⚖️ Прочие составы Аналитика

Уголовные риски при работе с персональными данными (152-ФЗ)

Нарушение режима персональных данных — это не только административный штраф по КоАП РФ. Статьи 137, 138 и 272 УК РФ предусматривают лишение свободы до 7 лет за умышленный сбор, распространение и неправомерный доступ к персональным данным. По состоянию на май 2026 года количество уголовных дел, возбуждаемых по итогам проверок Роскомнадзора, ежегодно растёт — особенно после поправок к КоАП в марте 2025 года, увеличивших административные штрафы до 18 млн рублей и повысивших внимание регулятора к системным нарушениям операторов данных.

Оцените уголовные риски вашей компании как оператора персональных данных — до того как это сделает следствие.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

Какие статьи УК РФ применяются при нарушениях 152-ФЗ?

Уголовная ответственность за нарушения в сфере персональных данных в России распределена по трём ключевым статьям УК РФ. Статья 137 («Нарушение неприкосновенности частной жизни») применяется при незаконном сборе или распространении сведений о частной жизни без согласия субъекта: санкция по части первой — штраф до 200 000 рублей или лишение свободы до двух лет; по части второй (служебное положение) — до четырёх лет. Статья 272 («Неправомерный доступ к компьютерной информации») охватывает взлом баз данных и несанкционированный доступ к хранилищам персональных данных: санкция по части третьей — до пяти лет, по части четвёртой (тяжкие последствия или организованная группа) — до семи лет.

Статья 138 УК РФ («Нарушение тайны переписки, телефонных переговоров») в контексте персональных данных применяется реже — преимущественно к случаям перехвата корпоративной переписки и утечки данных о переговорах сотрудников. Санкция по части первой — штраф до 80 000 рублей, по части второй (с использованием служебного положения) — лишение свободы до трёх лет.

✓ Важно

Составы статей 137 и 272 УК РФ не конкурируют — они могут применяться одновременно. Утечка базы данных клиентов, организованная сотрудником компании, квалифицируется по совокупности: ст. 137 ч. 2 + ст. 272 ч. 1 УК РФ. Это увеличивает максимальное наказание и снижает шансы на прекращение дела на досудебной стадии.

7 лет

Максимальный срок по ст. 272 ч. 4 УК РФ

18 млн ₽

Максимальный адм. штраф по КоАП РФ (с марта 2025)

4 года

Срок давности по ст. 137 ч. 2 УК РФ (ср. тяжесть)

6 лет

Срок давности по ст. 137 ч. 2 (служебное положение)

На практике следствие чаще всего квалифицирует действия по статье 137 УК РФ через призму 152-ФЗ: отсутствие согласия субъекта персональных данных, обработка специальных категорий данных (здоровье, биометрия) без законных оснований, передача данных третьим лицам без договора поручения — всё это создаёт доказательную базу для обвинения. При этом административное производство по КоАП РФ и уголовное дело ведутся параллельно: одно не исключает другое.

Как проверка Роскомнадзора превращается в уголовное дело?

Роскомнадзор (РКН) как регулятор в сфере персональных данных обладает полномочиями на плановые и внеплановые проверки операторов. По результатам проверки РКН составляет акт с выявленными нарушениями. Если в акте зафиксированы признаки умышленных действий — систематические нарушения требований локализации, передача данных за рубеж без уведомления, сокрытие инцидентов — материалы направляются в Следственный комитет РФ в порядке статьи 144 УПК РФ для проверки и принятия решения о возбуждении уголовного дела.

Параллельный канал возбуждения — жалоба субъекта персональных данных. Физическое лицо, обнаружившее, что его данные использовались без согласия или были переданы третьим лицам, вправе обратиться напрямую в СК РФ. Этот путь более быстрый: доследственная проверка по статье 145 УПК РФ занимает 30 суток, и по её итогам может быть сразу возбуждено уголовное дело без предварительной административной процедуры.

⚠ Типичная ошибка

Многие компании считают: «Мы заплатили штраф по КоАП — вопрос закрыт». Это не так. Уплата административного штрафа не прекращает уголовное преследование и не является обстоятельством, исключающим возбуждение дела. Следователь вправе возбудить дело по статье 137 УК РФ даже после вступившего в силу постановления по КоАП.

Третий триггер — утечка данных. С 1 сентября 2023 года операторы обязаны уведомлять РКН об инцидентах в течение 24 часов (предварительное уведомление) и 72 часов (детальный отчёт). Несвоевременное уведомление или сокрытие утечки само по себе квалифицируется как административное нарушение, но при масштабной утечке (свыше 1 млн записей) РКН, как правило, инициирует направление материалов в СК РФ — даже если уведомление поступило вовремя.

После направления материалов из РКН в СК РФ у компании есть, как правило, 30 суток доследственной проверки по статье 144 УПК РФ. В этот период возможны опросы сотрудников, запросы документов и ОРМ (оперативно-розыскные мероприятия). Активное участие защитника уже на этой стадии существенно снижает риск возбуждения уголовного дела.

Роскомнадзор направил запрос или начал проверку?

Доследственная проверка по уголовным составам в сфере персональных данных — это не административная процедура. Порядок взаимодействия с проверяющими, перечень документов и линия поведения сотрудников определяются до первого контакта со следствием.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кто в компании несёт личную уголовную ответственность?

Уголовная ответственность за нарушения в сфере персональных данных является строго персональной — юридическое лицо не может быть субъектом уголовного преследования по российскому праву. Следствие устанавливает конкретного физического лица, принявшего решение или допустившего нарушение. Практика показывает три основных профиля обвиняемых: собственник и директор, ИТ-директор (CISO), главный бухгалтер.

Собственник и генеральный директор несут ответственность по статье 137 части второй УК РФ при доказанности умысла: утвердили локальные акты, не соответствующие 152-ФЗ; знали об инциденте и не уведомили РКН; санкционировали передачу данных третьим лицам без договора поручения. Следствие изучает корпоративную переписку, приказы и протоколы совещаний.

ИТ-директор или системный администратор — наиболее уязвимая фигура по статье 272 УК РФ. Даже если сотрудник действовал по распоряжению руководства, факт предоставления несанкционированного доступа к базам данных образует самостоятельный состав. Суды квалифицируют по статье 272 действия лица, допустившего изменение, копирование или уничтожение охраняемой компьютерной информации.

Главный бухгалтер рискует оказаться в деле, если бухгалтерские базы данных (1С, ERP-системы) содержат избыточные персональные данные сотрудников или клиентов, переданные контрагентам без оснований. Дополнительный риск — аутсорсинг расчёта заработной платы без надлежащего договора поручения обработки данных по статье 6 152-ФЗ.

// Примечание

Статья 137 УК РФ не требует наступления материального ущерба в рублёвом выражении — достаточно причинения вреда правам и законным интересам гражданина. Это делает состав более «лёгким» для обвинения, чем, например, составы мошенничества, где ущерб должен быть точно исчислен.

Кейс 1 · 2024 · Финтех

Онлайн-МФО, Приволжский ФО, выручка 480 млн ₽

Триггер

Жалоба заёмщика в РКН и СК РФ на продажу его персональных данных коллекторскому агентству без согласия. База данных более 200 000 субъектов. СК РФ возбудил дело по ст. 137 ч. 2 УК РФ в отношении генерального директора и ИТ-директора.

Результат

Дело прекращено на стадии предварительного расследования по ст. 25.1 УПК РФ (судебный штраф) после полного возмещения вреда заявителям и внедрения системы управления персональными данными (СУПЕРД).

Как следствие доказывает умысел при нарушении 152-ФЗ?

Умысел — ключевой разграничивающий элемент между административным и уголовным составом в сфере персональных данных. Следователь доказывает умысел через совокупность обстоятельств, а не через единственный документ. На практике следствие опирается на четыре группы доказательств.

Первая группа — документарная. Следователь запрашивает журналы доступа к системам, содержащим персональные данные, политику безопасности, акты инструктажей сотрудников. Отсутствие утверждённой политики обработки персональных данных суды расценивают как свидетельство систематического пренебрежения требованиями 152-ФЗ.

Вторая группа — электронная переписка. В ходе обыска по статье 182 УПК РФ следователь изымает корпоративные компьютеры, смартфоны и носители информации. Переписка в мессенджерах, в которой обсуждалась передача данных клиентам или третьим лицам, становится прямым доказательством умысла.

Третья группа — показания сотрудников. Операторы, контролёры доступа, менеджеры по продажам — все они могут быть допрошены в качестве свидетелей. Отсутствие у сотрудников чёткого понимания правил обработки данных и инструкций на случай запросов от правоохранителей создаёт дополнительные риски для руководства.

Четвёртая группа — ИТ-криминалистика. При утечке данных через технические каналы следствие привлекает специалистов в области компьютерной криминалистики — для установления пути передачи данных, IP-адресов, временных меток. Суды, как правило, принимают такие заключения как допустимые доказательства.

⚠ Типичная ошибка

Директора нередко считают, что наличие согласий субъектов на обработку персональных данных полностью защищает от уголовного преследования. Это не так: если согласие получено без разъяснения цели обработки или использовалось для иных целей — это самостоятельное основание для возбуждения дела по статье 137 УК РФ.

Момент обыска в офисе или изъятия серверного оборудования — критическая точка в деле о персональных данных. В течение 48–72 часов после первых следственных действий формируется основной массив доказательств. Линия защиты, выстроенная после изъятия оборудования, существенно уже, чем та, что выстраивается до него.

Как снизить уголовные риски по 152-ФЗ до возбуждения дела?

Превентивные меры по снижению уголовных рисков в сфере персональных данных делятся на правовые, организационные и технические. Ключевая задача — создать доказательную базу добросовестности оператора: даже если инцидент произойдёт, документированные меры по предотвращению существенно снижают вероятность квалификации действий как умышленных.

Правовые меры. Актуализация политики обработки персональных данных с учётом поправок 2023–2025 годов, разработка договоров поручения обработки данных со всеми контрагентами (аутсорсинг, облачные провайдеры, маркетинговые агентства), пересмотр форм согласий субъектов. Согласие должно быть конкретным, информированным и отзывным по требованию субъекта (статья 9 152-ФЗ).

Организационные меры. Назначение ответственного за организацию обработки персональных данных (по статье 18.1 152-ФЗ), регулярные инструктажи сотрудников с фиксацией в журнале, порядок реагирования на инциденты с утечками. Особое внимание — к процедуре уведомления РКН в срок 24/72 часа: задержка при утечке трактуется как сокрытие инцидента.

✓ Важно

Роскомнадзор с 2024 года активно проверяет операторов, использующих сторонние рекламные пиксели (Meta, Google Analytics) и передающих через них персональные данные. Использование таких инструментов без надлежащей локализации данных на территории РФ образует состав нарушения ст. 18 152-ФЗ и может быть квалифицировано как умышленная передача данных за рубеж.

Что подготовить компании как оператору данных

Актуализировать политику обработки персональных данных (проверить соответствие поправкам 2025 года)
Заключить договоры поручения обработки данных со всеми подрядчиками и облачными провайдерами
Настроить систему логирования доступа к базам данных с персональными данными
Утвердить регламент реагирования на инциденты и уведомления РКН в срок 24/72 часа
Провести инструктаж сотрудников по порядку взаимодействия с запросами правоохранительных органов

Матрица уголовных рисков по роли в компании

Уголовный риск в сфере персональных данных неоднороден для разных должностных лиц одной компании. Следствие устанавливает конкретного субъекта исходя из полномочий, доступа к данным и документированных решений. Приведённая матрица отражает типичную картину по делам 2023–2025 годов.

Роль	Основной состав	Триггер риска	Санкция (максимум)
Собственник / генеральный директор	Ст. 137 ч. 2 УК РФ	Санкционированная передача данных третьим лицам без договора поручения	До 4 лет лишения свободы
ИТ-директор / сисадмин	Ст. 272 ч. 1–3 УК РФ	Предоставление несанкционированного доступа к БД	До 5 лет лишения свободы
Главный бухгалтер	Ст. 137 ч. 1 + ст. 272 ч. 1 УК РФ	Передача данных сотрудников на аутсорсинг без договора поручения	До 2 лет (совокупность)
Менеджер по продажам	Ст. 137 ч. 1 УК РФ	Передача клиентской базы конкурентам или третьим лицам	До 2 лет лишения свободы
Директор по маркетингу	Ст. 137 ч. 2 УК РФ	Использование данных без согласия для таргетинга	До 4 лет лишения свободы

Позиция Верховного суда РФ по статье 137 УК РФ (Пленум № 16 «О практике применения судами законодательства о неприкосновенности частной жизни») подчёркивает: распространением признаётся любая передача сведений хотя бы одному лицу без согласия субъекта — даже если эти сведения не стали публично известны. Это означает, что для состава достаточно единичного факта передачи данных.

Кейс 2 · 2025 · Ритейл / e-commerce

Маркетплейс-посредник, Центральный ФО, выручка 1,2 млрд ₽

Триггер

Утечка базы данных 3,4 млн покупателей через API-интеграцию с маркетинговым агентством. РКН выявил нарушение при плановой проверке, составил акт и направил материалы в СК РФ. Возбуждено дело по ст. 272 ч. 3 УК РФ в отношении ИТ-директора и по ст. 137 ч. 2 УК РФ в отношении CEO.

Результат

Уголовное преследование CEO прекращено по ст. 25.1 УПК РФ (судебный штраф 300 000 ₽) — доказана добросовестная политика безопасности и отсутствие умысла. В отношении ИТ-директора дело переквалифицировано с ч. 3 на ч. 1 ст. 272 УК РФ, назначен условный срок.

📋 Чек-лист уголовных рисков оператора персональных данных

25 контрольных точек по 152-ФЗ: правовые, организационные и технические меры. Отдельный раздел — что делать при получении запроса от РКН или СК РФ.

Напишите «152-ФЗ чек-лист» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🗂️

Компания, получившая предписание РКН или запрос от СК РФ в рамках доследственной проверки, находится на развилке: правильные действия в первые 72 часа определяют, будет ли возбуждено уголовное дело. На этом этапе доступны процессуальные инструменты, которые закрываются после возбуждения дела.

Направления практики по теме

Уголовно-правовой аудит бизнеса — оценка рисков до возбуждения дела
Защита по уголовному делу — представление интересов на следствии и в суде

Q.01 Какое наказание грозит за нарушения в сфере персональных данных по УК РФ в 2026 году?

По статье 137 части первой УК РФ за незаконный сбор или распространение персональных данных без согласия субъекта назначается штраф до 200 000 рублей либо лишение свободы до двух лет. Часть вторая той же статьи — использование служебного положения — предусматривает лишение свободы до четырёх лет с лишением права занимать должности. Неправомерный доступ к базам данных, содержащим персональные данные, квалифицируется по статье 272 УК РФ: санкция по части первой — до двух лет, по части третьей (при тяжких последствиях или организованной группой) — до семи лет лишения свободы. Для бизнеса критично, что уголовное преследование по статье 137 возможно даже при формальном соблюдении требований 152-ФЗ — если умысел установлен иными способами.

Q.02 Каков срок давности уголовного преследования за нарушения с персональными данными?

Срок давности по статье 137 части первой УК РФ составляет два года с момента совершения преступления — состав относится к категории небольшой тяжести. По части второй статьи 137 (с использованием служебного положения) — категория средней тяжести, срок давности шесть лет. По статье 272 части первой УК РФ (неправомерный доступ) — также два года; по частям третьей и четвёртой (тяжкие последствия, организованная группа) — десять лет. Для бизнеса это означает: инцидент с утечкой данных двух-трёхлетней давности всё ещё может стать основанием для возбуждения уголовного дела, если факт утечки стал известен правоохранителям недавно. Срок давности исчисляется с момента совершения деяния, а не с момента его обнаружения (статья 78 УК РФ).

Q.03 Можно ли прекратить уголовное дело по персональным данным до вынесения приговора?

Прекращение уголовного дела до приговора по составам статей 137 и 272 части первой УК РФ возможно по нескольким основаниям. Во-первых, статья 76 УК РФ допускает примирение с потерпевшим при условии впервые совершённого преступления небольшой или средней тяжести и возмещения вреда. Во-вторых, статья 76.2 УК РФ и статья 25.1 УПК РФ позволяют суду назначить судебный штраф вместо приговора — при тех же условиях. На практике по делам о персональных данных прекращение возможно в 40–60% случаев на стадии следствия при активной защите и полном возмещении ущерба субъектам данных. Важен момент обращения к защитнику: чем раньше после возбуждения дела, тем шире процессуальные возможности.

Q.04 Несёт ли директор компании личную уголовную ответственность за утечку данных сотрудников или клиентов?

Директор компании несёт личную уголовную ответственность по статье 137 части второй УК РФ, если утечка персональных данных произошла с использованием его служебного положения — то есть при наличии умысла или систематического бездействия в организации защиты данных. Санкция — лишение свободы до четырёх лет с запретом занимать должности до пяти лет. Дополнительно директор может быть привлечён по статье 293 УК РФ (халатность) при ущербе свыше 1,5 млн рублей. Следствие, как правило, устанавливает умысел через внутреннюю переписку, ИТ-журналы доступа и политику безопасности компании. Наличие утверждённой политики обработки персональных данных и инструктажей сотрудников существенно снижает риск уголовного преследования руководителя.

Q.05 Чем 152-ФЗ отличается от уголовной ответственности за персональные данные и как они соотносятся?

Федеральный закон № 152-ФЗ «О персональных данных» устанавливает административную ответственность оператора данных — через статьи 13.11–13.14 КоАП РФ: штрафы до 18 млн рублей за повторное нарушение с 1 марта 2025 года. Уголовная ответственность наступает по статьям 137, 138, 272 УК РФ — когда нарушение совершено умышленно и повлекло существенный вред охраняемым интересам конкретного физического лица. На практике Роскомнадзор фиксирует нарушения 152-ФЗ, составляет протоколы КоАП — и одновременно направляет материалы в Следственный комитет при наличии признаков умысла. Таким образом, административная и уголовная ответственность не исключают друг друга: компания платит штраф по КоАП, а директор или ИТ-сотрудник получает уголовное обвинение.

Уголовные риски при работе с персональными данными имеют конкретную правовую архитектуру: три статьи УК РФ, три канала возбуждения дел, три категории обвиняемых в одной компании. Административный штраф по КоАП не закрывает уголовный вопрос — а сроки давности по ряду составов достигают десяти лет. Превентивный аудит операционных процессов обработки персональных данных обходится в разы дешевле, чем защита по возбуждённому уголовному делу.

«Ветров. 49» специализируется на уголовной защите бизнеса с 2017 года. Рейтинг Право·300, более 1000 реализованных проектов — включая дела о защите операторов персональных данных, совмещённые с административными производствами РКН.

Что делать сейчас?

Проверка РКН, запрос от СК РФ или инцидент с утечкой данных — каждая из этих ситуаций требует разных действий в разные сроки. Право·300 · 1000+ проектов.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00