🗂 Прочие составы Аналитика

Уголовные риски при работе с персональными данными (152-ФЗ)

Нарушения при обработке персональных данных регулируются не только Федеральным законом № 152-ФЗ и статьёй 13.11 КоАП РФ, но и Уголовным кодексом — статьями 137, 272 и 183 УК РФ. По состоянию на май 2026 года число уголовных дел, связанных с незаконным оборотом персональных данных, ежегодно прирастает на 15–20% (данные МВД РФ). Материал объясняет, при каких условиях административное нарушение оператора данных перерастает в уголовное преследование руководителя или сотрудника.

Проверьте, нет ли у вашей компании уголовных рисков по 152-ФЗ прямо сейчас.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

+18% год

Прирост уголовных дел по незаконному обороту данных (МВД РФ)

6 млн ₽

Максимальный штраф КоАП для юрлица по ст. 13.11

4 года

Максимальный срок по ч. 3 ст. 137 УК РФ (с использованием служебного положения)

30 суток

Максимальный срок доследственной проверки по ст. 144 УПК РФ

Где заканчивается административная ответственность и начинается уголовная?

Уголовная ответственность за нарушения при обработке персональных данных возникает не за факт несоблюдения требований 152-ФЗ как такового, а при умышленном незаконном сборе или распространении сведений о частной жизни конкретного физического лица — при условии, что это причинило вред его правам и законным интересам. Административный состав по статье 13.11 КоАП РФ охватывает нарушения процедуры оператора данных; уголовный состав по статье 137 УК РФ — посягательство на частную жизнь конкретного человека с умыслом и наступившими последствиями.

Разграничение на практике проводится по двум критериям. Первый — наличие умысла: случайная утечка или техническая уязвимость без осознанного решения передать данные третьим лицам остаётся в административном поле. Второй — наступление последствий: уголовное дело возбуждается, когда гражданин может указать на конкретный вред — распространение компрометирующих сведений, ущерб деловой репутации, шантаж, раскрытие медицинской тайны.

✓ Важно

Роскомнадзор фиксирует административное нарушение и направляет материалы в МВД или СК РФ при наличии признаков умысла. Проверка РКН — стандартный триггер доследственной проверки по статье 144 УПК РФ.

Ещё один критический рубеж — масштаб нарушения. Единичный случай разглашения данных сотрудника конкуренту может быть квалифицирован по части третьей статьи 137 УК РФ (с использованием служебного положения). Систематическая продажа клиентских баз данных следствие нередко квалифицирует по совокупности: статья 137 и статья 183 УК РФ (незаконное получение и разглашение сведений, составляющих коммерческую тайну), а при использовании взлома — дополнительно по статье 272 УК РФ.

На практике важно учитывать: административная ответственность юридического лица и уголовная ответственность физического лица не исключают друг друга. Компания получает штраф до 6 млн рублей по КоАП, директор или ответственный сотрудник — уголовное преследование. Обе процедуры идут параллельно.

Какие статьи УК РФ применяются при нарушениях 152-ФЗ на практике?

Три статьи Уголовного кодекса охватывают большинство уголовных дел, связанных с незаконным оборотом персональных данных: статья 137 (нарушение неприкосновенности частной жизни), статья 272 (неправомерный доступ к компьютерной информации) и статья 183 (незаконное получение и разглашение сведений, составляющих коммерческую тайну). Ни одна из них не упоминает 152-ФЗ напрямую, но именно нарушения этого закона создают доказательственную базу для возбуждения дел по этим составам.

Статья УК РФ	Типовая ситуация	Максимальная санкция	Субъект
Ст. 137, ч. 1	Незаконный сбор/распространение персональных данных частным лицом	2 года л/с	Общий
Ст. 137, ч. 2	Распространение данных в публичном выступлении, СМИ, интернете	4 года л/с	Общий
Ст. 137, ч. 3	Незаконное распространение данных несовершеннолетнего	5 лет л/с	Специальный
Ст. 272, ч. 1	Взлом базы данных с персональными данными	2 года л/с	Общий
Ст. 272, ч. 3	Взлом с использованием служебного положения или в группе	5 лет л/с	Специальный
Ст. 183, ч. 2	Незаконное разглашение коммерческой тайны, включающей ПД	3 года л/с	Специальный

Квалифицирующий признак «с использованием служебного положения» по части второй статьи 137 УК РФ применяется следствием при наличии трёх условий: обвиняемый имел правомерный доступ к данным в силу должностных обязанностей; передал их третьим лицам вне служебной необходимости; осознавал противоправность своих действий. Это стандартная ситуация для сотрудника HR-отдела, отдела продаж или IT-администратора, продавшего клиентскую базу конкуренту.

⚠ Типичная ошибка

Руководители нередко полагают, что уголовный риск возникает только при «взломе» или явной продаже данных. На практике достаточно пересылки клиентской базы в личный мессенджер при увольнении — следствие квалифицирует это как копирование компьютерной информации по статье 272 УК РФ и незаконное разглашение по статье 137 УК РФ.

Статья 183 УК РФ применяется реже, но в сочетании со статьёй 137. Если персональные данные клиентов входят в состав коммерческой тайны компании (что требует соответствующего режима по 98-ФЗ), их утечка автоматически создаёт основание для возбуждения дела сразу по двум составам. Это существенно ужесточает позицию обвинения при избрании меры пресечения.

Разграничение составов и построение линии защиты зависят от конкретных обстоятельств: кто имел доступ к данным, каков был умысел, наступили ли последствия для субъекта данных. Эти обстоятельства анализируются индивидуально — в рамках предварительной консультации.

Какие статьи УК могут применить в вашей ситуации?

Расскажем, какой состав релевантен именно вашему случаю — утечка, продажа базы, взлом. Анализируем обстоятельства на первой встрече.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кто несёт уголовную ответственность внутри компании?

Субъектом уголовной ответственности по статьям 137, 272 и 183 УК РФ всегда является физическое лицо — не компания. Следствие устанавливает конкретного сотрудника, чьи умышленные действия повлекли незаконный оборот персональных данных. Три типичных фигуранта — собственник бизнеса, генеральный директор и сотрудник с техническим доступом (DBA, системный администратор, менеджер CRM).

Собственник ООО. Уголовный риск возникает, если он лично давал указания о передаче клиентских данных партнёрам без согласия субъектов или о покупке чужих баз. Следствие будет доказывать, что он осознавал незаконность операции. Формального незнания требований 152-ФЗ недостаточно для освобождения от ответственности.

Генеральный директор. Наиболее уязвимая фигура. Даже если он не отдавал прямых распоряжений, следствие может вменить ему бездействие: знал об утечке и не пресёк. При наличии его цифровой подписи под договором с покупателем базы данных это будет основным доказательством умысла. Квалификация — часть вторая статьи 137 УК РФ или часть третья при участии несовершеннолетних.

Главный бухгалтер. Риск актуален при обработке персональных данных сотрудников — зарплатные ведомости, трудовые договоры, медицинские документы для налоговых вычетов. Передача этих данных в ФНС или фонды — законная обработка; передача третьим лицам без основания — состав по статье 137 УК РФ.

// Примечание

Ответственный за обработку персональных данных (Data Protection Officer) не является автоматически фигурантом уголовного дела — только если он лично совершил умышленные действия. Но именно он первым получает запросы следствия в рамках доследственной проверки.

Как выглядит уголовное дело по персональным данным в 2026 году?

Уголовное дело по статье 137 УК РФ, связанное с корпоративным оборотом персональных данных, проходит четыре стадии: доследственная проверка — возбуждение дела — следствие — суд. Понимание каждой стадии позволяет своевременно использовать процессуальные возможности защиты.

Доследственная проверка (статьи 144–145 УПК РФ). Начинается по заявлению потерпевшего (субъект данных, чьи сведения были незаконно обработаны) или по материалам Роскомнадзора. Срок — 3 суток с правом продления до 30 суток. Следователь вправе получать объяснения, запрашивать документы, проводить осмотры. На этой стадии подозреваемого формально нет — но именно здесь формируется доказательственная база. Ошибка директора — давать объяснения без юридической подготовки.

Кейс 1 · 2024 · Ретейл, онлайн-торговля · Приволжский ФО

Руководитель отдела маркетинга, интернет-магазин, выручка 480 млн ₽

Триггер

Бывший сотрудник подал заявление в полицию: при увольнении он забрал клиентскую базу — 120 тыс. записей с контактами и историей покупок — и передал её конкурирующей компании. Роскомнадзор провёл внеплановую проверку и передал материалы в СК РФ. Возбуждено дело по части второй статьи 137 и части первой статьи 272 УК РФ.

Результат

Переквалификация с ч. 2 на ч. 1 ст. 137 УК РФ, условное осуждение — 1 год условно. Компания-оператор урегулировала претензии Роскомнадзора административным штрафом. Конфиденциальность по соглашению.

Возбуждение дела и следствие. После возбуждения следователь проводит обыски в офисе и по месту жительства фигуранта (статья 182 УПК РФ), изымает серверы, рабочие станции, телефоны. Назначается компьютерно-техническая экспертиза носителей информации — стандартный срок 3–6 месяцев. Общий срок следствия по статье 137 УК РФ — 2 месяца с возможностью продления до 12 месяцев по статье 162 УПК РФ. На практике дела расследуются 6–18 месяцев при наличии цифровых доказательств.

✓ Важно

После предъявления обвинения по части второй статьи 137 УК РФ у защиты, как правило, 48–72 часа до избрания меры пресечения. Промедление с привлечением адвоката на этом этапе существенно сужает возможности для её оспаривания.

Доказательная база. Следствие собирает цифровые следы: логи доступа к базам данных, переписку в мессенджерах, электронную почту, записи видеонаблюдения в серверных помещениях, показания коллег. Специфика дел по 152-ФЗ — значительная часть доказательств хранится на серверах самой компании. Это означает, что оператор данных одновременно является потерпевшим и основным источником доказательств против собственного сотрудника.

Как снизить уголовные риски при работе с персональными данными?

Превентивные меры по снижению уголовных рисков в сфере персональных данных делятся на организационные и технические. Организационные — разграничение доступа к базам данных, регламент работы с данными клиентов и сотрудников, соглашения о конфиденциальности с персоналом. Технические — логирование доступа, DLP-системы, шифрование хранилищ. Стоимость внедрения этих мер несопоставима со стоимостью защиты по возбуждённому уголовному делу.

Ниже — чек-лист минимально необходимых организационных мер, снижающих риск уголовного преследования директора и ключевых сотрудников:

Разграничение доступа к базам ПД — каждый сотрудник имеет доступ только к тем данным, которые необходимы для его функции (принцип минимальных привилегий).
Логирование всех операций с ПД — автоматическая фиксация фактов выгрузки, экспорта, копирования баз данных с привязкой к учётной записи.
Соглашения о конфиденциальности с сотрудниками — отдельный документ с явным запретом передачи ПД третьим лицам; подписывается при приёме на работу и при увольнении.
Порядок реагирования на инциденты — письменный регламент: что делает компания при обнаружении утечки, кто уведомляет Роскомнадзор, кто взаимодействует со следствием.
Уголовно-правовой аудит — периодическая проверка того, не создаёт ли текущая схема обработки ПД уголовных рисков для конкретных должностных лиц.

⚠ Типичная ошибка

Многие компании ограничиваются политикой конфиденциальности на сайте и согласиями на обработку ПД — и считают, что этого достаточно. Внутренние регламенты для сотрудников, ограничивающие доступ и экспорт данных, отсутствуют. Именно это создаёт уголовный риск: без доказательств системы контроля директор не может подтвердить, что он принял разумные меры.

Отдельная зона риска — увольнение сотрудников с доступом к CRM, ERP и другим системам, содержащим персональные данные. Частая ошибка директора: доступ сотрудника к базам не отзывается немедленно после подачи заявления об увольнении. Если в этот период сотрудник скопирует данные, следствие будет проверять, не было ли у него молчаливого разрешения — что создаёт риск для руководителя.

Кейс 2 · 2025 · Медицинские услуги · Уральский ФО

Главный врач частной клиники, выручка 290 млн ₽

Триггер

Пациент обнаружил, что его медицинская карта (специальная категория ПД по ст. 10 152-ФЗ) была передана страховой компании без его согласия. Заявление в полицию. Возбуждено дело по части второй статьи 137 УК РФ в отношении главного врача и ответственного за обработку ПД.

Результат

Дело прекращено по части 1 статьи 25 УПК РФ — примирение с потерпевшим, возмещение ущерба, загладивание вреда. Конфиденциальность по соглашению.

При получении запросов от Роскомнадзора или следственных органов компании целесообразно немедленно разграничить процессуальные роли: кто взаимодействует с регулятором, кто с следствием, кто обеспечивает сохранность документов. Смешение этих ролей без юридического сопровождения — системный риск. Подробнее об организации взаимодействия со следователем читайте в материале о защите при обыске в офисе.

Экономика вопроса: внедрение базовой системы технических и организационных мер стоит от 300 тыс. до 1,5 млн рублей в зависимости от масштаба компании. Защита по возбуждённому уголовному делу по статье 137 УК РФ — от 1,5 млн рублей при условии начала работы на стадии доследственной проверки. При вступлении в дело на стадии судебного разбирательства стоимость существенно выше, а процессуальные возможности — меньше.

Если ваша компания уже получила запрос от Роскомнадзора или следственных органов по теме персональных данных — это сигнал для немедленной оценки уголовных рисков конкретных должностных лиц.

Уже получили запрос от РКН или следователя?

Оценим, есть ли признаки уголовного состава и как выстроить взаимодействие с проверяющими. Право·300 с 2017 года, более 1000 проектов.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

📋 Чек-лист уголовных рисков оператора персональных данных

12 пунктов: разграничение доступа, логирование, регламент при инциденте, взаимодействие с РКН и следствием. Разработан для директора и DPO.

Напишите «ПД риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🛡

Направления практики по теме

Защита по уголовному делу — сопровождение на всех стадиях уголовного процесса
Уголовно-правовой аудит — выявление рисков до возбуждения дела

Частые вопросы

Q.01 Чем уголовная ответственность за нарушения с персональными данными отличается от административной?

Административная ответственность по статье 13.11 КоАП РФ наступает за нарушение порядка обработки персональных данных — отсутствие согласия, несоблюдение сроков хранения, ненадлежащая политика конфиденциальности. Максимальный штраф по КоАП для юридического лица достигает 6 миллионов рублей. Уголовная ответственность по статье 137 УК РФ возникает при незаконном сборе или распространении сведений о частной жизни конкретного физического лица без его согласия — и только если это причинило вред правам и законным интересам гражданина. Ключевое разграничение: административный состав — нарушение процедуры оператора, уголовный состав — умышленное посягательство на частную жизнь конкретного человека с наступлением вредных последствий. Санкция по части первой статьи 137 УК РФ — до двух лет лишения свободы.

Q.02 Когда возможно условное осуждение по делам о незаконном обороте персональных данных?

Условное осуждение по статье 137 УК РФ (часть первая и часть вторая) возможно, поскольку максимальное наказание по этим частям не превышает четырёх лет лишения свободы — категория небольшой и средней тяжести. Суды, как правило, применяют условное осуждение при наличии следующих факторов: отсутствие судимости, возмещение причинённого вреда потерпевшему, наличие смягчающих обстоятельств (явка с повинной, активное содействие следствию), незначительный объём распространённых данных. По части третьей статьи 137 УК РФ — специальный субъект, совершивший деяние с использованием служебного положения, — суд также вправе назначить условный срок, однако практика показывает: при доказанном систематическом характере нарушений суды чаще избирают реальное лишение свободы. Окончательное решение зависит от позиции стороны обвинения, личности обвиняемого и тяжести последствий для потерпевшего.

Q.03 Сколько времени занимает расследование уголовного дела о нарушениях с персональными данными?

Расследование дел по статье 137 УК РФ ведётся в форме предварительного следствия. Начальный срок следствия составляет два месяца (статья 162 УПК РФ) с возможностью продления до 12 месяцев руководителем следственного органа субъекта федерации. На практике дела о незаконном обороте персональных данных расследуются от 4 до 18 месяцев — в зависимости от объёма цифровых доказательств и необходимости компьютерно-технических экспертиз. Если дело соединено со статьёй 272 УК РФ (неправомерный доступ к компьютерной информации), срок следствия существенно увеличивается: экспертизы носителей информации занимают от 3 до 6 месяцев. Доследственная проверка по статье 144 УПК РФ — до 30 суток при продлении.

Q.04 Может ли директор компании нести уголовную ответственность за утечку персональных данных клиентов?

Директор компании несёт уголовную ответственность по части третьей статьи 137 УК РФ, если утечка персональных данных произошла с использованием его служебного положения — то есть при умышленном разглашении или передаче данных третьим лицам с использованием доступа, предоставленного ему как руководителю. Санкция по этой части: до четырёх лет лишения свободы с лишением права занимать определённые должности до пяти лет. Важно: ответственность директора за техническую утечку без умысла — исключительно административная по статье 13.11 КоАП РФ. Уголовное дело требует доказательства умысла: осознанного сбора, хранения или передачи персональных данных вопреки воле субъекта данных.

Q.05 Как связаны статья 137 УК РФ и статья 272 УК РФ в делах об утечке данных?

Статья 272 УК РФ устанавливает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, повлёкший её уничтожение, блокирование, модификацию или копирование. Если злоумышленник взламывает базы данных компании для получения персональных данных, следствие квалифицирует деяние по совокупности: статья 272 (неправомерный доступ) плюс статья 137 (нарушение неприкосновенности частной жизни) при последующем распространении полученных сведений. Для бизнеса это означает: утечка из-за взлома IT-инфраструктуры может повлечь уголовное преследование как ответственного сотрудника, допустившего уязвимость, так и злоумышленника. Санкция по части второй статьи 272 УК РФ — до четырёх лет лишения свободы.

Уголовные риски при работе с персональными данными — не абстрактная угроза. Статья 137 УК РФ применяется реально: как к сотрудникам, продающим клиентские базы, так и к директорам, осознанно допускающим незаконную передачу данных. Граница между административной и уголовной ответственностью проходит по линии умысла — и именно эту границу следствие оценивает субъективно.

«Ветров. 49» — юридический бутик с практикой уголовной защиты бизнеса с 2017 года (рейтинг Право·300, Best Lawyers 2021). Мы анализируем уголовные риски операторов персональных данных, сопровождаем при проверках Роскомнадзора и защищаем должностных лиц в рамках возбуждённых дел по статьям 137, 272 и 183 УК РФ.

Что делать сейчас?

Если ваша компания обрабатывает персональные данные клиентов или сотрудников — уголовный риск есть у каждого руководителя с доступом к базам. Право·300 с 2017 года, более 1000 проектов.

Стадия I · Думаю Читать по своей ситуации Проверка / Обыск / Допрос → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить уголовно-правовой аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00