь с момента прекращения противоправной деятельности, что нередко сдвигает точку отсчёта в пользу следствия.

Q.03 Можно ли прекратить уголовное дело по статье 137 УК РФ до вынесения приговора?

Прекращение уголовного дела по статье 137 УК РФ до приговора возможно по нескольким основаниям. Часть первая — преступление небольшой тяжести: дело прекращается за примирением сторон (статья 76 УК РФ) при возмещении ущерба и согласии потерпевшего, а также в связи с деятельным раскаянием (статья 75 УК РФ). Часть вторая допускает прекращение только при декриминализации или истечении срока давности. На практике ключевым инструментом защиты остаётся доказательство отсутствия умысла на нарушение неприкосновенности частной жизни: если передача данных происходила в рамках законного основания (договор, согласие субъекта, исполнение закона), состав преступления отсутствует вне зависимости от формальных нарушений.

Q.04 Чем статья 137 УК РФ отличается от административной ответственности за персональные данные?

Административная ответственность за нарушение законодательства о персональных данных предусмотрена статьёй 13.11 КоАП РФ и применяется к юридическим лицам: штраф достигает шести миллионов рублей при повторном нарушении. Уголовная ответственность по статье 137 УК РФ — персональная, к должностным и физическим лицам. Ключевое разграничение: административный состав — нарушение порядка обработки (отсутствие согласия, несоблюдение сроков хранения), уголовный — незаконный сбор или распространение сведений о частной жизни лица без его согласия, то есть умышленное деяние с конкретным субъектом-пострадавшим. Оба состава могут применяться одновременно: компания получает административный штраф, директор — уголовное преследование.

Q.05 Когда сотрудник отдела кадров или IT-специалист становится фигурантом дела по статье 137 УК РФ?

Сотрудник отдела кадров или IT-специалист привлекается по статье 137 УК РФ при доказанном умышленном распространении персональных данных без согласия субъекта. Типичные сценарии: передача трудовых книжек или справок о доходах третьим лицам по запросу без основания; выгрузка клиентской базы при увольнении; предоставление данных сотрудников конкурентам. Должностное положение кадровика или администратора базы данных переводит деяние в часть вторую статьи 137 УК РФ с санкцией до четырёх лет. Разграничение с частью первой критично для квалификации: суды учитывают, имел ли виновный доступ к данным по роду службы или получил его самостоятельно.

Уголовная ответственность по статье 137 УК РФ в корпоративном контексте — не абстрактный риск: возбуждение дела против директора или ключевого сотрудника компании нередко становится инструментом в корпоративном конфликте или следствием утечки данных, на которую компания не обратила должного внимания. Превентивный аудит занимает один-два рабочих дня и выявляет конкретные уязвимые точки в процессах обработки данных.

«Ветров. 49» входит в рейтинг Право·300 с 2017 года, реализовал свыше 1 000 проектов в сфере уголовной защиты бизнеса. По делам, связанным с персональными данными и информационными составами, практика включает сопровождение на стадии доследственной проверки, защиту при обысках и опросах, а также уголовно-правовой аудит процессов хранения и передачи данных.

Что делать сейчас?

Если в компании уже началась проверка или поступил запрос от правоохранительных органов — каждый день без юридического сопровождения сужает процессуальные возможности защиты. Право·300 · 1 000+ проектов.

Стадия I · Думаю Читать по своей ситуации Проверка / Обыск / Допрос → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00