🗂 Отраслевые Услуга · Защита

Уголовные риски при работе с персональными данными (152-ФЗ)

Операторы персональных данных — компании, которые собирают, хранят или передают сведения о гражданах, — несут не только административную ответственность по КоАП РФ, но и уголовно-правовые риски по статьям 137, 272, 273 и 183 УК РФ. По состоянию на май 2026 года число уголовных дел, связанных с утечками данных, выросло на 47% по сравнению с 2023 годом (данные СК РФ). Без выстроенной системы защиты директор и ИТ-руководитель остаются личными фигурантами этих дел.

Работаете с персональными данными — проверьте уголовные риски до того, как это сделает следствие.

Получить консультацию → Telegram

ДК

Дарья Кравцова

Аналитик · корпоративные и экономические составы

Опубликовано 15 мая 2026 Обновлено 15 мая 2026 18 мин. чтения

+47%

рост числа уголовных дел об утечках данных 2023–2025 (СК РФ)

7 лет

максимальная санкция по ч. 4 ст. 272 УК РФ

15 млн ₽

максимальный штраф РКН за утечку с 2024 года

30 дней

срок доследственной проверки по ст. 144 УПК РФ

Топ-5 уголовных рисков оператора персональных данных

Оператор персональных данных несёт уголовно-правовые риски по пяти основным направлениям: неправомерный доступ к базам данных, незаконное распространение сведений о частной жизни, создание вредоносного программного обеспечения, разглашение коммерческой тайны и злоупотребление полномочиями должностным лицом. Каждый из этих рисков может реализоваться независимо от наличия умысла у руководителя — достаточно халатности сотрудника, получившего несанкционированный доступ к базе.

Риск 1. Утечка через внутреннего злоумышленника. Сотрудник с легитимным доступом копирует базу клиентов и продаёт её конкуренту или передаёт во внешний канал. Следствие рассматривает как субъекта не только сотрудника, но и руководителя службы безопасности и директора — при условии, что в компании не был установлен надлежащий режим доступа. Статья 272 УК РФ распространяется на всех причастных лиц.

Риск 2. Несанкционированная передача данных третьим лицам. Сервисный договор с подрядчиком без надлежащего поручения на обработку ПДн (статья 6 Федерального закона № 152-ФЗ) автоматически превращает передачу в незаконную. Если переданные сведения содержат банковскую или медицинскую информацию, добавляется риск по статье 183 УК РФ (незаконное получение и разглашение сведений, составляющих охраняемую законом тайну).

Риск 3. Хранение данных на зарубежных серверах. С 2023 года Федеральный закон № 152-ФЗ требует первичной локализации персональных данных российских граждан на территории России. Нарушение фиксирует Роскомнадзор, однако при повторных выявлениях и признаках умысла материалы направляются в СК РФ — с переквалификацией по статье 272 УК РФ.

Риск 4. Биометрические данные. С сентября 2023 года операторы, не передавшие биометрические ПДн в Единую биометрическую систему (ЕБС) в установленные сроки, подпадают под ужесточённые санкции РКН. Несогласованная обработка биометрии — дополнительный триггер для проверки по статье 137 УК РФ (часть вторая, использование специального технического средства).

Риск 5. Маркетинговые базы без согласий. Списки подписчиков, собранные без явного согласия субъекта и использованные для рассылок, становятся предметом проверки как по КоАП РФ, так и — при значительном объёме затронутых лиц — по статье 137 УК РФ. Суды признают массовые адресные рассылки по персональным данным без согласия формой незаконного распространения сведений о частной жизни.

⚠ Типичная ошибка

Компании разграничивают административную (РКН) и уголовную (СК РФ) ответственность как параллельные треки, не пересекающиеся. На практике административная проверка РКН — стандартный повод для передачи материалов в правоохранительные органы при выявлении признаков умысла.

Какие статьи УК РФ применяются к нарушениям 152-ФЗ?

Прямой «статьи за нарушение 152-ФЗ» в Уголовном кодексе не существует. Ответственность наступает по четырём основным нормам в зависимости от способа нарушения, категории данных и субъекта. Статья 272 УК РФ (неправомерный доступ к охраняемой компьютерной информации) — основная норма по делам об утечках: санкция от штрафа до семи лет лишения свободы по части четвёртой при тяжких последствиях или деянии организованной группой.

Статья УК РФ	Состав	Санкция (максимум)	Типичный триггер
Ст. 137 ч. 1	Нарушение неприкосновенности частной жизни	2 года л/с	Незаконный сбор / распространение ПДн
Ст. 137 ч. 2	То же, с использованием служебного положения	4 года л/с	Директор, HR, ИТ-директор
Ст. 272 ч. 1	Неправомерный доступ к компьютерной информации	2 года л/с	Копирование без разрешения владельца
Ст. 272 ч. 3	То же, группой лиц / с использованием служ. положения	5 лет л/с	ИТ-специалист + руководитель
Ст. 272 ч. 4	То же, с тяжкими последствиями / орг. группой	7 лет л/с	Масштабная утечка (от 100 000 записей)
Ст. 273	Создание / использование вредоносных программ	7 лет л/с	Скрипты автоматического сбора ПДн
Ст. 183 ч. 1	Незаконное получение сведений, составляющих тайну	2 года л/с	Медицинская, банковская, налоговая тайна
Ст. 201 ч. 1	Злоупотребление полномочиями	4 года л/с	Директор, монетизировавший базу клиентов

✓ Важно

Статьи 272 и 137 УК РФ нередко предъявляются в совокупности. Суд квалифицирует по обеим нормам, если факт неправомерного доступа к базе сопровождался последующим распространением сведений о частной жизни конкретных лиц. Срок давности по ст. 272 ч. 1 — 6 лет; по ч. 4 — 10 лет.

Как следствие возбуждает дела по утечкам персональных данных?

Типичный сценарий возбуждения уголовного дела по нарушению 152-ФЗ проходит три стадии: административная проверка РКН → передача материалов в СК РФ → доследственная проверка по статье 144 УПК РФ (срок — 30 суток с возможным продлением). По данным публичной статистики СК РФ, в 2024–2025 годах более 60% уголовных дел в сфере утечек данных инициировались именно по материалам Роскомнадзора, а не по заявлениям потерпевших.

Стадия 1. Инцидент или жалоба субъекта. Субъект ПДн обнаруживает, что его данные использованы без согласия, и обращается в РКН. Параллельно возможна утечка в публичный доступ (Telegram-каналы, даркнет), которую мониторят оперативные подразделения Управления «К» МВД и ФСБ.

Стадия 2. Проверка РКН и административное дело. РКН проводит плановую или внеплановую проверку. Если выявлены нарушения статей 18.1 и 19 Федерального закона № 152-ФЗ, составляется административный протокол. При наличии признаков умысла (передача данных за вознаграждение, систематический характер нарушений) материалы направляются в СК РФ по статье 37 УПК РФ.

Стадия 3. Доследственная проверка и обыск. После получения материалов СК РФ возбуждает проверку. В рамках оперативно-розыскных мероприятий (ОРМ) проводятся: получение информации о соединениях, анализ трафика, изучение журналов доступа к базам данных. Первым следственным действием в офисе, как правило, становится обыск по статье 182 УПК РФ. К этому моменту у компании остаётся не более 48 часов с момента уведомления об обыске до его проведения — на практике уведомления нет.

⚠ Типичная ошибка

При первом контакте со следствием ИТ-директор или системный администратор даёт «технические пояснения» без адвоката — полагая, что речь идёт о технической консультации. Эти объяснения фиксируются как показания и могут быть использованы против него и руководителя компании.

Следствие уже смотрит на вашу компанию?

После поступления материалов от РКН в СК РФ у компании остаётся узкое окно для превентивных действий — до возбуждения уголовного дела. «Ветров. 49» специализируется на защите именно на этой стадии: организация правовой позиции, выработка позиции для сотрудников, минимизация объёма изымаемых данных при обыске.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кейс 1 · 2024 · Телеком / ИТ-сервис

Региональный оператор связи, Приволжский ФО, выручка 480 млн ₽

Триггер

РКН зафиксировал утечку 380 000 записей абонентов в публичный доступ. Материалы переданы в СК РФ. Назначен обыск в центральном офисе и дата-центре. Под угрозой предъявления обвинения — генеральный директор и руководитель ИТ-департамента (ст. 272 ч. 3 УК РФ).

Результат

Доследственная проверка прекращена в связи с отсутствием состава преступления. Установлено, что утечка произошла через уязвимость стороннего подрядчика без ведома и умысла должностных лиц компании. Уголовное дело не возбуждено. Конфиденциальность по соглашению.

Кто внутри компании несёт уголовный риск при нарушении 152-ФЗ?

Уголовная ответственность за нарушение режима персональных данных распределяется между должностными лицами компании в зависимости от их полномочий и фактических действий. Следствие применяет трёхуровневую модель ответственности: непосредственный исполнитель (сотрудник), должностное лицо — куратор процесса (руководитель ИТ или DPO) и высшее должностное лицо (генеральный директор).

Собственник и генеральный директор. Несут риск по статьям 137 часть 2 и 201 УК РФ — при наличии доказательств осведомлённости о нарушении или личной выгоды. Следствие проверяет: были ли утверждены локальные акты об обработке ПДн, проводился ли инструктаж сотрудников, фиксировались ли инциденты. Отсутствие документального следа расценивается как признак формальной политики безопасности.

ИТ-директор и системный администратор. Основные фигуранты дел по статье 272 УК РФ. Риск возникает при: отсутствии ролевой модели доступа к базам данных, хранении резервных копий без шифрования, предоставлении избыточных прав подрядчикам. На практике следствие часто заходит через ИТ-специалиста, получая у него объяснения, и только затем предъявляет обвинение директору.

DPO (ответственный за обработку ПДн). С 2023 года для операторов, обрабатывающих ПДн в значительном объёме, назначение ответственного лица обязательно. DPO, не принявший мер при выявленном инциденте и не уведомивший РКН в 72-часовой срок (статья 21 Федерального закона № 152-ФЗ), становится соучастником по признаку попустительства.

Главный бухгалтер. Риск возникает при ведении расчётов с контрагентами, которым незаконно переданы базы клиентов, — как факт получения выгоды от незаконной деятельности (статья 174.1 УК РФ, легализация). Встречается редко, однако следствие проверяет движение средств при выявлении коммерческой составляющей утечки.

✓ Важно

Матрица сценариев: собственник ООО — риск по ст. 201 + 137 ч. 2 УК РФ при доказанной осведомлённости; наёмный директор — риск по ст. 137 ч. 2 при делегировании без надлежащего контроля; главный бухгалтер — риск только при наличии финансовой транзакции, связанной с незаконной передачей данных.

Что подготовить оператору ПДн превентивно

Политика обработки ПДн — актуализированная редакция с датой утверждения, охватывающая все категории обрабатываемых данных.
Журнал доступа к базам данных — ролевая модель, логи обращений к персональным данным, история изменений прав.
Договоры поручения на обработку ПДн со всеми подрядчиками (статья 6 Федерального закона № 152-ФЗ) — без них передача данных юридически незаконна.
Процедура реагирования на инциденты — регламент 72-часового уведомления РКН с назначенным ответственным лицом.
Заключение уголовно-правового аудита — независимая оценка рисков по статьям 137, 272, 273, 183 УК РФ применительно к текущим процессам компании.

Как строится уголовная защита при делах о нарушении 152-ФЗ?

Уголовная защита оператора персональных данных строится по трём направлениям: технико-криминалистическое (оспаривание доказательной базы следствия), процессуальное (контроль допустимости собранных доказательств) и организационное (выработка единой позиции должностных лиц компании). Наиболее эффективные результаты достигаются при подключении защиты на стадии доследственной проверки — до предъявления обвинения.

Оспаривание доказательной базы. Центральное доказательство по делам о нарушении 152-ФЗ — заключение компьютерно-технической экспертизы. Следствие назначает государственного эксперта, однако заключение государственной экспертизы нередко содержит технические ошибки в описании архитектуры доступа. Защита вправе ходатайствовать о назначении дополнительной или повторной экспертизы (статья 207 УПК РФ) и представить рецензию специалиста на заключение государственного эксперта.

Процессуальный контроль при обыске. При проведении обыска в офисе (статья 182 УПК РФ) следователь вправе изъять компьютерную технику, серверы, носители информации и документы. Задача защиты — обеспечить фиксацию нарушений протокола: отсутствие понятых надлежащего статуса, несоответствие изъятого постановлению, нарушение порядка упаковки и опечатывания носителей. Каждое нарушение — основание для признания доказательства недопустимым по статье 75 УПК РФ.

Квалификационная защита. Разграничение составов 137 и 272 УК РФ принципиально для меры пресечения и санкции. Защита добивается квалификации по наименее тяжкой норме: отсутствие умысла на распространение (только хранение) исключает состав статьи 137; отсутствие признака «модификации или уничтожения» снижает квалификацию по статье 272 до части первой.

// Примечание

Позиция Пленума ВС РФ № 48 от 26.11.2019 (по налоговым составам) формирует общую логику доказывания умысла в экономических делах: применение аналогичного подхода к делам по ст. 272 УК РФ — стандартная тактика защиты. Суды принимают аргументы об отсутствии умысла при наличии задокументированных превентивных мер компании.

Уже началась проверка или обыск?

После предъявления обвинения по статье 272 части 3 УК РФ у защиты есть 48–72 часа до решения суда об избрании меры пресечения. Промедление с подключением адвоката на этой стадии значительно сужает процессуальные возможности. «Ветров. 49» работает в режиме 24/7 по срочным вызовам при обысках и задержаниях.

Связаться срочно → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Кейс 2 · 2025 · Медицинские услуги / МедТех

Сеть частных клиник, Центральный ФО, выручка 1,2 млрд ₽

Триггер

Бывший системный администратор передал медицинские карты пациентов (около 22 000 записей) страховой компании за вознаграждение. Возбуждено уголовное дело по ст. 272 ч. 3 и ст. 137 ч. 2 УК РФ. Генеральный директор и медицинский директор вызваны на допрос в качестве подозреваемых.

Результат

Уголовное преследование директоров прекращено за отсутствием состава преступления. Представлена документальная база: журналы доступа, договоры о неразглашении с сотрудниками, акты инструктажа. Дело переквалифицировано как деяние единственного физического лица (бывшего сотрудника) без соучастия руководства. Конфиденциальность по соглашению.

Стоимость защиты по делам о персональных данных

Стоимость работ зависит от стадии дела, числа фигурантов и сложности технической экспертизы. «Ветров. 49» работает по фиксированным тарифам на каждый этап — без почасовых надбавок и непредсказуемого итогового счёта. Ориентиры формируются на первичной консультации после изучения материалов.

Услуга	Стадия	Ориентир стоимости
Уголовно-правовой аудит оператора ПДн	Превентив	от 120 000 ₽
Регламент реагирования на инциденты ПДн	Превентив	от 80 000 ₽
Сопровождение при обыске и выемке	Следственные действия	от 50 000 ₽ / выезд
Защита на стадии доследственной проверки	До возбуждения дела	от 250 000 ₽
Защита по возбуждённому делу (ст. 272/137 УК РФ)	Расследование	от 450 000 ₽

✓ Важно

Превентивный аудит обходится в 3–5 раз дешевле защиты по возбуждённому делу. Если у компании нет актуальной политики ПДн и журналов доступа — следствию проще доказать умысел руководителя. Каждый отсутствующий документ работает против директора.

Направления практики по теме

Защита по уголовному делу — представление интересов при предъявлении обвинения и в суде
Уголовно-правовой аудит — оценка рисков по ст. 137, 272, 273, 183 УК РФ до проверки
Защита при обысках и допросах — срочный выезд, контроль протокола, позиция сотрудников

Вопросы и ответы

Q.01 Есть ли у «Ветров. 49» кейсы по делам о персональных данных и каков их результат?

Практика включает дела, возбуждённые по статье 272 Уголовного кодекса (неправомерный доступ к компьютерной информации) и статье 137 Уголовного кодекса (нарушение неприкосновенности частной жизни) в связи с утечками персональных данных. В нескольких делах удалось добиться прекращения уголовного преследования на стадии доследственной проверки — до возбуждения уголовного дела. В одном деле переквалификация с части второй на часть первую статьи 272 позволила избежать реального лишения свободы. Конкретные подробности не раскрываются в рамках конфиденциальности по соглашению с клиентами.

Q.02 Как заранее проверить уголовные риски компании, работающей с персональными данными?

Уголовно-правовой аудит — основной инструмент превентивной защиты. Проверяется соответствие процессов оператора требованиям Федерального закона № 152-ФЗ: наличие локальных актов, режим доступа к базам данных, договорная цепочка с обработчиками. Параллельно анализируются уголовно-правовые риски по статьям 137, 272, 273 и 183 Уголовного кодекса. По итогам аудита выдаётся заключение с матрицей рисков и конкретными рекомендациями по доработке. Стоимость аудита в «Ветров. 49» фиксированная — рассчитывается до начала работы. Превентивный аудит обходится в среднем в 5–10 раз дешевле защиты по уже возбуждённому делу.

Q.03 С какими следственными органами чаще всего сталкиваются компании в сфере персональных данных?

Дела по статье 272 Уголовного кодекса (неправомерный доступ к компьютерной информации) расследует Следственный комитет Российской Федерации — отдел по расследованию преступлений в сфере компьютерной информации. Дела по статьям 137 и 183 Уголовного кодекса могут расследоваться как СК РФ, так и следственными подразделениями МВД (оперативную работу ведёт Управление «К» — подразделение по борьбе с преступлениями в сфере информационных технологий). Роскомнадзор инициирует административную ответственность, однако при выявлении признаков умышленных действий материалы передаются в правоохранительные органы. Уведомление о нарушении, направленное в Роскомнадзор, может стать первичным поводом для доследственной проверки по статье 144 Уголовно-процессуального кодекса.

Q.04 Какая уголовная ответственность предусмотрена за утечку персональных данных в 2026 году?

Прямой «статьи за утечку персональных данных» в Уголовном кодексе нет — ответственность наступает по совокупности норм. Статья 272 Уголовного кодекса (неправомерный доступ к охраняемой компьютерной информации) предусматривает наказание до двух лет лишения свободы по части первой и до семи лет — если деяние повлекло тяжкие последствия (часть четвёртая). Статья 137 Уголовного кодекса (нарушение неприкосновенности частной жизни) применяется при незаконном сборе или распространении сведений о частной жизни — санкция до четырёх лет по части второй. Статья 183 Уголовного кодекса применяется при незаконном получении сведений, составляющих коммерческую тайну — до двух лет по части первой и до пяти лет при квалифицирующих признаках.

📋 Матрица уголовных рисков оператора ПДн

Таблица: какие действия компании с персональными данными квалифицируются по каким статьям УК РФ — с порогами, санкциями и типичными триггерами возбуждения дел.

Напишите «ПДн риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🗂

Что делать сейчас?

Уголовные риски при работе с персональными данными — не гипотетические: следствие ведёт дела по статьям 272, 137 и 183 УК РФ всё активнее, а первым шагом к делу остаётся административная проверка РКН. «Ветров. 49» — рейтинг Право·300 с 2017 года, более 1000 проектов в уголовной защите бизнеса. Мы сопровождаем операторов ПДн как на стадии превентивного аудита, так и при уже возбуждённом деле.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00