🔒 Прочие составы Аналитика

Уголовные риски при работе с персональными данными (152-ФЗ)

Нарушение режима обработки персональных данных — это не только административные штрафы до 6 млн ₽ по статье 13.11 КоАП РФ. С 2023 года правоохранительные органы всё чаще возбуждают уголовные дела по статьям 137 и 272 УК РФ в отношении конкретных должностных лиц. По состоянию на май 2026 года число возбуждённых дел, связанных с незаконным оборотом персональных данных, увеличилось в три раза по сравнению с 2021 годом. Директор, IT-руководитель и главный бухгалтер рискуют получить реальный срок — без надлежащего регламента и понимания уголовных рисков.

Проверьте, есть ли в вашей компании уголовные риски по персональным данным.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

6 млн ₽

Максимальный административный штраф по ст. 13.11 КоАП РФ

4 года

Лишение свободы по ст. 137 ч. 2 УК РФ (использование служебного положения)

7 лет

Максимальная санкция по ст. 272 ч. 3 УК РФ (тяжкие последствия)

3×

Рост числа возбуждённых дел по обороту персональных данных за 2021–2025 гг.

Почему работа с персональными данными по 152-ФЗ создаёт реальный уголовный риск?

Федеральный закон № 152-ФЗ «О персональных данных» устанавливает административную ответственность для оператора — юридического лица. Уголовный кодекс РФ, напротив, привлекает к ответственности конкретного человека: директора, IT-директора, системного администратора, главного бухгалтера. Административный штраф платит компания; реальный срок получает физическое лицо. Это принципиальное разграничение часто упускается при оценке рисков.

Роскомнадзор с 2022 года расширил практику передачи материалов в органы внутренних дел при выявлении признаков умышленных нарушений. Параллельно МВД России фиксирует устойчивый рост преступлений в сфере компьютерной информации: по данным официальной статистики, в 2024 году было зарегистрировано более 530 000 IT-преступлений, из которых значительная часть связана с незаконным оборотом персональных данных.

✓ Важно

Административное и уголовное производства ведутся параллельно и независимо. Уплата штрафа по КоАП РФ не освобождает должностное лицо от уголовного преследования по той же фактической ситуации.

Типичная схема: Роскомнадзор фиксирует утечку данных, составляет протокол по статье 13.11 КоАП РФ в отношении организации и одновременно направляет материалы в органы внутренних дел или ФСБ — при наличии признаков умысла или значительного ущерба субъектам данных. Следователь возбуждает дело по статье 137 или 272 УК РФ в отношении конкретных должностных лиц.

Уголовный риск для бизнеса обостряется ещё одним обстоятельством: персональные данные сотрудников, клиентов и контрагентов обрабатываются практически в любой компании. Расчёт зарплаты, CRM-система, база покупателей — всё это данные субъектов по смыслу 152-ФЗ. Нарушение режима обработки даже одной записи технически образует объективную сторону состава.

Какие статьи УК РФ применяются при нарушении режима персональных данных?

Уголовная ответственность за нарушения при работе с персональными данными охватывает три основных состава: статью 137 УК РФ (нарушение неприкосновенности частной жизни), статью 272 УК РФ (неправомерный доступ к компьютерной информации) и статью 183 УК РФ (незаконное получение и разглашение охраняемой законом тайны). Выбор нормы зависит от способа нарушения, субъекта и наступивших последствий. Санкции варьируются от штрафа в 200 000 рублей до лишения свободы на срок до семи лет.

Статья УК РФ	Описание состава	Максимальная санкция	Субъект
Ст. 137 ч. 1	Незаконный сбор/распространение сведений о частной жизни	Лишение свободы до 2 лет	Общий
Ст. 137 ч. 2	То же с использованием служебного положения	Лишение свободы до 4 лет	Должностное лицо
Ст. 272 ч. 1	Неправомерный доступ к охраняемой компьютерной информации	Лишение свободы до 2 лет	Общий
Ст. 272 ч. 3	То же с тяжкими последствиями или из корыстных побуждений	Лишение свободы до 7 лет	Организованная группа
Ст. 183 ч. 2	Незаконное разглашение персональных данных, составляющих коммерческую тайну	Лишение свободы до 3 лет	Сотрудник с доступом
Ст. 138 ч. 1	Нарушение тайны переписки, телефонных переговоров	Штраф до 80 000 ₽ / ограничение свободы до 1 года	Общий

// Примечание

С 2023 года введена статья 274.1 УК РФ — неправомерное воздействие на критическую информационную инфраструктуру. Операторы баз данных в финансовом секторе, медицине и государственных системах подпадают под её действие при утечке, затронувшей объекты КИИ.

Статья 137 УК РФ — основной инструмент в делах, связанных с персональными данными физических лиц. Для её применения следствие должно доказать: (1) данные относятся к частной жизни субъекта; (2) сбор или распространение состоялись без согласия; (3) действия носили умышленный характер. Особую роль играет понятие «распространение»: достаточно передать данные одному лицу без законного основания.

Статья 272 УК РФ применяется, когда нарушение связано с компьютерными системами: несанкционированным доступом к базе данных, копированием, модификацией или уничтожением данных. Конкурирующие нормы (ст. 137 и ст. 272) могут применяться в совокупности — это увеличивает совокупное наказание.

Какие составы грозят именно вашей компании?

Уголовный риск зависит от того, какие данные вы обрабатываете, кто имеет к ним доступ и какие инциденты уже случались. Мы оцениваем ситуацию за одну консультацию — до возбуждения дела.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кто несёт уголовную ответственность: директор, IT-руководитель или бухгалтер?

Уголовная ответственность за нарушение режима персональных данных возлагается на физическое лицо, которое фактически совершило деяние или дало на него указание с использованием служебного положения. Юридическое лицо по УК РФ субъектом преступления не является. Следствие устанавливает конкретного исполнителя и организатора — для каждого из них квалификация может различаться.

На практике под уголовное преследование попадают три категории должностных лиц:

Директор (генеральный директор). Несёт ответственность по статье 137 части 2 УК РФ, если отдал приказ о передаче базы данных клиентов третьим лицам без согласия субъектов, либо организовал процесс обработки без надлежащего правового основания. Частая ошибка директора — подписание договора с контрагентом, которому передаются персональные данные, без проверки его статуса оператора по 152-ФЗ и без согласия субъектов.

IT-директор или системный администратор. Попадает под статью 272 УК РФ при несанкционированном доступе к базам данных, копировании и передаче информации. Особенно уязвима позиция сотрудника, который скопировал базу данных при увольнении или передал её конкурентам. Здесь нередко добавляется квалификация по статье 183 УК РФ — разглашение коммерческой тайны.

Главный бухгалтер. Несёт ответственность при незаконном раскрытии данных сотрудников (доходы, медицинские сведения, биометрические данные), обрабатываемых в рамках расчёта заработной платы. Объективная сторона формируется, если бухгалтер умышленно предоставил сведения третьим лицам — например, коллекторам, рейдерам или в ходе корпоративного конфликта.

⚠ Типичная ошибка

Многие компании полагают, что если нет «жертвы», нет и уголовного дела. Это не так: по статье 272 УК РФ достаточно самого факта неправомерного доступа к компьютерной информации — наступление вреда субъекту данных не является обязательным элементом объективной стороны части первой.

Кейс 1 · 2024 · Розничная торговля

IT-директор сети магазинов, Приволжский ФО, выручка компании 280 млн ₽

Триггер

Роскомнадзор зафиксировал утечку CRM-базы из 620 000 записей покупателей. Материалы переданы в МВД. Следствие установило, что IT-директор скопировал базу на личный носитель перед переходом к конкуренту.

Результат

Дело прекращено по статье 25 УПК РФ в связи с примирением с потерпевшими — компания выплатила компенсации 12 субъектам данных, пострадавшим от последующего мошенничества. Уголовное преследование прекращено до суда.

Когда Роскомнадзор и следствие реально возбуждают дело: практика 2023–2026 годов?

Уголовное дело по статьям 137 или 272 УК РФ в сфере персональных данных возбуждается при одновременном наличии трёх факторов: умысла конкретного физического лица, значительного объёма затронутых данных и установленного ущерба субъектам или государственному регулированию. Административные нарушения без умысла — в сфере уголовного права нерелевантны. Именно этим объясняется, почему тысячи компаний платят штрафы по КоАП и не привлекаются к уголовной ответственности.

С 2023 года прослеживается три устойчивых сценария, предшествующих возбуждению уголовного дела:

Сценарий 1: Коммерческая продажа базы данных. Массовые утечки, когда персональные данные граждан появляются в открытом доступе или продаются на специализированных ресурсах — главный триггер для уголовного преследования. Следствие легко устанавливает умысел и корыстную цель. Суды квалифицируют такие действия по совокупности статей 137 и 272 УК РФ.

Сценарий 2: Корпоративный конфликт. Бывший директор или сотрудник передаёт базу клиентов конкурирующей структуре. Заявителем выступает компания-оператор. В этом случае добавляется квалификация по статье 183 УК РФ — разглашение коммерческой тайны. Срок по совокупности составов может достигать 7 лет.

Сценарий 3: Использование данных для мошенничества. Если утечка повлекла последующее мошенничество в отношении субъектов данных (например, звонки от имени банка), следствие квалифицирует исходную утечку как приготовление к мошенничеству по статье 159 УК РФ — в совокупности со статьёй 272. Это переводит дело в категорию тяжких и резко увеличивает санкцию.

✓ Важно

После предъявления обвинения по статье 272 части 3 УК РФ (тяжкие последствия) у стороны защиты есть, как правило, 48–72 часа до выбора судом меры пресечения. Промедление с участием адвоката в этот период существенно сужает процессуальные возможности защиты.

Отдельного внимания заслуживает практика возбуждения дел по жалобам субъектов персональных данных. Гражданин, чьи данные были незаконно распространены — в интернете, через коллекторов, в ходе развода или корпоративного спора — вправе подать заявление в МВД напрямую. Следователь обязан провести проверку по статье 144 УПК РФ в течение 30 суток. Такие дела составляют около 20% от общего числа возбуждённых по статье 137 УК РФ.

Как снизить уголовные риски при обработке персональных данных по 152-ФЗ?

Снижение уголовных рисков при обработке персональных данных требует не просто соблюдения требований 152-ФЗ на бумаге, а создания реальной системы разграничения доступа и документирования правовых оснований для каждого действия с данными. Ключевое значение имеют три элемента: политика обработки, матрица доступа и регламент реагирования на инциденты — именно они становятся доказательствами отсутствия умысла при возбуждении дела.

Для трёх ключевых категорий должностных лиц уголовный риск различается:

Субъект	Главный риск	Инструмент защиты
Директор	Ст. 137 ч. 2 УК РФ — указание на передачу данных	Приказы с правовым обоснованием; согласия субъектов
IT-директор / сисадмин	Ст. 272 УК РФ — несанкционированный доступ / копирование	Журналы доступа; NDA; DLP-системы
Главный бухгалтер	Ст. 137 ч. 2 УК РФ — разглашение данных сотрудников	Регламент раскрытия; запрос обоснования

Что подготовить компании прямо сейчас:

Актуальная политика обработки персональных данных с датой утверждения и подписями ответственных лиц
Матрица доступа: кто из сотрудников, к каким данным, на каком основании имеет доступ
Журнал инцидентов и регламент уведомления Роскомнадзора в течение 24/72 часов по Федеральному закону № 152-ФЗ
NDA с сотрудниками, имеющими доступ к базам данных клиентов и персонала
Договоры с обработчиками данных (аутсорсинговые компании, облачные сервисы) с условиями по безопасности

⚠ Типичная ошибка

Многие компании уведомляют Роскомнадзор об утечке в предусмотренный срок и считают тему закрытой. На практике уведомление может стать источником доказательств для следователя: в нём сами указали, что знали об инциденте, кто за него отвечал и что именно произошло. Формулировки уведомления требуют правовой проверки до отправки.

Превентивная работа кратно дешевле защиты по возбуждённому делу. Уголовно-правовой аудит обработки персональных данных позволяет выявить зоны риска до того, как Роскомнадзор или следователь сделают это первыми. Виталий Ветров неоднократно отмечал в комментариях: в большинстве дел, связанных с утечками данных, компании имели возможность устранить уголовный риск за несколько недель до инцидента — при наличии профессионального аудита.

Описанный подход применим к большинству операторов персональных данных. Конкретная стратегия зависит от отрасли, числа субъектов данных в базе, используемых систем хранения и уже имевших место инцидентов. Сформировать регламент под свою структуру можно в рамках уголовно-правового аудита.

Уже есть инцидент или проверка Роскомнадзора?

Если проверка началась или зафиксирована утечка — важно правильно оформить уведомление и выстроить позицию до контакта со следователем. Разбираем вашу ситуацию за одну встречу. Право·300 с 2017 г., 1000+ проектов.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кейс 2 · 2025 · Финансовые услуги

Генеральный директор МФО, Северо-Западный ФО, выручка 95 млн ₽

Триггер

Бывший сотрудник подал жалобу в полицию: директор МФО передал базу должников коллекторскому агентству без надлежащего согласия субъектов и без договора об обработке персональных данных. В базе — 11 000 записей с паспортными данными и сведениями о финансовом положении.

Результат

Переквалификация с части 2 на часть 1 статьи 137 УК РФ — исключён признак «использование служебного положения» через доказательство отсутствия умысла в действиях именно директора. Дело прекращено с назначением судебного штрафа по статье 76.2 УК РФ.

Направления практики по теме

Уголовно-правовой аудит — проверка рисков по 152-ФЗ до возбуждения дела
Защита по уголовному делу — ведение дела по ст. 137, 272, 183 УК РФ

📋 Чек-лист уголовных рисков при обработке персональных данных

15 пунктов проверки для оператора: правовые основания, матрица доступа, регламент инцидентов, договоры с обработчиками. Проверьте свою компанию за 30 минут.

Напишите «ПДн риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒

Частые вопросы

Q.01 Какое наказание грозит по статье 137 УК РФ за нарушение обработки персональных данных в 2026 году?

Статья 137 Уголовного кодекса РФ предусматривает за незаконный сбор или распространение сведений о частной жизни — штраф до 200 000 рублей либо лишение свободы до двух лет по части первой. Если деяние совершено с использованием служебного положения (часть вторая), санкция возрастает до лишения свободы на срок до четырёх лет с лишением права занимать определённые должности на срок до пяти лет. Для бизнеса это означает, что директор или IT-руководитель, давший указание на незаконную передачу базы клиентов, рискует реальным сроком, а не только административным штрафом.

Q.02 Каков срок давности привлечения к уголовной ответственности за нарушение режима персональных данных?

Срок давности по уголовным делам о нарушении неприкосновенности частной жизни (статья 137 Уголовного кодекса РФ, часть первая) составляет два года с момента совершения преступления — это преступление небольшой тяжести. По части второй той же статьи (деяние, совершённое с использованием служебного положения) срок давности увеличивается до шести лет, поскольку санкция относит состав к категории преступлений средней тяжести. По статье 272 Уголовного кодекса срок давности по части первой составляет два года, по части второй — шесть лет. Важно учитывать, что течение срока прерывается уклонением от следствия или суда.

Q.03 Можно ли прекратить уголовное дело по персональным данным до вынесения приговора?

Прекращение уголовного дела до приговора возможно по нескольким основаниям. По статье 25 Уголовно-процессуального кодекса РФ — примирение с потерпевшим при условии, что деяние совершено впервые и относится к категории небольшой или средней тяжести. По статье 76.2 Уголовного кодекса — судебный штраф при наличии тех же условий. Для дел по статье 137 Уголовного кодекса РФ, части первой, оба пути реально применимы при возмещении ущерба субъектам персональных данных. Практика показывает, что суды охотнее назначают судебный штраф, когда компания устранила нарушение, внедрила политику защиты данных и документально подтвердила эти меры.

Q.04 Несёт ли главный бухгалтер уголовную ответственность за утечку персональных данных сотрудников?

Главный бухгалтер несёт уголовную ответственность по статье 137 Уголовного кодекса РФ, части второй, если незаконно распространял сведения о частной жизни сотрудников, используя служебный доступ к базам данных расчёта заработной платы, медицинским или биометрическим данным. Критерий субъекта — наличие должностных полномочий в отношении конкретных данных, а не просто факт работы в компании. Если утечка произошла вследствие отсутствия технических мер защиты, а не умысла — ответственность преимущественно административная по статье 13.11 КоАП РФ. Уголовное дело требует доказанного умысла и причинения вреда субъекту данных.

Q.05 Когда нарушение 152-ФЗ переходит из административной в уголовную ответственность?

Переход от административной к уголовной ответственности происходит при наличии умысла, специального субъекта и причинённого вреда субъекту персональных данных. Административная ответственность по статье 13.11 КоАП РФ — до 6 000 000 рублей для юридического лица — наступает за технические нарушения: отсутствие политики обработки, несоблюдение сроков уведомления Роскомнадзора. Уголовная ответственность по статье 137 Уголовного кодекса применяется тогда, когда конкретное физическое лицо умышленно собирало, хранило или распространяло персональные данные без согласия субъекта и причинило ему вред — имущественный, репутационный или нарушение тайны личной жизни. Параллельное возбуждение административного дела в отношении компании и уголовного дела в отношении должностного лица — распространённая практика с 2023 года.

Что делать сейчас?

Уголовные риски при работе с персональными данными реальны для любого оператора — независимо от отрасли и размера бизнеса. Ключевой вопрос не в том, есть ли риск, а в том, задокументированы ли правовые основания для каждого действия с данными. Ветров. 49 — Право·300 с 2017 года, более 1000 завершённых проектов по уголовной защите бизнеса.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00