Уголовная защита для бизнеса, топ-менеджмента
и должностных лиц
МСК НСК КРН КМР
БРН ОМС ЕКБ
Партнёра
цитируют
и публикуют
РБК
Ведомости
Коммерсантъ
Деловой квартал
Главная/ Аналитика/ Отраслевые/ Уголовные риски · 152-ФЗ
🗂 Отраслевые Услуга · Защита

Уголовные риски при работе с персональными данными (152-ФЗ)

Работа с персональными данными превращается в уголовный риск, когда оператор или его сотрудник выходит за рамки служебной необходимости. По состоянию на май 2026 года ст. 137, 138 и 272 УК РФ применяются к ИТ-директорам, HR-руководителям и собственникам бизнеса — не только к хакерам. После волны утечек 2023–2025 годов Роскомнадзор направил в СК РФ свыше 400 материалов с признаками уголовно наказуемых деяний. Этот материал — о том, какие пять составов реально работают и как выстроить защиту до возбуждения дела.

Получите оценку уголовных рисков вашей компании в сфере персональных данных — бесплатно.

Получить консультацию Telegram
ДК
Дарья Кравцова
Аналитик · корпоративные и экономические составы
Опубликовано Обновлено 18 мин. чтения
4 года
санкция по ч. 2 ст. 137 УК РФ при использовании служебного положения
7 лет
максимум по ч. 4 ст. 272 УК РФ при тяжких последствиях
400+
материалов РКН в СК РФ с признаками уголовных деяний (2023–2025)
18.1 ст.
152-ФЗ — обязанности оператора, нарушение которых формирует состав

Какие пять уголовных составов реально применяются к операторам персональных данных?

Уголовное преследование за нарушение режима персональных данных строится не на одной норме, а на совокупности составов УК РФ. Пять ключевых статей — ст. 137, 138, 272, 273, 183 УК РФ — применяются в зависимости от того, кто именно и каким способом нарушил требования Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Умысел, способ доступа и категория данных определяют, какой состав предъявит следователь.

✓ Важно
Административная ответственность по ст. 13.11 КоАП РФ и уголовная — не взаимоисключающие. Роскомнадзор фиксирует нарушение и штрафует; материалы одновременно направляются в СК РФ при наличии признаков умысла или ущерба.

Состав № 1. Статья 137 УК РФ — нарушение неприкосновенности частной жизни. Незаконный сбор или распространение сведений о частной жизни лица без его согласия, совершённые с использованием служебного положения (часть 2), — лишение свободы до 4 лет. Это основной состав для HR-директора, выгрузившего базу кандидатов конкурентам, или сотрудника call-центра, продавшего клиентские данные.

Состав № 2. Статья 138 УК РФ — нарушение тайны переписки и телефонных переговоров. Часть 2 — с использованием служебного положения — до 4 лет лишения свободы. Применяется, когда оператор сохраняет и раскрывает содержание мессенджер-переписки пользователей без судебного решения.

Состав № 3. Статья 272 УК РФ — неправомерный доступ к компьютерной информации. Ключевой состав при утечках через взлом внутренних систем. Часть 4 (группа лиц, тяжкие последствия) — до 7 лет. Следствие применяет этот состав и к инсайдерам: системный администратор, скопировавший базу данных вне своих полномочий, — типичный обвиняемый.

Состав № 4. Статья 273 УК РФ — создание вредоносного ПО. Применяется, когда утечка произошла через внедрённое в инфраструктуру программное обеспечение, собирающее данные. Санкция по ч. 2 — до 4 лет лишения свободы. Риск для ИТ-директора: если средство автоматизации было квалифицировано как «вредоносное» вне зависимости от первоначального умысла.

Состав № 5. Статья 183 УК РФ — незаконное получение и разглашение коммерческой тайны. Действует параллельно с 152-ФЗ, когда персональные данные клиентов одновременно составляют коммерческую тайну. Часть 3 (тяжкие последствия) — до 5 лет лишения свободы. На практике этот состав часто предъявляется вместе со ст. 137 УК РФ при корпоративных конфликтах.

Статья УК РФ Типичный субъект Ключевой признак Максимальная санкция
Ст. 137, ч. 2 HR, маркетолог, call-центр Служебное положение 4 года л/с
Ст. 138, ч. 2 Оператор связи, ИТ-директор Тайна переписки 4 года л/с
Ст. 272, ч. 4 Системный администратор, хакер Тяжкие последствия 7 лет л/с
Ст. 273, ч. 2 Разработчик ПО, ИТ-директор Вредоносное ПО 4 года л/с
Ст. 183, ч. 3 Топ-менеджер, сотрудник Коммерческая тайна + ПДн 5 лет л/с

Как на практике возбуждают уголовное дело за нарушение 152-ФЗ?

Типичный сценарий возбуждения уголовного дела о персональных данных — двухэтапный: административная проверка Роскомнадзора выявляет нарушения, а при наличии признаков умысла или крупного ущерба материалы передаются в Следственный комитет. Следователь управления «К» МВД или подразделения СК РФ проводит доследственную проверку в порядке статей 144–145 УПК РФ — как правило, 30 дней с возможностью продления до 3 месяцев.

Второй канал — жалоба физического лица, чьи данные оказались в открытом доступе. В 2024–2025 годах число таких обращений существенно выросло: появились сервисы мониторинга утечек, которыми граждане пользуются для подачи жалоб. Роскомнадзор также ведёт собственный мониторинг даркнет-площадок.

Третий канал — оперативно-розыскные мероприятия (ОРМ) по инициативе полиции при обнаружении продажи баз данных. Управление «К» МВД проводит контрольную закупку «персональных данных», после чего возбуждается дело по ст. 137 и 272 УК РФ одновременно.

⚠ Типичная ошибка
Компании воспринимают предписание Роскомнадзора как «административный вопрос» и не привлекают уголовного адвоката. На практике параллельно с предписанием в СК РФ уже направлен запрос о проверке. Промедление с выработкой позиции на этом этапе существенно сужает процессуальные возможности.

Доследственная проверка включает истребование документов от оператора, осмотр серверов, опросы сотрудников — без статуса допроса, но с фактическими последствиями для дела. После проверки следователь либо возбуждает дело, либо выносит отказ. Обжалование отказа — статьи 124–125 УПК РФ — используется потерпевшими для «разворота» дела.

Если компания уже получила запрос Роскомнадзора или повестку на опрос — это не административная процедура. Это начало уголовного дела.

Пришёл запрос РКН или вызвали на опрос?
«Ветров. 49» оценивает ситуацию за 2 часа. Определим, есть ли признаки уголовного дела, и выработаем позицию до первого контакта со следователем. Право·300 · 1000+ проектов.
Получить консультацию Telegram → WhatsApp →
+7 (983) 510-38-76 · конфиденциально

Кто несёт уголовную ответственность: собственник, директор или главный бухгалтер?

Уголовная ответственность за нарушения 152-ФЗ персонифицирована: привлекается физическое лицо, которое приняло решение о неправомерной обработке или допустило её вследствие бездействия. Роль собственника, директора и технического специалиста в уголовном деле принципиально различается — и стратегия защиты для каждого выстраивается по-разному.

Собственник (участник / акционер). Уголовный риск возникает, если собственник давал прямые указания об использовании данных вне согласия субъектов — например, для агрессивного маркетинга или слежки за сотрудниками. Доказательная база строится на переписке, показаниях сотрудников, корпоративных документах. Сам по себе статус собственника не создаёт ответственности — нужен умысел.

Генеральный директор / директор по персоналу. Основной «адресат» статьи 137 ч. 2 УК РФ — «с использованием служебного положения». Если директор подписал приказ о передаче базы данных третьей стороне без надлежащего основания, он становится субъектом состава. Частая ошибка: директора полагают, что достаточно перепоручить работу с ПДн исполнителю. Следователь в таких случаях квалифицирует это как организацию преступления.

ИТ-директор / системный администратор. Субъект ст. 272 УК РФ при несанкционированном копировании баз данных. Даже если сотрудник действовал «по привычке» или считал это служебной необходимостью — выход за пределы должностных полномочий образует состав. Должностная инструкция и приказ о доступе — ключевые доказательства для защиты.

Главный бухгалтер. Риск возникает при передаче данных о зарплатах, налоговых выплатах и банковских реквизитах сотрудников третьим лицам — коллекторам, контрагентам. Применяется ст. 137 УК РФ в совокупности с нарушением ст. 7 152-ФЗ (конфиденциальность персональных данных).

✓ Важно
Разграничение ответственности между исполнителем и организатором — ключевой инструмент защиты. Следствие стремится «поднять» дело до уровня топ-менеджера. Задача адвоката — доказать отсутствие умысла у руководителя и ограничить ответственность фактическим исполнителем, действовавшим самостоятельно.
  • Должностные инструкции с явными границами доступа к ПДн
  • Журналы доступа к информационным системам (логи)
  • Приказы об уполномоченных лицах оператора
  • Согласия субъектов персональных данных с конкретным перечнем целей
  • Договоры с обработчиками (ст. 6 152-ФЗ)

Какие ошибки бизнеса при работе с персональными данными становятся уголовными рисками?

Уголовный риск при работе с персональными данными формируется не столько из злого умысла, сколько из системных процессуальных ошибок, которые следствие интерпретирует как доказательство вины. Анализ практики выявляет пять устойчивых паттернов, которые превращают административное нарушение 152-ФЗ в уголовное дело.

Ошибка 1: Избыточный сбор персональных данных без документированной цели. Компании собирают данные «на всякий случай» — без указания конкретной цели в политике обработки. При утечке следователь трактует это как умышленный сбор вне согласия субъекта (ст. 137 УК РФ). Минимизация перечня собираемых данных — прямая норма ст. 5 152-ФЗ, её нарушение фиксируется РКН автоматически.

Ошибка 2: Передача данных «дружественным» организациям без договора. Холдинговые структуры часто передают HR-базы между юридическими лицами без оформления поручения на обработку по ст. 6 152-ФЗ. Следствие квалифицирует это как незаконную передачу данных третьим лицам — состав ст. 137 ч. 1 или ч. 2 УК РФ.

⚠ Типичная ошибка
Многие директора полагают, что передача данных внутри группы компаний — это «внутреннее дело» и согласие субъекта не нужно. С точки зрения ст. 3 и ст. 6 152-ФЗ каждое юридическое лицо — самостоятельный оператор. Отсутствие письменного поручения на обработку — готовое доказательство для обвинения.

Ошибка 3: Хранение данных на незащищённых ресурсах. Базы данных клиентов в открытых Google Sheets, незапароленные облачные хранилища, CRM без разграничения доступа — прямой путь к утечке. После публичного обнаружения данных РКН проводит проверку, по итогам которой формируется материал для СК РФ с признаками ст. 272 УК РФ.

Ошибка 4: Увольнение сотрудника без отзыва доступа к ПДн. Бывший сотрудник с активными учётными данными, скопировавший базу клиентов, создаёт риск для работодателя: следствие выясняет, была ли у компании надлежащая система контроля. Отсутствие регламента отзыва доступа трактуется как халатность руководителя.

Ошибка 5: Отсутствие реагирования на инцидент утечки. С 1 сентября 2024 года операторы обязаны уведомлять РКН об утечках в течение 24 часов (ст. 21 152-ФЗ в редакции Федерального закона от 14.07.2022 № 266-ФЗ). Молчание фиксируется как сокрытие инцидента и усиливает позицию обвинения при возбуждении уголовного дела.

Как «Ветров. 49» выстраивает защиту по делам о персональных данных?

Защита по делам о персональных данных строится в четыре этапа — от оценки рисков до сопровождения в суде. Ключевое отличие от стандартного уголовного дела: значительная часть доказательной базы формируется на административной стадии (проверка РКН), до официального возбуждения дела. Именно на этом этапе защита наиболее эффективна.

Этап 1: Уголовно-правовой аудит оператора. Анализируем локальные акты, технические меры защиты и реальную практику обработки данных на предмет признаков составов ст. 137, 138, 272 УК РФ. Формируем карту рисков с приоритетами. Срок — 5–10 рабочих дней. Позволяет устранить большинство рисков до проверки РКН.

Этап 2: Сопровождение проверки РКН. Подготовка позиции и документов для проверки Роскомнадзора. Присутствие при осмотре систем. Оспаривание предписаний и актов через суд при наличии процессуальных нарушений. Цель — не допустить передачи материалов в СК РФ.

Этап 3: Доследственная проверка СК РФ. Если материалы переданы в Следственный комитет, выстраиваем позицию для опросов сотрудников. Анализируем, какие именно признаки состава усматривает следователь. Подаём возражения на стадии доследственной проверки — это процессуально возможно и снижает вероятность возбуждения дела.

Этап 4: Защита на стадии предварительного следствия и в суде. При возбуждении дела — работа с доказательной базой: оспаривание признаков умысла, доказывание надлежащего исполнения должностных обязанностей, переквалификация с уголовной ответственности на административную. Параллельно — работа по имущественным мерам: снятие ареста со счетов и активов компании.

Направления практики по теме

Уголовно-правовой аудит занимает 5–10 дней и позволяет устранить риски до того, как Роскомнадзор начнёт проверку. После возбуждения дела тех же результатов достичь значительно сложнее и дороже.

Нужен аудит уголовных рисков по 152-ФЗ?
«Ветров. 49» проводит уголовно-правовой аудит операторов персональных данных: анализируем локальные акты, технические меры и реальную практику. Выявляем признаки составов ст. 137, 272 УК РФ до проверки. Право·300 · 1000+ проектов.
Запросить аудит Telegram → WhatsApp →
+7 (983) 510-38-76 · конфиденциально

Кейсы из практики

Кейс 1 · 2024 · ИТ-сервисы

ИТ-компания, Центральный ФО, выручка 320 млн ₽

Триггер
Утечка базы данных пользователей сервиса (свыше 200 000 записей). РКН провёл внеплановую проверку и направил материалы в СК РФ с указанием на признаки ч. 2 ст. 137 УК РФ. Под угрозой — ИТ-директор и генеральный директор.
Результат
Прекращение уголовного преследования на стадии доследственной проверки. Следствие не установило умысел: сбой в системе разграничения доступа был задокументирован как технический инцидент, своевременно устранённый и уведомлённый. Материалы возвращены РКН для административного рассмотрения.
Кейс 2 · 2025 · Ритейл / HR

Торговая сеть, Сибирский ФО, выручка 1,2 млрд ₽

Триггер
HR-директор передал базу резюме соискателей (свыше 50 000 записей) аффилированной рекрутинговой компании без согласия субъектов и без договора поручения. После жалобы одного из соискателей — возбуждено уголовное дело по ч. 2 ст. 137 УК РФ. Одновременно следователь запросил данные о коммерческой тайне компании (ст. 183 УК РФ).
Результат
Переквалификация на административную ответственность по ст. 13.11 КоАП РФ. Защита доказала отсутствие корыстного умысла и представила внутренние документы, подтверждающие, что HR-директор действовал в рамках устных указаний руководства холдинга. Уголовное дело прекращено по ч. 1 ст. 24 УПК РФ (отсутствие события преступления в действиях конкретного лица).
📋 Чек-лист: 12 уголовных рисков оператора персональных данных

Проверьте компанию по 12 критериям, которые следствие использует для квалификации нарушений 152-ФЗ как уголовных составов. Разработан на основе практики проверок РКН 2023–2025 годов.

Напишите «152 риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔐

Часто задаваемые вопросы

Q.01 Есть ли у вас кейсы защиты по делам о персональных данных и каков их результат?
Да, «Ветров. 49» имеет практику по делам, связанным с незаконным оборотом персональных данных. Дела возбуждались по части 2 статьи 137 УК РФ (незаконное распространение сведений о частной жизни) и статье 272 УК РФ (неправомерный доступ к компьютерной информации). По двум делам удалось добиться прекращения уголовного преследования на стадии предварительного следствия в связи с отсутствием состава преступления: следствие не доказало умысел на распространение данных вне служебных полномочий. Конфиденциальность по соглашению не позволяет раскрывать детали, однако типовые исходы — переквалификация на административную ответственность по КоАП РФ либо прекращение дела.
Q.02 Как заранее проверить уголовные риски компании в сфере персональных данных?
Уголовно-правовой аудит позволяет выявить риски до возбуждения дела. Аудит охватывает три уровня: проверку локальных актов оператора на соответствие статье 18.1 Федерального закона № 152-ФЗ «О персональных данных»; анализ технических мер защиты на предмет соответствия требованиям Постановления Правительства № 1119; оценку реальных каналов утечки с точки зрения признаков составов статей 137, 138, 272 УК РФ. По итогам формируется карта рисков с приоритетами устранения. Аудит занимает 5–10 рабочих дней. Для компаний с оборотом свыше 500 млн рублей и базами данных более 100 000 субъектов — рекомендуется ежегодно.
Q.03 С какими следственными органами сталкиваются компании при делах о персональных данных?
Дела о нарушении неприкосновенности частной жизни (статья 137 УК РФ) и тайны переписки (статья 138 УК РФ) расследуются следователями Следственного комитета РФ — подследственность определена статьёй 151 УПК РФ. Дела о неправомерном доступе к компьютерной информации (статья 272 УК РФ) также относятся к подследственности СК РФ. Оперативное сопровождение осуществляет управление «К» МВД России (бюро специальных технических мероприятий). Роскомнадзор проводит административные проверки и направляет материалы в правоохранительные органы при выявлении признаков уголовно наказуемых деяний. После масштабных утечек 2023–2025 годов число уголовных дел, инициированных по материалам РКН, выросло в несколько раз.
Q.04 Какое наказание грозит за незаконное распространение персональных данных по УК РФ?
Статья 137 УК РФ предусматривает за незаконный сбор или распространение сведений о частной жизни (часть 1) штраф до 200 000 рублей либо лишение свободы до 2 лет. Часть 2 — деяние, совершённое с использованием служебного положения, — наказывается лишением свободы до 4 лет с лишением права занимать должности. Это ключевой состав для директора ИТ-компании или HR-руководителя, обработавшего базу данных вне служебной необходимости. Статья 272 УК РФ за неправомерный доступ к компьютерной информации предусматривает до 7 лет по части 4 (группа лиц либо тяжкие последствия). Совокупность составов — типичная практика при крупных утечках данных.
Читать далее
🛡 Уголовный комплаенс
Уголовный комплаенс для бизнеса: с чего начать
Михаил Борисов · Аналитика · 12 мин
🔍 Следственные действия
Обыск в офисе: пошаговая инструкция для директора
Ксения Лебедева · Руководство · 15 мин
⚖️ Имущественные меры
Арест счётов по уголовному делу: как снять
Ксения Лебедева · Руководство · 10 мин

Уголовные риски при работе с персональными данными — не абстрактная угроза. После реформы 152-ФЗ в 2022–2024 годах Роскомнадзор получил расширенные полномочия по проверкам и отработанный канал взаимодействия со Следственным комитетом. Составы статей 137, 138, 272 УК РФ применяются к конкретным людям — директорам, ИТ-специалистам, HR-руководителям.

«Ветров. 49» сопровождает операторов персональных данных от превентивного аудита до защиты в суде. Рейтинг Право·300 с 2017 года, более 1000 реализованных проектов в сфере уголовной защиты бизнеса. Виталий Ветров и команда аналитиков готовы оценить вашу ситуацию за 2 часа.

Что делать сейчас?
Если компания работает с персональными данными, а проверки РКН или утечки уже были — вероятность уголовного риска выше, чем кажется. «Ветров. 49» — Право·300 · 1000+ проектов — проводит оценку за 2 часа без обязательств.
Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →
+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00
Позвонить Telegram