⚖️ Прочие составы Аналитика

Ст. 137 УК РФ: нарушение персональных данных в компании

Статья 137 УК РФ «Нарушение неприкосновенности частной жизни» криминализирует незаконное собирание или распространение сведений о частной жизни лица без его согласия. По состоянию на май 2026 года число возбуждённых дел по этой статье ежегодно превышает 2 500, при этом квалифицированный состав (часть 2) — с использованием служебного положения — применяется всё чаще именно в корпоративных ситуациях: утечки клиентских баз, передача HR-данных третьим лицам, доступ к переписке сотрудников. Материал разъясняет, кто рискует, как квалифицируется деяние и какие инструменты защиты реально работают.

Получите оценку уголовного риска по вашей ситуации — бесплатно и конфиденциально.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

Что именно криминализирует статья 137 УК РФ?

Статья 137 УК РФ запрещает два самостоятельных деяния: незаконное собирание сведений о частной жизни лица и их незаконное распространение — без согласия потерпевшего, совершённые из корыстной или иной личной заинтересованности, если это причинило вред правам и законным интересам гражданина. Оба деяния могут совершаться как в связке, так и раздельно. Для состава достаточно одного из них.

Понятие «сведения о частной жизни» в УК РФ прямо не раскрывается. Суды ориентируются на разъяснения Конституционного суда: это информация, которую лицо не намерено раскрывать неопределённому кругу лиц, — персональные данные, сведения о состоянии здоровья, семейные и имущественные обстоятельства, переписка, данные о местонахождении. Именно поэтому статья 137 пересекается с Федеральным законом № 152-ФЗ «О персональных данных»: закон № 152-ФЗ определяет режим обработки, а статья 137 УК РФ — уголовную ответственность за его нарушение с умыслом.

✓ Важно

Часть первая статьи 137 УК РФ — базовый состав, санкция до 2 лет лишения свободы. Часть вторая — квалифицированный: использование служебного положения, санкция до 4 лет. Часть третья — специальный состав, связанный с несовершеннолетними потерпевшими от преступлений, санкция до 5 лет.

Ключевой элемент объективной стороны — незаконность действия. Если сотрудник получил данные законно (в рамках трудовых обязанностей, с согласия субъекта), но затем передал их третьим лицам без оснований — это уже незаконное распространение. Корыстная заинтересованность означает стремление к материальной выгоде; «иная личная» — месть, конкурентная борьба, давление на контрагента.

Состав материальный: для оконченного преступления необходимо доказать причинение вреда правам потерпевшего. Вред может быть репутационным, имущественным, психологическим — суды принимают широкий спектр доказательств.

Кто в компании рискует быть привлечён по статье 137 УК РФ?

Субъект преступления по части первой статьи 137 — общий: любое физическое лицо, достигшее 16 лет. Субъект части второй — специальный: лицо, использующее служебное положение для доступа к персональным данным или их распространения. Именно эта часть составляет основной риск для корпоративного сектора.

На практике под часть вторую подпадают:

Руководители HR-подразделений — при передаче данных уволенных сотрудников конкурентам или коллекторам.
Системные администраторы и ИТ-специалисты — при копировании баз данных клиентов, журналов переписки, медицинских или финансовых записей.
Менеджеры по продажам — при уводе клиентской базы при увольнении (если база содержит персональные данные: Ф. И. О., телефоны, паспортные данные).
Главные бухгалтеры — при раскрытии сведений о заработной плате, налоговых вычетах, счетах конкретных физических лиц.
Генеральный директор — если давал прямые поручения на передачу данных либо лично участвовал в операции.

⚠ Типичная ошибка

Сотрудники ошибочно полагают, что наличие у них служебного доступа к базе данных автоматически означает право распоряжаться этими данными. Служебный доступ — это правомерное получение; незаконное распространение остаётся противоправным независимо от источника получения.

Три сценария риска:

Собственник ООО: риск минимален, если он не участвовал лично в передаче данных. Но при корпоративном конфликте — когда партнёр передаёт клиентскую базу противоборствующей стороне — статья 137 часто сопровождает ст. 183 УК РФ (незаконное получение и разглашение коммерческой тайны).
Наёмный директор: наибольший риск по части второй. Суды признают директора лицом, использующим служебное положение, даже если фактически передачу данных осуществлял подчинённый по его указанию.
Главный бухгалтер: специфический риск — разглашение данных о зарплатах, налоговых выплатах, банковских реквизитах физических лиц при взаимодействии с контрагентами или в ходе корпоративного конфликта.

Описанное разграничение субъектов — базовое. Конкретный риск зависит от того, какой именно доступ был у сотрудника, какие данные переданы и кому. Оценить ситуацию до возбуждения дела значительно проще и дешевле, чем после.

Кто в вашей компании под риском по статье 137 УК?

Проанализируем, кто имеет доступ к персональным данным и какие действия создают уголовный риск. Разработаем внутренний регламент или оценим ситуацию после инцидента.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Как следствие возбуждает и расследует дело по нарушению персональных данных?

Уголовные дела по статье 137 УК РФ в корпоративном контексте возбуждаются преимущественно по заявлению потерпевшего — физического лица (бывшего сотрудника, клиента, контрагента). Реже — по материалам Роскомнадзора, выявившего нарушение в ходе проверки. Следователь устанавливает: факт распространения, связь между субъектом и данными, умысел, причинённый вред.

Доказательственная база по таким делам стандартна и включает:

Журналы доступа к информационным системам (СУБД, CRM, 1С).
Электронную переписку и мессенджеры — изымаются при обыске или запрашиваются у операторов связи.
Свидетельские показания коллег, получателей данных, самого потерпевшего.
Трудовые договоры, должностные инструкции, соглашения о неразглашении — для установления объёма служебных полномочий.
Экспертизу в области компьютерной информации — для восстановления маршрута передачи файлов.

// Примечание

Дела по части первой статьи 137 подследственны дознавателям МВД РФ (статья 151 УПК РФ). По части второй — следователям МВД или Следственного комитета в зависимости от субъекта. Срок предварительного расследования — от 2 месяцев с возможностью продления.

Частая ошибка директора: давать объяснения по существу до получения правовой позиции защиты. На стадии доследственной проверки (статьи 144–145 УПК РФ) лицо ещё не является подозреваемым, но показания, данные на этом этапе, в дальнейшем используются обвинением. Право на отказ от дачи показаний по статье 51 Конституции РФ действует с первого контакта со следствием.

Многие недооценивают скорость, с которой следователь формирует доказательную базу по цифровым делам: запросы к облачным хранилищам, мессенджерам и корпоративным почтовым серверам исполняются операторами в течение 3–10 рабочих дней. К моменту первого допроса у следствия нередко уже есть полный массив переписки.

Типичные корпоративные ситуации: где статья 137 УК РФ применяется на практике

Анализ судебной практики по делам о нарушении персональных данных выявляет несколько устойчивых корпоративных паттернов. Большинство уголовных дел вырастает из одной из следующих ситуаций.

Увольнение с базой данных. Сотрудник при уходе копирует клиентскую базу — таблицы с именами, телефонами, историей покупок. Если база содержит персональные данные физических лиц, а не только юридических лиц-контрагентов, — это потенциальный состав по части первой или второй статьи 137 УК РФ. Суды квалифицируют подобные действия как незаконное собирание (если сотрудник делал копии в нарушение регламента доступа) или незаконное распространение (если передал базу конкуренту).

Корпоративный конфликт участников. Один из совладельцев ООО передаёт данные сотрудников или клиентов — медицинские карты, трудовые договоры, сведения о доходах — партнёру по переговорам или СМИ в качестве инструмента давления. Здесь иная личная заинтересованность выражена максимально явно.

Служба безопасности и слежка за сотрудниками. Руководство поручает службе безопасности собирать сведения о личной жизни работников — переписку в личных мессенджерах, данные геолокации, медицинские сведения. Даже если корпоративные устройства формально принадлежат компании, сбор сведений о частной жизни без согласия работника криминализирован.

⚠ Типичная ошибка

Компании ошибочно полагают, что использование корпоративной почты снимает вопрос о неприкосновенности частной жизни сотрудника. Конституционный суд в ряде позиций подтвердил: переписка работника в корпоративном канале может содержать сведения о частной жизни, защищённые статьёй 23 Конституции РФ.

Кейс 1 · 2024 · Торговля / ритейл

Руководитель отдела продаж, Уральский федеральный округ, выручка компании 280 млн ₽

Триггер

При увольнении скопировал CRM-базу с данными 14 000 физических лиц (Ф. И. О., телефоны, история покупок) и передал новому работодателю-конкуренту. Работодатель подал заявление после обнаружения факта через анализ журналов доступа.

Результат

Дело прекращено на стадии предварительного расследования в связи с примирением сторон (статья 25 УПК РФ): выплачена компенсация потерпевшим-физлицам, достигнуто соглашение с компанией о возмещении убытков. Уголовное преследование прекращено без судимости.

Матрица рисков по типовым ситуациям в компании:

Ситуация	Применимая часть ст. 137	Санкция (max)	Инструмент защиты
Увод клиентской базы при увольнении	Ч. 1 или ч. 2	2–4 года	Примирение, возмещение вреда
Слежка за сотрудниками без согласия	Ч. 2	4 года	Отсутствие умысла, регламент
Передача HR-данных третьим лицам	Ч. 2	4 года	Примирение, деятельное раскаяние
Раскрытие данных о зарплате конкурентам	Ч. 1	2 года	Истечение срока давности, примирение
Корпоративный конфликт + слив данных в СМИ	Ч. 2	4 года	Переквалификация, оспаривание умысла

Как защититься от уголовного преследования по статье 137 УК РФ?

Защита по статье 137 УК РФ строится на трёх уровнях: превентивный комплаенс до инцидента, тактика при доследственной проверке и процессуальная стратегия после возбуждения дела. Чем раньше подключается защита, тем шире набор инструментов.

Превентивные меры. На уровне компании — ключевые элементы, снижающие риск возбуждения дела:

Политика обработки персональных данных с чёткими ролями доступа (DLP-системы фиксируют факт копирования).
Соглашения о неразглашении с указанием конкретного перечня защищаемых сведений и ответственности.
Журналы доступа с регулярным аудитом — снимают презумпцию осведомлённости руководства о нарушении.
Инструктаж сотрудников под подпись о правомерных пределах использования корпоративных данных.

✓ Важно

Наличие задокументированного внутреннего регламента обработки персональных данных существенно осложняет доказывание умысла — ключевого элемента состава статьи 137 УК РФ. Следствию придётся объяснить, почему сотрудник, прошедший инструктаж, «не осознавал» незаконность своих действий.

Тактика на стадии проверки. При получении повестки на допрос или при появлении сотрудников полиции в офисе — немедленное обращение за юридической помощью, отказ от дачи объяснений до согласования позиции. Это не уклонение от следствия, а реализация конституционного права.

Процессуальная стратегия. После возбуждения дела — несколько векторов:

Оспаривание умысла: если сотрудник действовал в рамках полученных полномочий или по указанию руководства, не осознавая незаконности — умысел не доказан.
Примирение с потерпевшим (статья 25 УПК РФ, статья 76 УК РФ): реалистично по частям первой и второй при первом нарушении и компенсации вреда.
Переквалификация: при отсутствии признаков служебного использования — с части второй на часть первую, что меняет санкцию и категорию тяжести.
Истечение срока давности: по части первой — 6 лет, по части второй — также 6 лет (преступление средней тяжести).

Кейс 2 · 2025 · Медицинские услуги

Главный врач частной клиники, Центральный федеральный округ, выручка 95 млн ₽

Триггер

Сотрудник регистратуры по указанию руководства передал медицинские карты пациентов (диагнозы, данные о лечении) страховой компании без согласия пациентов. Один из пациентов обратился с заявлением в полицию после получения отказа в страховке.

Результат

Переквалификация с части второй на часть первую статьи 137 УК РФ: доказана отсутствие личной заинтересованности руководителя — действовал в интересах организации, а не из корыстных побуждений. Назначен штраф 200 000 рублей без лишения свободы.

Экономика решения: уголовно-правовой аудит политики обработки персональных данных обходится компании в фиксированную сумму. Защита по возбуждённому делу — на порядок дороже и не гарантирует того же результата, который превентивный комплаенс делал бы невозможным.

📋 Регламент защиты персональных данных: чек-лист для компании

Документ включает: матрицу ролей доступа, шаблон соглашения о неразглашении, перечень действий при инциденте и алгоритм взаимодействия с Роскомнадзором.

Напишите «Регламент ПД» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒

Направления практики по теме

Защита по уголовному делу — сопровождение с момента проверки до приговора
Уголовно-правовой аудит — оценка рисков до возбуждения дела

Частые вопросы

Q.01 Какое наказание грозит по статье 137 УК РФ в 2025–2026 году?

По части первой статьи 137 УК РФ максимальное наказание — лишение свободы сроком до двух лет с лишением права занимать определённые должности на тот же срок. Часть вторая, применяемая к лицам, использовавшим своё служебное положение (руководители, сотрудники HR, ИТ-подразделений), предусматривает лишение свободы до четырёх лет. Часть третья — специальный состав, связанный с распространением сведений о несовершеннолетнем, пострадавшем от преступления: санкция до пяти лет. Помимо лишения свободы закон предусматривает альтернативные наказания — штраф от 200 000 до 350 000 рублей, обязательные работы, арест. Для должностных лиц компаний наиболее вероятна часть вторая: она образуется при доказанности использования доступа к базам данных, полученного в силу трудовых обязанностей.

Q.02 Каков срок давности привлечения к уголовной ответственности по статье 137 УК РФ?

Статья 137 УК РФ в частях первой и второй относится к преступлениям средней тяжести. Срок давности уголовного преследования по статье 78 УК РФ для таких составов составляет шесть лет с момента совершения деяния. Часть третья — тяжкое преступление (санкция до пяти лет), срок давности — десять лет. Момент начала течения срока — дата незаконного распространения или сбора персональных данных, а не дата обнаружения нарушения потерпевшим. Для бизнеса это означает: утечка клиентской базы, произошедшая в 2020 году, теоретически может стать основанием для возбуждения дела вплоть до 2026 года включительно.

Q.03 Можно ли прекратить уголовное дело по статье 137 УК РФ до вынесения приговора?

Прекращение уголовного дела по статье 137 части первой и второй УК РФ до вынесения приговора возможно по нескольким основаниям. Первое — примирение с потерпевшим по статье 25 Уголовно-процессуального кодекса в сочетании со статьёй 76 УК РФ: применяется при совершении деяния впервые, при возмещении вреда. Второе — деятельное раскаяние по статье 28 Уголовно-процессуального кодекса. Третье — истечение срока давности по статье 78 УК РФ. На практике примирение — наиболее реалистичный путь: потерпевший в корпоративных делах по статье 137 чаще всего является физическим лицом (работник, клиент), готовым к компромиссу при условии компенсации репутационного и морального вреда. Важно начать переговоры до стадии судебного разбирательства: суды реже прекращают дела на этом этапе, чем следствие.

Q.04 Кто несёт ответственность за утечку персональных данных в компании — директор или рядовой сотрудник?

Уголовную ответственность по статье 137 УК РФ несёт конкретное физическое лицо, совершившее незаконное собирание или распространение персональных данных. Часть вторая статьи 137 применяется к лицам, использовавшим служебное положение — то есть к тем, у кого был правомерный доступ к данным в силу должностных обязанностей: менеджеры по персоналу, операторы баз данных, системные администраторы, руководители подразделений. Директор привлекается, если доказан его личный умысел на передачу данных либо он давал соответствующее поручение. Организация как юридическое лицо к уголовной ответственности не привлекается, однако несёт административную ответственность по КоАП РФ (статья 13.11) параллельно с уголовным преследованием конкретного сотрудника.

Q.05 Чем статья 137 УК РФ отличается от административной ответственности по статье 13.11 КоАП РФ?

Административная ответственность по статье 13.11 Кодекса об административных правонарушениях наступает за нарушения порядка обработки персональных данных — отсутствие согласия, несоблюдение сроков хранения, непринятие мер защиты. Максимальный штраф для юридического лица по этой статье — 500 000 рублей. Уголовная ответственность по статье 137 УК РФ возникает при наличии умысла на незаконное собирание или распространение сведений о частной жизни, причинивших вред правам и законным интересам гражданина. Ключевые разграничивающие признаки: умысел, конкретный потерпевший и причинённый вред. На практике одно событие — утечка базы данных клиентов — может одновременно влечь административную ответственность организации и уголовное преследование конкретного сотрудника.

Статья 137 УК РФ в корпоративном контексте остаётся недооценённым риском: большинство компаний выстраивают защиту от административных санкций Роскомнадзора, но не учитывают уголовную составляющую. Между тем именно часть вторая — использование служебного положения — формирует личный риск для руководителя и ключевых сотрудников, который не страхуется и не делегируется.

«Ветров. 49» — юридический бутик с рейтингом Право·300 с 2017 года и более 1 000 проектов в области уголовной защиты бизнеса. Анализируем уголовный риск по конкретной ситуации: до возбуждения дела, на стадии проверки и в ходе расследования.

Что делать сейчас?

Уголовный риск по статье 137 УК РФ возникает не в момент возбуждения дела, а в момент инцидента с данными. Право·300 · 1 000+ проектов.

Стадия I · Думаю Читать по своей ситуации Проверка / Обыск / Допрос → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00