🗂 Прочие составы Аналитика

Уголовные риски при работе с персональными данными (152-ФЗ)

Нарушения в сфере персональных данных влекут уголовную ответственность по статье 137 УК РФ с санкцией до четырёх лет лишения свободы при использовании служебного положения — это не административный штраф. По состоянию на май 2026 года число уголовных дел, связанных с утечками баз данных, увеличилось в три раза относительно 2022 года. Для директора, ИТ-директора и главного администратора баз данных наступление уголовной ответственности зависит от конкретного умысла и организационных мер, принятых в компании.

Оценим уголовные риски вашей системы обработки персональных данных до того, как это сделает следователь.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

Почему 152-ФЗ превратился в источник уголовных рисков для бизнеса

Нарушения в сфере персональных данных до 2019 года рассматривались преимущественно как административный вопрос. Поправки к Федеральному закону № 152-ФЗ «О персональных данных» и параллельное ужесточение санкций статьи 13.11 КоАП РФ сдвинули риски вверх по шкале серьёзности. Сегодня следствие применяет статью 137 УК РФ к случаям, которые пять лет назад закрывались предписанием Роскомнадзора.

Ключевой перелом — масштабные утечки данных 2022–2024 годов. По данным МВД РФ, число возбуждённых дел по статьям, связанным с незаконным оборотом персональных данных, в 2024 году превысило 1 200 в год против 380 в 2021 году. Следственный комитет и МВД активно применяют совокупность составов: статью 137 УК РФ в связке со статьями 272 и 183.

Для бизнеса это означает следующее: утечка клиентской базы — это не только репутационный урон и штраф. Это потенциальное уголовное дело в отношении конкретного физического лица — директора, системного администратора, DBA или менеджера по продажам, передавшего список клиентов конкуренту.

✓ Важно

С 1 сентября 2024 года вступили в силу поправки к 152-ФЗ, обязывающие операторов уведомлять Роскомнадзор об утечках в течение 24 часов. Неуведомление фиксируется как отдельное нарушение и используется следствием как доказательство системного пренебрежения требованиями закона.

Какие статьи УК РФ применяются при нарушениях 152-ФЗ в 2026 году?

Уголовная ответственность за нарушения в сфере персональных данных охватывает три основных состава Уголовного кодекса. Статья 137 УК РФ (нарушение неприкосновенности частной жизни) — базовый состав: санкция по части 1 — до двух лет лишения свободы, по части 2 с использованием служебного положения — до четырёх лет. Статья 272 УК РФ (неправомерный доступ к компьютерной информации) применяется, когда утечка сопровождалась взломом или несанкционированным копированием баз данных. Санкция по части 3 — до четырёх лет.

Статья УК РФ	Состав	Санкция (максимум)	Квалифицирующий признак
Ст. 137, ч. 1	Незаконный сбор / распространение сведений о частной жизни	2 года л/с	Умысел + нарушение согласия
Ст. 137, ч. 2	То же с использованием служебного положения	4 года л/с	Должностной доступ
Ст. 272, ч. 1	Неправомерный доступ к охраняемой компьютерной информации	2 года л/с	Копирование / блокировка
Ст. 272, ч. 3	То же группой лиц или из корыстных побуждений	4 года л/с	Группа / корысть
Ст. 183, ч. 2	Незаконное использование сведений коммерческой тайны	3 года л/с	Использование / разглашение
Ст. 183, ч. 3	То же с тяжкими последствиями	5 лет л/с	Тяжкие последствия

Административная ответственность по статье 13.11 КоАП РФ не исключает уголовной — они применяются к разным субъектам. Штраф до 500 000 рублей получает организация-оператор. Уголовное дело возбуждается в отношении физического лица, чьё конкретное действие образовало состав. На практике следствие возбуждает административное производство как первичное, собирает доказательную базу, а затем материалы передаются в уголовный суд.

⚠ Типичная ошибка

Руководители компаний полагают, что уплата административного штрафа закрывает вопрос. Административный штраф уплачивает юридическое лицо. Уголовное дело возбуждается в отношении конкретного физического лица — и уплата штрафа организацией не является основанием для прекращения уголовного преследования сотрудника.

Граница между административным делом и уголовным нередко определяется на стадии доследственной проверки — до возбуждения дела. Именно в этот период наиболее эффективна работа защиты.

Получили запрос от Роскомнадзора или следователя?

Доследственная проверка по фактам утечки персональных данных — критичный момент. На этом этапе защита может предотвратить возбуждение уголовного дела. «Ветров. 49» — более 1 000 проектов в уголовной защите бизнеса, рейтинг Право·300.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кто в компании несёт уголовную ответственность за персональные данные?

Уголовная ответственность за нарушения в сфере персональных данных является персональной: привлекается не организация, а конкретное физическое лицо, чьё действие образует состав преступления. Следствие разграничивает три категории фигурантов в зависимости от их роли в обработке данных и полномочий доступа.

Директор (генеральный директор). Несёт ответственность по части 2 статьи 137 УК РФ в случаях, когда персональные данные сотрудников или клиентов переданы третьим лицам с его ведома или когда он установил организационные практики, фактически исключающие защиту данных. Квалифицирующий признак «использование служебного положения» применим, если директор имел доступ к базе данных именно как руководитель.

Системный администратор / DBA. Наиболее уязвимая категория. Технический сотрудник, имеющий root-доступ к базам данных, по умолчанию является субъектом статьи 272 УК РФ при несанкционированном копировании. Следствие квалифицирует действия DBA по совокупности со статьёй 137, если скопированные данные содержат персональные сведения.

Главный бухгалтер. Обрабатывает персональные данные сотрудников (зарплатная ведомость, СНИЛС, паспортные данные). Передача этих сведений третьим лицам — коллекторам, контрагентам, супругам — образует состав статьи 137 УК РФ при наличии умысла.

// Примечание

Менеджер по продажам, унёсший клиентскую базу к конкуренту, может быть привлечён не только по статье 137 УК РФ, но и по статье 183 УК РФ, если база данных введена в режим коммерческой тайны в соответствии с Федеральным законом № 98-ФЗ «О коммерческой тайне». Это удваивает уголовно-правовые риски и увеличивает максимальную санкцию до пяти лет.

Что подготовить для снижения персональной уголовной ответственности

Приказ о назначении ответственного за обработку персональных данных с чётко описанным кругом полномочий
Матрица доступа к базам данных с журналом аудита — кто, когда, какие записи просматривал
Подписанные соглашения о конфиденциальности с каждым сотрудником, имеющим доступ к ПДн
Технические меры защиты по приказу ФСТЭК № 21 — документальное подтверждение их внедрения
Регламент реагирования на инциденты и уведомления Роскомнадзора в 24-часовой срок

Как следствие доказывает умысел при утечке персональных данных?

Умысел — обязательный элемент состава статьи 137 УК РФ. Следствие должно доказать, что лицо осознавало незаконность своих действий и желало их совершить или сознательно допускало наступление последствий. На практике доказывание умысла строится на четырёх блоках цифровых доказательств, каждый из которых требует специальной экспертизы.

Логи систем доступа. Следователь запрашивает журналы СУБД и систем документооборота: когда пользователь обращался к таблицам с персональными данными, какие запросы выполнял, были ли попытки экспорта. Нестандартный паттерн активности — массовая выборка записей в нерабочее время — интерпретируется как признак умысла.

Переписка в мессенджерах. Следствие получает переписку через судебное решение об обыске мобильного устройства или запрос к провайдеру. Переговоры о цене базы данных, обсуждение конкретных клиентов и передача файлов образуют прямые доказательства умысла.

Движение файлов. Компьютерно-техническая экспертиза восстанавливает историю копирования файлов: на USB-накопитель, в облачное хранилище, через корпоративную почту. Метаданные файлов фиксируют дату и время операции.

Свидетельские показания. Коллеги, руководители, покупатели данных — их показания о характере переданных сведений и мотивах передачи используются для квалификации умысла как прямого или косвенного.

⚠ Типичная ошибка

Сотрудники, опрашиваемые в рамках доследственной проверки, даю объяснения в свободной форме без защитника. Объяснения, полученные до возбуждения уголовного дела, впоследствии используются как доказательства в суде. Право отказаться от дачи объяснений, ссылаясь на статью 51 Конституции РФ, действует и до возбуждения дела.

Практика 2024–2025 годов: как разворачиваются дела о персональных данных

Уголовная практика по делам об утечках персональных данных в России сформировалась в 2022–2025 годах. Значимая черта периода — переход от единичных дел к системному применению статьи 137 УК РФ в связке с составами главы 28 УК РФ (преступления в сфере компьютерной информации). Следствие всё чаще возбуждает дела не по заявлению потерпевшего, а по результатам собственного мониторинга даркнет-площадок, где торгуются похищенные базы.

Кейс 1 · 2024 · ИТ-сектор, Уральский ФО

DBA технологической компании, Свердловская область, выручка ~320 млн ₽

Триггер

МВД зафиксировало продажу на теневом форуме базы данных клиентов с 840 000 записями. Оперативная разработка установила источник — DBA, имевший root-доступ к СУБД. Возбуждено дело по совокупности статей 137 ч. 2 и 272 ч. 3 УК РФ. Предъявлено обвинение в течение трёх месяцев от возбуждения.

Результат

Переквалификация на статью 137 ч. 1 УК РФ. Защита доказала отсутствие квалифицирующего признака «использование служебного положения» в части умысла на распространение — доступ был технически обоснован должностными обязанностями. Дело прекращено в связи с деятельным раскаянием.

После предъявления обвинения по статье 137 части 2 УК РФ у стороны защиты есть, как правило, 48–72 часа до выбора судом меры пресечения. Промедление с привлечением защитника на этом этапе существенно сужает процессуальные возможности.

Возбудили дело по статье 137 или 272 УК РФ?

Переквалификация и прекращение дела на досудебной стадии — реальный результат при своевременном подключении защиты. «Ветров. 49», рейтинг Право·300 с 2017 года, более 1 000 проектов.

Обсудить ситуацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кейс 2 · 2025 · Финансовый сектор, Северо-Западный ФО

Менеджер микрофинансовой организации, Санкт-Петербург, выручка ~180 млн ₽

Триггер

Несколько заёмщиков обратились в МВД: их персональные данные из анкет МФО появились в агрессивных SMS от сторонних коллекторов. Проверка установила менеджера, скопировавшего анкеты на флэш-накопитель. Дело возбуждено по статье 137 ч. 2 УК РФ (использование служебного положения). Параллельно Роскомнадзор вынес предписание организации.

Результат

Уголовное преследование прекращено в связи с примирением с потерпевшими (статья 76 УК РФ). Защита обеспечила заключение соглашений о возмещении морального вреда каждому из восьми потерпевших до направления дела в суд.

Как снизить уголовные риски при обработке персональных данных: стратегия защиты

Уголовные риски в сфере персональных данных делятся на два уровня: риск привлечения к ответственности за действия сотрудников и риск прямого привлечения руководителя. Стратегия защиты различается в зависимости от стадии — превентивная или уже при наличии уголовного дела.

Превентивный уровень. Ключевой инструмент — разграничение доступа и ведение аудит-логов. Если каждое обращение к таблицам с персональными данными фиксируется с идентификатором пользователя и временной меткой, следствие может точно установить конкретное лицо. Это снижает риск привлечения руководителя по «размытому» умыслу. Внешний уголовно-правовой аудит позволяет выявить точки уязвимости до инцидента.

При доследственной проверке. Нарушения 152-ФЗ проходят стадию доследственной проверки по статьям 144–145 УПК РФ: следователь или дознаватель изучает материалы до принятия решения о возбуждении дела. На этой стадии защита может представить документальные доказательства принятых организационных мер — это основание для отказа в возбуждении или для квалификации по административной, а не уголовной статье.

После возбуждения дела. Направление работы защиты — оспаривание умысла и квалифицирующих признаков. Переквалификация с части 2 на часть 1 статьи 137 УК РФ (без служебного положения) существенно меняет перспективу дела. Примирение с потерпевшими по статье 76 УК РФ доступно, если преступление относится к категории небольшой или средней тяжести.

✓ Важно

Аудит системы обработки персональных данных на соответствие требованиям 152-ФЗ и приказа ФСТЭК № 21 фиксирует принятые меры документально. Этот пакет документов — главный аргумент защиты при квалификации действий руководителя: он доказывает отсутствие умысла на нарушение.

Направления практики по теме

Защита по уголовному делу — защита директора и сотрудников по статьям 137, 272 УК РФ
Уголовно-правовой аудит — превентивный анализ рисков в сфере персональных данных

Q.01 Чем уголовная ответственность за персональные данные отличается от административной по статье 13.11 КоАП?

Административная ответственность по статье 13.11 КоАП наступает за технические нарушения — отсутствие согласия субъекта, нарушение порядка хранения, непредоставление информации Роскомнадзору. Уголовная ответственность по статье 137 УК РФ требует умысла: виновный осознаёт, что незаконно собирает или распространяет сведения о частной жизни без согласия лица. Ключевые отличия: наличие умысла, причинение вреда репутации или имущественного ущерба, публичный характер распространения либо использование служебного положения. Административный штраф по части 1 статьи 13.11 достигает 500 000 рублей для организации, тогда как уголовная санкция по части 2 статьи 137 УК РФ — до четырёх лет лишения свободы для физического лица. Для бизнеса это означает, что утечка клиентской базы, организованная сотрудником с корыстным умыслом, автоматически переводит дело из административного в уголовное русло.

Q.02 Когда суд может назначить условное осуждение по статье 137 УК РФ?

Условное осуждение по статье 137 УК РФ возможно при наличии совокупности смягчающих обстоятельств: совершение преступления впервые, признание вины, деятельное раскаяние, возмещение ущерба потерпевшему до вынесения приговора. По части 1 статьи 137 санкция — до двух лет лишения свободы, что формально допускает условный срок по статье 73 УК РФ. По части 2 (с использованием служебного положения) максимальный срок — четыре года; условное осуждение здесь применяется реже и требует убедительной позиции защиты. Судебная практика показывает: суды охотнее назначают условный срок при отсутствии тяжких последствий для потерпевшего и при наличии у подсудимого семьи и постоянного места работы. Позиция стороны защиты на стадии судебного следствия — определяющий фактор.

Q.03 Сколько времени занимает расследование уголовного дела о нарушении персональных данных?

Расследование уголовного дела по статье 137 УК РФ занимает в среднем от шести до двенадцати месяцев. Стандартный срок предварительного следствия по статье 162 УПК РФ — два месяца с момента возбуждения; он может продлеваться руководителем следственного органа до двенадцати месяцев при особой сложности дела. Специфика таких дел — значительный объём цифровых доказательств: следствие запрашивает логи серверов, переписку, выгрузки баз данных. Компьютерно-техническая экспертиза добавляет от одного до трёх месяцев. Если дело возбуждено по факту утечки с участием нескольких фигурантов (организатор, посредник, покупатель данных), срок расследования приближается к верхней границе — двенадцати месяцам.

Q.04 Какие статьи УК РФ применяются при утечке персональных данных из компании?

При утечке персональных данных следствие применяет статью 137 УК РФ (нарушение неприкосновенности частной жизни), статью 272 УК РФ (неправомерный доступ к охраняемой компьютерной информации) и статью 183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну). Статья 272 применяется, когда утечка произошла через взлом систем или несанкционированное использование учётных данных сотрудника. Статья 183 — когда похищенная база данных одновременно является коммерческой тайной оператора. Совокупность статей 137 и 272 увеличивает совокупное наказание и затрудняет прекращение дела на досудебной стадии.

Q.05 Может ли директор компании быть привлечён к уголовной ответственности за утечку данных сотрудника?

Директор компании может быть привлечён к уголовной ответственности по части 2 статьи 137 УК РФ, если утечка персональных данных сотрудников произошла с использованием его служебного положения или при его осведомлённости и бездействии. Квалифицирующий признак «использование служебного положения» означает, что руководитель имел доступ к сведениям именно в силу занимаемой должности и осознанно допустил их распространение. Для директора критически важно иметь документально оформленные регламенты обработки персональных данных, разграничение прав доступа и журналы аудита — это доказывает принятие разумных организационных мер и существенно снижает риск предъявления обвинения.

📋 Чек-лист уголовных рисков при обработке персональных данных

15 пунктов: разграничение доступа, аудит-логи, регламенты уведомления, соглашения о конфиденциальности. Проверьте систему до того, как это сделает следователь.

Напишите «152-ФЗ риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒

Граница между административным делом и уголовным в сфере персональных данных определяется умыслом конкретного сотрудника и документальными доказательствами организационных мер компании. Обе переменные поддаются управлению — до инцидента превентивными мерами, после — позицией защиты.

«Ветров. 49» специализируется на уголовной защите бизнеса с 2017 года. Рейтинг Право·300, Best Lawyers 2021, более 1 000 проектов. Конфиденциальность по соглашению.

Что делать сейчас?

Уголовные риски при обработке персональных данных реальны для директора, DBA и главного бухгалтера. Право·300 · 1 000+ проектов · конфиденциально.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит рисков Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00