🔒 Прочие составы Аналитика

Уголовные риски при работе с персональными данными (152-ФЗ)

Уголовная ответственность за нарушения в сфере персональных данных в России наступает не по самому 152-ФЗ, а по статьям 137, 272 и 183 УК РФ — в зависимости от характера деяния. По состоянию на май 2026 года число уголовных дел, связанных с утечками данных, ежегодно растёт: Роскомнадзор зафиксировал свыше 300 значимых утечек в 2024 году, часть из которых переданы в СК РФ. Для бизнеса, обрабатывающего большие базы клиентских данных, персональная уголовная ответственность сотрудников и руководителей стала реальным, а не теоретическим риском.

Оцените уголовные риски вашей системы работы с персональными данными до проверки Роскомнадзора.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

Почему 152-ФЗ не наказывает уголовно — но практика давления на бизнес всё жёстче

Федеральный закон № 152-ФЗ «О персональных данных» устанавливает обязанности операторов: собирать данные с согласия, хранить на российских серверах, уведомлять Роскомнадзор об утечках. Но санкции самого закона носят отсылочный характер — за конкретные нарушения отвечают КоАП РФ и УК РФ. Уголовный кодекс применяется не за технические нарушения порядка обработки данных, а за умышленные деяния: сбор сведений о частной жизни без согласия, продажу клиентских баз, взлом корпоративных систем. Разница принципиальна: административное дело — штраф для организации, уголовное — судимость для физического лица.

Роскомнадзор с 2022 года последовательно ужесточает правоприменение. В 2023–2024 годах ведомство передало в правоохранительные органы материалы по ряду крупных утечек — торговых сетей, страховых компаний, банков. Число возбуждённых уголовных дел по статье 137 УК РФ (нарушение неприкосновенности частной жизни) выросло, по данным Судебного департамента при Верховном суде РФ, с 382 в 2021 году до более 500 в 2024 году. Значительная часть этих дел связана с незаконным оборотом персональных данных в коммерческих целях.

✓ Важно

С 1 сентября 2024 года операторы обязаны уведомлять Роскомнадзор об утечке персональных данных в течение 24 часов с момента обнаружения (статья 21 152-ФЗ в редакции Федерального закона № 266-ФЗ). Неуведомление или задержка фиксируется как отдельное нарушение и может стать отягчающим обстоятельством при оценке умысла в рамках уголовного дела.

Для бизнеса ключевая проблема — «серая зона» между административным и уголовным правом. Компания нарушила порядок хранения данных — административный штраф. Сотрудник продал клиентскую базу конкуренту — уголовное дело. Но граница между этими ситуациями на практике размыта: следствие нередко квалифицирует системные нарушения как свидетельство умысла руководства.

Какие статьи УК РФ применяются при нарушениях с персональными данными?

Уголовная ответственность за нарушения с персональными данными наступает по трём основным статьям Уголовного кодекса: статье 137 (нарушение неприкосновенности частной жизни), статье 272 (неправомерный доступ к компьютерной информации) и статье 183 (незаконное получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). Выбор статьи зависит от способа совершения деяния и категории пострадавших данных.

Статья УК РФ	Деяние	Санкция (макс.)	Квалифицирующий признак
Ст. 137 ч. 1	Незаконный сбор или распространение сведений о частной жизни	2 года л/с	Умысел + нарушение тайны
Ст. 137 ч. 2	То же, с использованием служебного положения	4 года л/с	Должностной статус субъекта
Ст. 137 ч. 3	В отношении несовершеннолетнего	5 лет л/с	Категория субъекта данных
Ст. 272 ч. 1	Неправомерный доступ к охраняемой компьютерной информации	2 года л/с	Последствия: копирование, уничтожение
Ст. 272 ч. 2	То же, из корыстного интереса или с крупным ущербом	4 года л/с	Ущерб свыше 1 млн ₽
Ст. 183 ч. 2	Разглашение или использование сведений коммерческой тайны	4 года л/с	Нарушение конфиденциальности
Ст. 183 ч. 3	То же с причинением крупного ущерба или из корыстного интереса	5 лет л/с	Ущерб свыше 1,5 млн ₽

Статья 137 УК РФ — наиболее часто применяемая в делах, связанных с клиентскими базами. Статья применима только при наличии умысла: следствие должно доказать, что лицо осознавало противоправность сбора или передачи сведений. Случайная или технически обусловленная утечка под статью не подпадает — это административная плоскость.

Статья 272 УК РФ применяется параллельно, когда данные получены посредством взлома, использования чужих учётных данных или обхода систем аутентификации. Совокупность статей 137 и 272 — типичная квалификация при продаже баз данных конкурентам или мошенникам.

// Примечание

С 2022 года активно обсуждается введение в УК РФ отдельной нормы об ответственности за незаконный оборот персональных данных в крупном размере. Законопроект прошёл первое чтение в Государственной думе в 2024 году. По состоянию на май 2026 года специальная норма в УК РФ не принята, правоприменение осуществляется через статьи 137 и 272.

Кто реально оказывается под следствием при утечке персональных данных?

Уголовное преследование при нарушениях с персональными данными направлено против физических лиц, а не против юридического лица. Под следствие попадают три категории сотрудников — в зависимости от роли в инциденте и организационного статуса.

Операционный исполнитель: менеджер по продажам, аналитик данных, сотрудник кол-центра, системный администратор. Именно эта категория чаще всего оказывается фигурантом дел по части первой статьи 137 УК РФ. Следствие доказывает факт передачи данных третьим лицам и осведомлённость о незаконности действий.

Руководитель подразделения или IT-директор: привлекается при доказанной осведомлённости о систематических нарушениях или при наличии указаний, выданных подчинённым. Квалификация — часть вторая статьи 137 УК РФ (использование служебного положения). Санкция — до четырёх лет лишения свободы.

Генеральный директор: привлекается редко, но практика есть. Условие — следствие должно доказать, что директор лично принимал решения о незаконной обработке или знал о системных нарушениях и не принял мер. Частая ошибка директора — подписание договоров с контрагентами, предусматривающих передачу клиентских баз без правового основания.

⚠ Типичная ошибка

Руководители полагают, что уголовный риск — только при очевидном «сливе» базы. На практике следствие квалифицирует как преступление и передачу данных партнёрам по агентским договорам без надлежащего согласия субъектов, и использование данных в маркетинговых рассылках без отзыва согласия. Разграничение «нарушение регламента» vs «умышленное деяние» происходит в суде — и не всегда в пользу обвиняемого.

Кейс 1 · 2024 · Финансовые услуги · Сибирский ФО

Менеджер микрофинансовой организации, Новосибирская область, выручка компании 480 млн ₽

Триггер

Роскомнадзор в ходе проверки зафиксировал систематическую передачу персональных данных заёмщиков коллекторской структуре без оформленного согласия. Материалы переданы в СК РФ. Возбуждено уголовное дело по части 2 статьи 137 УК РФ в отношении руководителя отдела обработки данных.

Результат

Переквалификация с части 2 на часть 1 статьи 137 УК РФ — доказан умысел конкретного менеджера, а не использование служебного положения руководителя. Условное осуждение. Конфиденциальность по соглашению.

Изложенные сценарии — не исчерпывающий перечень. Конкретная ситуация зависит от архитектуры данных в компании, характера договоров с контрагентами и того, какие документы уже были изучены Роскомнадзором или следователем.

Какой риск несёт ваш бизнес при работе с клиентскими базами?

Анализируем систему обработки персональных данных и выявляем уголовно-правовые риски до проверки — не после возбуждения дела. Опыт в делах по статьям 137, 272, 183 УК РФ.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Как следствие доказывает умысел при утечке персональных данных?

Умысел — центральный элемент состава по статье 137 УК РФ. Следствие доказывает его косвенными и прямыми доказательствами: перепиской в мессенджерах и корпоративной почте, транзакциями по счетам при возмездной передаче данных, показаниями покупателей баз данных, логами доступа к серверам. Без доказанного умысла состав преступления рассыпается — деяние квалифицируется как административное нарушение по статье 13.11 КоАП РФ.

Типичная доказательственная конструкция следствия строится следующим образом. Роскомнадзор фиксирует утечку и устанавливает источник — конкретное лицо или подразделение. Затем оперативники ОЭБиПК получают сведения об операциях по счетам (при возмездной передаче) или переписке. На этом этапе уже могут проводиться ОРМ (оперативно-розыскные мероприятия): прослушивание, наблюдение, контрольная закупка. После возбуждения дела следователь назначает компьютерно-техническую экспертизу — она устанавливает, кто и когда скопировал данные из корпоративной системы.

✓ Важно

Логи доступа к серверу — ключевой источник доказательств. Следствие запрашивает их у системных администраторов или через обыск серверной. Отсутствие логов трактуется не в пользу компании: суды признают это свидетельством ненадлежащей организации защиты данных, а в ряде случаев — попыткой сокрытия следов преступления.

Параллельно с уголовным делом Роскомнадзор выносит предписание об устранении нарушений и возбуждает дело об административном правонарушении. Материалы административного дела — акт проверки, протокол, объяснения должностных лиц — передаются следователю и используются как доказательства осведомлённости компании о нарушениях. Дача объяснений Роскомнадзору без участия защитника несёт существенный риск: в дальнейшем эти объяснения могут быть использованы против объяснявшегося лица в уголовном деле.

⚠ Типичная ошибка

Руководители и IT-специалисты дают развёрнутые объяснения Роскомнадзору, полагая, что административная проверка — процедура низкого риска. После передачи материалов в СК РФ эти же объяснения становятся частью доказательственной базы по уголовному делу. Проверка Роскомнадзора — потенциальная преддверия уголовного преследования, и к ней следует готовиться соответствующим образом.

Как бизнесу снизить уголовные риски при работе с персональными данными?

Снижение уголовных рисков в сфере персональных данных строится на трёх уровнях: организационном, техническом и правовом. Превентивная работа кратно дешевле защиты по возбуждённому уголовному делу — и начинается не с IT-инфраструктуры, а с разграничения ответственности между сотрудниками.

Ключевое направление — ролевое разграничение доступа к данным. Следствие значительно сложнее доказывает умысел, когда каждый сотрудник имел доступ строго к тем данным, которые необходимы для выполнения его функций, а не ко всей базе. Журналы доступа должны вестись и храниться не менее одного года — они же служат основным средством защиты при обвинении в утечке.

Что подготовить заранее:

Политика обработки персональных данных с актуальными сведениями об операторе и перечне обрабатываемых данных (статья 18.1 152-ФЗ).
Соглашения о конфиденциальности с каждым сотрудником, имеющим доступ к персональным данным, — с указанием санкций за нарушение.
Журналы событий безопасности (логи доступа) с регламентом хранения не менее 12 месяцев.
Договоры с контрагентами, получающими данные (поручение на обработку по статье 6 152-ФЗ), с явным перечнем разрешённых действий.
Регламент уведомления Роскомнадзора об утечке с назначенным ответственным и алгоритмом действий в течение 24 часов.

Правовой уровень — это регламент поведения при проверке Роскомнадзора. Сотрудники, дающие объяснения проверяющим, должны понимать: их слова фиксируются и могут быть использованы в уголовном деле. Участие защитника при даче объяснений — не паранойя, а управление рисками. По делам, где компания заранее выстроила систему взаимодействия с регулятором, уголовное преследование прекращается значительно раньше — нередко на стадии доследственной проверки по статье 144 УПК РФ.

Если уголовное дело уже возбуждено, задача защитника — атаковать доказательственную базу умысла. Часто компьютерно-техническая экспертиза содержит методологические ошибки: неверная интерпретация логов, некорректное установление времени событий, ошибки в идентификации учётной записи. Оспаривание экспертизы — один из ключевых инструментов защиты по делам о неправомерном доступе к данным.

Кейс 2 · 2025 · Ретейл · Приволжский ФО

Директор по маркетингу торговой сети, Самарская область, выручка компании 1,2 млрд ₽

Триггер

В отношении директора по маркетингу возбуждено уголовное дело по части 2 статьи 137 УК РФ после того, как база клиентов лояльности была обнаружена у конкурирующей сети. СК РФ предъявил обвинение в использовании служебного положения. Компьютерно-техническая экспертиза зафиксировала экспорт базы с учётной записи обвиняемого.

Результат

Дело прекращено в связи с отсутствием состава преступления — защите удалось доказать, что учётная запись использовалась несколькими сотрудниками и экспертиза не установила конкретного исполнителя. Роскомнадзор ограничился административным штрафом. Конфиденциальность по соглашению.

Приведённые кейсы демонстрируют: исход дела во многом определяется не фактом утечки, а качеством доказательственной базы и своевременностью привлечения защиты. Промедление с привлечением юриста после получения запроса Роскомнадзора или вызова на допрос существенно сужает процессуальные возможности защиты.

Получили запрос от Роскомнадзора или вызов на допрос?

После вызова сотрудника на допрос или получения запроса регулятора у компании, как правило, есть 10–14 дней до первого следственного действия. Этот период критичен для выработки позиции защиты.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Направления практики по теме

Защита по уголовному делу — защита при обвинении по статьям 137, 272, 183 УК РФ
Уголовно-правовой аудит — оценка рисков до проверки Роскомнадзора или СК РФ

Q.01 Чем уголовная ответственность за нарушение 152-ФЗ отличается от административной?

Административная ответственность по статье 13.11 КоАП РФ наступает за технические нарушения порядка обработки персональных данных — отсутствие политики, нарушение сроков хранения, необеспечение локализации. Уголовная ответственность по статье 137 УК РФ применяется тогда, когда нарушение сопряжено с умышленным сбором или распространением сведений о частной жизни без согласия лица, а также когда деяние совершено с использованием служебного положения или причинило существенный вред правам граждан. Ключевое разграничение — умысел и последствия: административный состав не требует доказывания умысла и наступления вреда, уголовный — требует и того, и другого. На практике уголовное дело возбуждается после административного расследования Роскомнадзора, когда в материалах проверки выявляются признаки умысла или наступил реальный ущерб субъектам данных.

Q.02 Когда возможно условное осуждение по статье 137 УК РФ за нарушение персональных данных?

Условное осуждение по части первой статьи 137 УК РФ назначается судом при совокупности смягчающих обстоятельств: признание вины, возмещение вреда потерпевшим, отсутствие судимости, положительные характеристики. Санкция части первой — до двух лет лишения свободы, что формально допускает условный срок по статье 73 УК РФ. При квалификации по части второй (с использованием служебного положения, санкция до четырёх лет) или части третьей (в отношении несовершеннолетнего, санкция до пяти лет) суды значительно реже применяют условное осуждение. По части второй условный срок возможен, если деяние совершено впервые, ущерб заглажен, и суд признаёт исправление осуждённого достижимым без реального лишения свободы. Позиция защиты критически важна на этапе прений: правильно выстроенная аргументация смягчающих обстоятельств напрямую влияет на решение суда о виде наказания.

Q.03 Сколько времени занимает расследование уголовного дела по персональным данным?

Расследование уголовных дел по статье 137 УК РФ в среднем занимает от шести до восемнадцати месяцев. Доследственная проверка по статье 144 УПК РФ — до тридцати суток с возможным продлением. После возбуждения дела предварительное следствие назначается сроком два месяца с возможностью продления до шести месяцев (статья 162 УПК РФ), а при особой сложности — до двенадцати месяцев с санкции руководителя следственного органа субъекта. Дела, связанные с утечкой баз данных через IT-инфраструктуру, как правило, длятся дольше: требуется компьютерно-техническая экспертиза, которая сама по себе занимает три–шесть месяцев. Дела о целенаправленной продаже персональных данных со статьёй 183 УК РФ в совокупности расследуются до восемнадцати–двадцати четырёх месяцев. Своевременное участие защитника сокращает срок проверки и снижает вероятность продления следствия.

Q.04 Кто несёт уголовную ответственность за утечку персональных данных в компании — директор или IT-специалист?

Субъектом уголовной ответственности по статье 137 УК РФ является физическое лицо, совершившее умышленное деяние. Если утечка произошла вследствие действий конкретного сотрудника — системного администратора, менеджера по продажам, аналитика данных — ответственность несёт именно он. Директор или иное лицо с организационными полномочиями привлекается по части второй статьи 137 УК РФ, если следствие докажет, что деяние совершено с использованием его служебного положения: он давал указания, имел доступ к базам и осознавал противоправность действий. Юридическое лицо к уголовной ответственности не привлекается, однако несёт административную ответственность по статье 13.11 КоАП РФ параллельно с уголовным преследованием сотрудника. На практике следствие нередко предъявляет обвинение сразу нескольким лицам, квалифицируя деяние как совершённое группой лиц по предварительному сговору.

Q.05 Как работает уголовная ответственность по статье 272 УК РФ при утечке персональных данных?

Статья 272 УК РФ применяется при неправомерном доступе к охраняемой компьютерной информации, если это повлекло уничтожение, блокирование, модификацию или копирование информации. При утечке персональных данных из корпоративной базы посредством взлома, использования чужих учётных данных или обхода системы защиты следствие квалифицирует деяние по статье 272 — самостоятельно или в совокупности со статьёй 137. Санкция части первой статьи 272 — штраф до двухсот тысяч рублей либо лишение свободы до двух лет; части второй (с причинением крупного ущерба свыше одного миллиона рублей или из корыстного интереса) — до четырёх лет. Совокупность статей 137 и 272 УК РФ существенно увеличивает итоговое наказание и ограничивает возможность прекращения дела по нереабилитирующим основаниям.

📋 Чек-лист уголовных рисков при работе с персональными данными

12 контрольных точек для оценки системы обработки данных компании: роли доступа, логи, договоры с контрагентами, регламент уведомления Роскомнадзора. Подготовлен для собственника, IT-директора и юриста компании.

Напишите «152-ФЗ риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒

Уголовные риски при работе с персональными данными — не абстрактная угроза: дела по статьям 137 и 272 УК РФ возбуждаются, а Роскомнадзор планомерно передаёт материалы в СК РФ. Граница между административным и уголовным преследованием определяется умыслом — а умысел доказывается в том числе по тем объяснениям, которые сотрудники дали регулятору без защитника.

«Ветров. 49» — юридический бутик с опытом в делах об экономических преступлениях, включая составы по статьям 137, 272 и 183 УК РФ. Рейтинг Право·300 с 2017 года, более 1 000 проектов. Работаем с собственниками, директорами и главными бухгалтерами на этапе превентивного аудита и в рамках уголовной защиты.

Что делать сейчас?

Если ваша компания обрабатывает персональные данные клиентов или сотрудников — риск уголовного преследования реален. Право·300 · 1000+ проектов · конфиденциально.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00