⚖️ Отраслевые Услуга · Уголовная защита

Уголовные риски при работе с персональными данными (152-ФЗ)

Обработка персональных данных регулируется Федеральным законом № 152-ФЗ «О персональных данных», однако нарушения режима их защиты влекут не только административные санкции, но и уголовную ответственность по статьям 137, 272, 274.1 УК РФ. По состоянию на май 2026 года число уголовных дел, связанных с утечками данных и неправомерным доступом к информационным системам, ежегодно прирастает на 18–20% по данным МВД России. Материал — для директора, ИТ-руководителя и владельца бизнеса, работающего с данными пользователей, клиентов или сотрудников.

Получите оценку уголовных рисков для вашей компании — бесплатно, конфиденциально.

Получить консультацию → Telegram

ДК

Дарья Кравцова

Аналитик · корпоративные и экономические составы

Опубликовано 14 мая 2026 Обновлено 14 мая 2026 18 мин. чтения

137 УК РФ

Незаконный оборот персональных данных — до 4 лет

272 УК РФ

Неправомерный доступ к охраняемой информации

1 млн ₽

Порог крупного ущерба по ч. 3 ст. 272 УК РФ

+18% в год

Прирост дел по киберпреступлениям (МВД, 2024–2025)

Топ-5 уголовных рисков для операторов персональных данных

Уголовная ответственность за нарушения в сфере персональных данных возникает при наличии умысла или грубой халатности, повлёкшей существенный ущерб субъектам данных. По состоянию на май 2026 года следствие чаще всего возбуждает дела по пяти сценариям: утечка базы данных клиентов через сотрудника, продажа данных конкурентам, неправомерный доступ к корпоративным системам, передача данных третьим лицам без согласия субъектов и нарушение режима критической информационной инфраструктуры. Каждый из этих сценариев влечёт разные составы УК РФ — от административного проступка до лишения свободы на срок до 10 лет.

✓ Важно

Административная ответственность по статье 13.11 КоАП РФ и уголовная по статьям 137, 272 УК РФ существуют параллельно. Административный штраф (до 6 млн ₽ для юридического лица с 2024 года) не исключает возбуждения уголовного дела в отношении конкретного должностного лица.

Риск 1. Утечка базы данных клиентов. Если сотрудник скопировал и продал клиентскую базу — следствие рассматривает это как незаконный сбор и распространение сведений о частной жизни (статья 137 УК РФ) либо как кражу (статья 158 УК РФ), если данные обладают коммерческой ценностью. Руководителя могут привлечь по части 2 статьи 137 за ненадлежащий контроль, если он знал о нарушении или создал условия для него.

Риск 2. Продажа данных конкурентам или брокерам. Целенаправленная передача персональных данных за вознаграждение квалифицируется по статье 137 УК РФ и — при наличии договорённости нескольких лиц — по части 2 или 3 как деяние, совершённое группой лиц по предварительному сговору. Санкция по части 3 — лишение свободы до 5 лет.

Риск 3. Неправомерный доступ к информационной системе. Статья 272 УК РФ применяется, когда сотрудник или внешнее лицо получает доступ к базам данных, защищённым техническими средствами, без соответствующих прав. Квалифицирующий признак — причинение ущерба свыше 1 млн ₽ (крупный размер по части 3).

Риск 4. Передача данных за рубеж без уведомления Роскомнадзора. Трансграничная передача данных без соответствующего уведомления по статье 12 Федерального закона № 152-ФЗ сама по себе — административное нарушение. Уголовная составляющая возникает, если передача осуществлялась с умыслом нанести вред субъектам данных или связана с деятельностью иностранного агента.

Риск 5. Нарушение безопасности критической информационной инфраструктуры (КИИ). Компании из финансового сектора, телекома, здравоохранения, транспорта и энергетики подпадают под Федеральный закон № 187-ФЗ «О безопасности КИИ». Статья 274.1 УК РФ предусматривает лишение свободы на срок до 10 лет за создание условий для нарушения работы объектов КИИ.

⚠ Типичная ошибка

Директора нередко считают, что уголовная ответственность возможна только при умышленной продаже данных. На практике статья 272 УК РФ применяется и при халатном хранении учётных данных администратора, которыми воспользовался третий сотрудник: умысел на доступ у «виновника» есть, а ответственность за создание условий может лечь на руководство.

Какие составы УК РФ применяются при нарушениях 152-ФЗ?

Уголовный кодекс не содержит отдельной статьи «за нарушение 152-ФЗ» — следствие применяет смежные составы в зависимости от характера деяния. Центральные нормы: статья 137 УК РФ (нарушение неприкосновенности частной жизни), статья 272 УК РФ (неправомерный доступ к охраняемой компьютерной информации) и статья 274.1 УК РФ (неправомерное воздействие на КИИ). Для дел с признаком организованной группы или получения дохода применяется и статья 159 УК РФ (мошенничество), если данные использовались для хищения.

Состав	Норма	Максимальная санкция	Типичный субъект
Незаконный оборот персональных данных	Ст. 137 УК РФ, ч. 2–3	До 5 лет	Директор, сотрудник HR / CRM
Неправомерный доступ к базам данных	Ст. 272 УК РФ, ч. 3–4	До 7 лет	ИТ-директор, системный администратор
Нарушение безопасности КИИ	Ст. 274.1 УК РФ, ч. 4–5	До 10 лет	Руководитель объекта КИИ
Мошенничество с использованием данных	Ст. 159 УК РФ, ч. 4	До 10 лет	Директор, топ-менеджер
Разглашение коммерческой тайны	Ст. 183 УК РФ, ч. 2	До 3 лет	Менеджер по продажам, ИТ

Разграничение административного и уголовного деяния — ключевой вопрос защиты. Уголовный кодекс Российской Федерации требует доказать умысел и существенный ущерб. Если этих элементов нет — деяние остаётся административным по КоАП РФ. Задача защиты на ранней стадии — закрепить доказательную базу, подтверждающую отсутствие умысла.

// Примечание

С 2024 года штрафы по статье 13.11 КоАП РФ существенно увеличены: для юридических лиц — до 6 млн ₽ за первичное нарушение, до 15 млн ₽ при повторном. Административный штраф не является «откупом» от уголовного преследования конкретных физических лиц.

Кейс 1 · 2024 · ИТ и телеком · Сибирский ФО

Технологическая компания, Новосибирск, выручка 380 млн ₽

Триггер

Утечка базы данных 2,4 млн записей пользователей через уволенного системного администратора. Роскомнадзор уведомил СК РФ. Возбуждено дело по части 3 статьи 272 УК РФ в отношении ИТ-директора — за «создание условий» для доступа к охраняемой информации.

Результат

Переквалификация с части 3 на часть 1 статьи 272 УК РФ (отсутствие признака крупного ущерба) + прекращение уголовного преследования в отношении ИТ-директора в связи с отсутствием умысла. Административный штраф на юридическое лицо — 4,2 млн ₽.

Как следствие возбуждает дела по персональным данным: типичный сценарий

Дело по статьям 137 и 272 УК РФ в сфере персональных данных редко возбуждается по инициативе самого следователя. Типичный сценарий: Роскомнадзор фиксирует факт утечки или нарушения режима обработки → передаёт материал в СК РФ в порядке статьи 144 УПК РФ → следователь проводит доследственную проверку (срок — 30 суток с продлением до 30 суток) → возбуждает дело или выносит отказ. Параллельно оперативное сопровождение ведёт Управление «К» МВД России.

Именно на стадии доследственной проверки у бизнеса есть наибольший процессуальный ресурс. После возбуждения дела следствие, как правило, проводит обыски в офисе и изымает серверное оборудование, что парализует работу компании на срок от нескольких недель до нескольких месяцев.

✓ Важно

Уведомление Роскомнадзора об утечке по статье 21.1 Федерального закона № 152-ФЗ обязательно направить в течение 24 часов после обнаружения. Несвоевременное уведомление увеличивает риск передачи материала в СК как признак умысла на сокрытие инцидента.

Второй канал возбуждения — жалобы субъектов данных. Если пострадавший от утечки гражданин подаёт заявление в полицию или СК напрямую, проверка начинается вне зависимости от позиции Роскомнадзора. Третий — оперативные разработки Управления «К» МВД: в рамках оперативно-розыскных мероприятий (ОРМ) проверяются маркетплейсы данных, теневые форумы и базы, выставленные на продажу.

⚠ Типичная ошибка

Компании нередко ждут официального запроса СК, прежде чем привлекать юристов. На практике к моменту прихода следователя с постановлением об обыске доказательная база уже сформирована — как правило, в том числе из внутренней переписки, которая не была своевременно защищена.

Приведённый сценарий — базовый. Конкретный порядок действий следствия зависит от статуса компании как оператора, наличия объектов КИИ и масштаба утечки. Оценить персональные риски для вашей ситуации можно на предварительной консультации.

Ваша компания обрабатывает данные клиентов или сотрудников?

Оценим уголовные риски по 152-ФЗ: какие составы УК РФ применимы, есть ли признаки КИИ, какие меры снизят риск до нуля. Право·300 с 2017 г. · 1000+ проектов в уголовной защите бизнеса.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кто несёт уголовную ответственность: директор, ИТ-директор или сотрудник?

Уголовная ответственность в делах о персональных данных персональна: привлекают конкретных физических лиц, а не юридическое лицо. Следствие выстраивает цепочку: кто принял решение об обработке данных, кто настроил системы защиты, кто допустил к данным неуправомоченное лицо. Директор как оператор по статье 18.1 Федерального закона № 152-ФЗ несёт ответственность за организацию режима обработки — это делает его уязвимым субъектом по части 2 статьи 137 УК РФ.

ИТ-директор и системный администратор — первые, кого следствие допрашивает как подозреваемых по статье 272 УК РФ. Их действия по предоставлению доступа, настройке прав и реагированию на инциденты документируются в ходе технической экспертизы. Главный бухгалтер попадает под риск в сценариях, связанных с передачей данных о зарплатах и выплатах третьим лицам.

На практике важно учитывать следующее: если компания имела утверждённую политику обработки персональных данных, провела инструктаж сотрудников и зафиксировала технические меры защиты, — это существенно сужает основания для привлечения директора. Суд учитывает этот факт при оценке умысла по части 2 статьи 137 УК РФ.

Утверждённая политика обработки персональных данных (актуальная редакция)
Журнал инструктажей сотрудников с подписями
Матрица прав доступа к информационным системам
Уведомление Роскомнадзора о статусе оператора
Протокол реагирования на инциденты (IR-план)

// Примечание

По данным Судебного департамента при Верховном суде РФ, в делах по статье 272 УК РФ доля обвинительных приговоров превышает 95%. Прекращение дела на досудебной стадии — основной результат успешной защиты.

Как «Ветров. 49» выстраивает защиту по делам с персональными данными

Защита по делам о нарушениях режима персональных данных строится вокруг двух задач: не допустить возбуждения дела или добиться его прекращения до суда, и — если дело возбуждено — обеспечить переквалификацию на менее тяжкий состав. Оба направления требуют раннего включения: чем позже привлечён защитник, тем меньше процессуального пространства для манёвра.

На стадии доследственной проверки — сопровождение при допросах должностных лиц, оспаривание оснований для изъятия серверного оборудования, подготовка мотивированного объяснения об отсутствии умысла и наличии систем защиты данных. На этой стадии возможно прекращение в порядке пункта 2 части 1 статьи 24 УПК РФ (отсутствие состава преступления).

После возбуждения дела — работа с технической экспертизой: оспаривание методики, привлечение независимого эксперта, опровержение квалифицирующих признаков (крупный ущерб, организованная группа). Параллельно — ходатайство об изменении меры пресечения, возврате изъятого оборудования и обеспечении непрерывности бизнеса клиента.

Частая ошибка директора — участие в допросах без защитника, полагая, что компания «всё сделала правильно». Протокол допроса, данный без подготовки, нередко содержит формулировки, которые следствие впоследствии использует для доказательства умысла.

Кейс 2 · 2025 · Финансовые сервисы · Центральный ФО

МФО, Москва, выручка 620 млн ₽

Триггер

Управление «К» МВД зафиксировало продажу базы заёмщиков (560 тыс. записей) на теневом форуме. Возбуждено дело по частям 2 и 3 статьи 137 УК РФ в отношении коммерческого директора и руководителя ИТ-отдела. Следствие настаивало на применении части 3 (организованная группа) с санкцией до 5 лет.

Результат

Прекращение уголовного преследования коммерческого директора за отсутствием умысла на стадии предварительного следствия. В отношении руководителя ИТ-отдела — переквалификация с части 3 на часть 1 статьи 137 УК РФ, условный срок.

Каждая ситуация требует индивидуальной оценки: стадия дела, статус клиента в деле (подозреваемый / свидетель), наличие документов о системах защиты данных — всё это влияет на выбор стратегии. Важно начать работу до первого допроса.

Уже вызвали на допрос или пришли с проверкой?

Сопроводим на допросе, оспорим обыск, выстроим стратегию защиты — в рамках уголовного дела по статьям 137, 272 или 274.1 УК РФ. Конфиденциальность по соглашению.

Обсудить ситуацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Стоимость и сроки работы по делам с персональными данными

Стоимость защиты по делу о нарушениях режима персональных данных определяется стадией дела и составом. Три типовых сценария — для собственника, наёмного директора и ИТ-руководителя — различаются как по объёму работы, так и по срокам.

Сценарий	Стадия	Ориентировочный срок	Формат работы
Собственник / директор как оператор ПД	Доследственная проверка	1–3 месяца	Сопровождение допросов, подготовка объяснений, аудит документов
ИТ-директор / администратор	После возбуждения дела	6–18 месяцев	Защита на следствии, работа с экспертизой, ходатайства
Компания в целом (превентив)	До проверки / инцидента	10–15 рабочих дней	Уголовно-правовой аудит + план устранения рисков

Превентивный аудит по уголовным рискам 152-ФЗ обходится существенно дешевле, чем защита по возбуждённому делу. Экономика проста: устранение уязвимостей в документах и системах защиты данных до инцидента занимает 2–4 недели и требует минимального бюджета; ведение дела на стадии предварительного следствия — это многомесячная работа команды с непредсказуемым горизонтом.

✓ Важно

После предъявления обвинения по статье 272 УК РФ у стороны защиты, как правило, есть 48–72 часа до выбора судом меры пресечения. Промедление с привлечением защитника в этот период существенно сужает процессуальные возможности.

Направления практики по теме

Защита по уголовному делу — ведение дел по ст. 137, 272, 274.1 УК РФ
Уголовно-правовой аудит — проверка рисков до возбуждения дела
Защита при обысках и допросах — выезд при следственных действиях

📋 Чек-лист уголовных рисков оператора персональных данных

12 контрольных точек по документам, системам защиты и порядку уведомления Роскомнадзора — для самостоятельной оценки до прихода проверяющих.

Напишите «152-ФЗ риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔐

Часто задаваемые вопросы

Q.01 Есть ли у вас кейсы защиты по делам с персональными данными и каков их результат?

Практика «Ветров. 49» включает дела по статьям 137, 272 и 274.1 Уголовного кодекса, связанные с утечками персональных данных и неправомерным доступом к информационным системам. В делах, где следствие квалифицировало действия по части 3 статьи 272 УК РФ (ущерб свыше 1 миллиона рублей), удалось добиться переквалификации на менее тяжкий состав либо прекращения дела на стадии доследственной проверки. Ключевое направление защиты — разграничение уголовно-правового деяния и административного проступка по статье 13.11 КоАП РФ: значительная часть действий с данными, которые следствие квалифицирует как уголовные, при грамотной экспертизе остаётся в административном поле. Конфиденциальность по соглашению.

Q.02 Как заранее проверить уголовные риски для компании, работающей с персональными данными?

Уголовно-правовой аудит в сфере персональных данных проверяет три ключевых блока: правовые основания обработки (наличие согласий, локальные акты оператора), техническую защиту систем (соответствие приказам ФСТЭК № 17, 21) и порядок трансграничной передачи данных (уведомление Роскомнадзора по статье 12 Федерального закона № 152-ФЗ). По итогам выявляются составы, по которым возможно возбуждение дела, — статьи 137, 272, 274.1 Уголовного кодекса — и даётся план устранения до проверки регулятора. Срок аудита — 10–15 рабочих дней. Стоимость сопоставима с расходами на защиту по одному уголовному делу.

Q.03 С какими следственными органами чаще всего сталкиваются компании из сферы обработки данных?

Основной следственный орган по делам о персональных данных — Следственный комитет Российской Федерации: он расследует дела по статьям 137, 272 и 274.1 Уголовного кодекса. По делам о неправомерном доступе к государственным информационным системам (статья 274.1 УК РФ, включая критическую информационную инфраструктуру) к расследованию подключается ФСБ России. Оперативное сопровождение — как правило, Управление «К» МВД России (управление по борьбе с компьютерными преступлениями). Дела, связанные с утечкой данных из финансового сектора, могут получить материалы из Роскомнадзора или ЦБ РФ, передаваемые в СК в порядке статьи 144 УПК РФ.

Q.04 Какая уголовная ответственность грозит директору за утечку персональных данных сотрудников?

Директор как должностное лицо-оператор несёт личную уголовную ответственность по статье 137 Уголовного кодекса — незаконное распространение сведений о частной жизни. Часть 2 этой статьи (с использованием должностного положения) предусматривает лишение свободы до четырёх лет с лишением права занимать должности до пяти лет. Если утечка произошла через взлом корпоративной системы — дополнительно возможна квалификация по статье 272 УК РФ, причём ответственность наступает даже при отсутствии умысла на распространение, но при доказанности умысла на доступ к защищённой информации. Уголовного преследования директора можно избежать, если утечка произошла без его ведома и компания имела надлежащие системы защиты.

Уголовные риски в сфере персональных данных — одни из наиболее быстро растущих в практике экономической уголовки. Статьи 137 и 272 УК РФ применяются даже при отсутствии умысла на продажу данных: достаточно халатного хранения или ненадлежащей настройки прав доступа. Превентивный аудит и грамотная документация снижают риск до минимума.

«Ветров. 49» специализируется на уголовной защите бизнеса с 2017 года: рейтинг Право·300, Best Lawyers 2021, более 1000 проектов в практике защиты предпринимателей. По делам в сфере персональных данных — опыт на всех стадиях: от доследственной проверки до суда.

Что делать сейчас?

Если ваша компания обрабатывает данные клиентов или сотрудников — риски по 152-ФЗ реальны уже сегодня. Право·300 с 2017 г. · 1000+ проектов.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00