⚖️ Прочие составы Аналитика

Ст. 137 УК РФ: нарушение персональных данных в компании (7-й выпуск)

Статья 137 УК РФ устанавливает уголовную ответственность за незаконный сбор или распространение сведений о частной жизни, составляющих личную или семейную тайну, без согласия лица. По состоянию на май 2026 года количество возбуждённых дел по этому составу в корпоративной среде ежегодно растёт на фоне масштабных утечек баз данных — только в 2024 году Роскомнадзор зафиксировал свыше 300 крупных инцидентов с персональными данными. Для бизнеса критично понять: где заканчивается административный штраф и начинается уголовное преследование конкретного сотрудника или директора.

Получите разбор вашей ситуации с персональными данными — конфиденциально, без обязательств.

Получить консультацию → Telegram

АС

Антон Соколов

Аналитик · налоговые уголовные дела

Опубликовано 13 мая 2026 Обновлено 13 мая 2026 16 мин. чтения

Почему статья 137 УК РФ угрожает не только хакерам, но и обычным сотрудникам компании?

Статья 137 УК РФ охватывает не только внешние кибератаки, но и действия штатных сотрудников — HR-менеджеров, менеджеров по продажам, системных администраторов — когда они незаконно собирают или передают персональные данные клиентов или коллег третьим лицам. По части первой санкция предусматривает лишение свободы на срок до двух лет; по части второй (совершение с использованием служебного положения) — до четырёх лет с лишением права занимать определённые должности. Часть третья регулирует специальный состав: распространение сведений о несовершеннолетних через СМИ.

На практике дела по этой статье в корпоративной среде возникают в нескольких типичных сценариях. Сотрудник увольняется и уносит базу данных клиентов конкуренту. HR-директор передаёт сведения о болезнях или личных обстоятельствах работника без его согласия — при корпоративном конфликте или споре об увольнении. Служба безопасности организует слежку за топ-менеджером: записи переговоров, сбор информации о личных связях. Во всех трёх случаях состав статьи 137 УК РФ формально может быть вменён.

✓ Важно

Предметом преступления по статье 137 УК РФ служат сведения о частной жизни — состояние здоровья, семейное положение, финансовое положение, личные отношения. Данные о деловой деятельности под эту статью не подпадают: для них действует статья 183 УК РФ (незаконное получение коммерческой тайны).

Ключевая черта, отличающая статью 137 УК РФ от смежных составов: потерпевшим является физическое лицо, чьи сведения о частной жизни раскрыты или собраны незаконно. Это означает, что утечка базы данных клиентов интернет-магазина с адресами и телефонами формально охватывается статьёй 13.11 КоАП РФ; но если утечка включала сведения о медицинских диагнозах, сексуальной ориентации или иных элементах частной жизни — уголовный состав становится применимым.

Что обязано доказать следствие, чтобы квалифицировать действия по статье 137 УК РФ?

Для привлечения к ответственности по статье 137 УК РФ следователь должен доказать четыре элемента состава: объект — неприкосновенность частной жизни конкретного лица; объективная сторона — незаконный сбор или распространение сведений; субъект — физическое лицо, достигшее 16 лет; субъективная сторона — прямой умысел, то есть осознание незаконности действий и желание их совершить. Отсутствие хотя бы одного элемента означает отсутствие состава преступления.

Доказательственная база по таким делам формируется из нескольких источников. Следствие запрашивает журналы доступа к корпоративным базам данных, историю выгрузок и передачи файлов, переписку в корпоративных мессенджерах и электронной почте. При наличии оснований проводится выемка серверного оборудования и рабочих компьютеров по статье 183 УПК РФ. Технические эксперты устанавливают: кто именно инициировал запрос к базе, когда, с какого устройства и куда была направлена выгрузка.

⚠ Типичная ошибка

Сотрудники компании при первом контакте со следователем дают объяснения без адвоката, полагая, что «ничего не скрывают». Между тем именно на этапе дачи объяснений (статья 144 УПК РФ) формируются показания, которые впоследствии ложатся в основу обвинения. Любое упоминание о том, что «доступ к базе был», «передавал файл» или «знал, что данные — личные» — прямой вклад в субъективную сторону состава.

Особое значение имеет доказывание умысла. Следствие ищет переписку, где виновный обсуждает передачу данных с осознанием их конфиденциальности. Часто достаточно одного сообщения вида «смотри, нашёл личные данные директора» или «отправь эту базу — там всё по клиентам, включая паспорта». Защита, напротив, работает с опровержением умысла: сотрудник действовал по должностной инструкции, не осознавал незаконности, полагал, что имеет санкцию руководства.

Отдельный вопрос — распространение как форма объективной стороны. Передача данных одному лицу в частной переписке формально является распространением. Но суды по-разному оценивают степень публичности: передача единственному получателю и публикация в открытом доступе — принципиально разные ситуации для целей назначения наказания, хотя состав формально тождественен.

Описанный перечень элементов доказывания — базовый. Конкретная ситуация зависит от технической инфраструктуры компании, объёма переданных сведений и статуса предполагаемого виновного. Оценить риски уголовного преследования для конкретного сотрудника или руководителя можно в рамках консультации.

Сотрудник попал под подозрение из-за утечки данных?

Оцениваем вероятность уголовного преследования по статье 137 УК РФ, анализируем доказательственную базу и вырабатываем стратегию защиты на стадии проверки.

Получить консультацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Где проходит граница между административной ответственностью по КоАП и уголовным преследованием по статье 137 УК РФ?

Административная ответственность по статье 13.11 КоАП РФ и уголовная по статье 137 УК РФ — не взаимоисключающие, а параллельные инструменты. Статья 13.11 КоАП РФ применяется к организации за нарушение порядка обработки персональных данных: отсутствие согласия субъекта, несоблюдение требований локализации, передача данных без законных оснований. Максимальный штраф для юридического лица — до 6 млн рублей. Статья 137 УК РФ, напротив, применяется к физическому лицу за умышленный сбор или распространение сведений именно о частной жизни — с акцентом на личную тайну, а не на технические нарушения регламента.

// Примечание

Федеральный закон № 152-ФЗ «О персональных данных» (consultant.ru) определяет персональные данные широко — как любую информацию, прямо или косвенно относящуюся к физическому лицу. Статья 137 УК РФ использует более узкое понятие «сведения о частной жизни» — оно не тождественно всему массиву персональных данных по 152-ФЗ. Суды разграничивают эти понятия при квалификации.

Практический критерий разграничения — три вопроса:

Являются ли разглашённые сведения элементами частной жизни (здоровье, семья, личные отношения, вероисповедание), а не просто идентификационными данными (ФИО, телефон, адрес)?
Действовало ли лицо умышленно — осознавая незаконность и желая разгласить именно личную тайну?
Причинён ли вред правам и законным интересам потерпевшего — или речь идёт о формальном нарушении регламента?

Если на все три вопроса ответ «да» — состав статьи 137 УК РФ применим. Если нарушение сводится к отсутствию политики конфиденциальности или передаче стандартных контактных данных без согласия — дело останется в административной плоскости. На практике переход из одного режима в другой нередко происходит именно тогда, когда потерпевший подаёт заявление в полицию, а не жалобу в Роскомнадзор.

Кейсы: как дела по статье 137 УК РФ доходят до суда в корпоративном контексте

Уголовные дела по статье 137 УК РФ в сфере бизнеса разворачиваются по нескольким типичным сценариям. Анализ судебной практики 2023–2025 годов показывает: большинство из них связаны с корпоративными конфликтами, увольнением сотрудников или рейдерскими атаками, а не со случайными утечками.

Кейс 1 · 2024 · Ретейл / HR

Региональная торговая сеть, Сибирский ФО, выручка около 400 млн ₽

Триггер

HR-директор при увольнении передала кадровому агентству конкурента личные медицинские данные и сведения о семейном положении семи топ-менеджеров — для «оценки рисков» при переманивании. Один из потерпевших подал заявление в полицию. Возбуждено дело по части второй статьи 137 УК РФ (использование служебного положения).

Результат

На этапе доследственной проверки удалось подготовить позицию, исключающую умысел в отношении конкретных потерпевших — передача квалифицирована как административное нарушение по статье 13.11 КоАП РФ, уголовное дело прекращено за отсутствием состава.

✓ Важно

По статистике Судебного департамента при Верховном суде РФ, большинство обвинительных приговоров по статье 137 УК РФ в 2022–2023 годах приходится на часть первую с назначением условного срока или штрафа. Реальное лишение свободы суды назначали преимущественно при наличии отягчающих обстоятельств — рецидива или значительного числа потерпевших.

Как компании защититься до возбуждения дела и после?

Превентивная защита по статье 137 УК РФ строится на двух уровнях: организационном (внутренние регламенты и разграничение доступа) и юридическом (чёткое определение режима конфиденциальности и последствий нарушения в трудовых договорах). После получения сигнала о возможном уголовном преследовании — запроса от полиции, заявления потерпевшего или инициации проверки — критически важна скорость реакции.

Что подготовить превентивно:

Политика обработки персональных данных с конкретными категориями, правомерными основаниями обработки и перечнем лиц, имеющих доступ.
Разграничение прав доступа к базам данных: журналы выгрузок, авторизация при обращении к чувствительным полям.
Пункт в трудовом договоре и NDA о конфиденциальности персональных данных — с явным перечнем запрещённых действий.
Инструкция для сотрудников: что делать при получении запроса от следователя или полиции (не давать объяснений без адвоката).

После возбуждения дела — или даже при получении повестки для дачи объяснений — действует иная логика. На этапе доследственной проверки (статья 144 УПК РФ, срок до 30 суток) нет ни обвиняемых, ни официальных подозреваемых. Но именно в этот период следователь формирует представление о субъективной стороне — умысле. Показания, данные без адвоката, невозможно «отозвать» впоследствии.

⚠ Типичная ошибка

Компании нередко реагируют на уголовное дело по статье 137 УК РФ попыткой «договориться с потерпевшим» без юридического сопровождения. Это создаёт риски: самостоятельный контакт с потерпевшим может быть квалифицирован как давление на свидетеля (статья 309 УК РФ) или как признание вины. Правильный путь — заключение соглашения о компенсации морального вреда через защитника, что одновременно создаёт основание для прекращения дела по статье 25 УПК РФ (примирение сторон).

Примирение с потерпевшим — наиболее практичный инструмент по делам части первой статьи 137 УК РФ. Состав относится к преступлениям небольшой тяжести, что делает прекращение дела в связи с примирением сторон (статья 25 УПК РФ) реально достижимым результатом при наличии возмещения вреда. По части второй (средняя тяжесть) суд вправе, но не обязан прекращать дело при примирении.

Получить запрос от следователя или повестку по делу о персональных данных — стрессовая ситуация, в которой счёт часто идёт на часы. Без чёткого понимания стадии дела и имеющихся инструментов защиты компания рискует сформировать доказательственную базу против себя.

Пришла повестка или запрос по делу о персональных данных?

Анализируем стадию производства и стратегию реагирования. Готовим позицию до первого контакта со следователем. Право·300 · более 1000 проектов.

Обсудить ситуацию → Telegram → WhatsApp →

+7 (983) 510-38-76 · конфиденциально

Матрица рисков: собственник, директор, главный бухгалтер, HR — кто и за что отвечает?

Уголовная ответственность по статье 137 УК РФ носит сугубо индивидуальный характер: юридическое лицо не является субъектом преступления. Это означает, что под удар попадает конкретный человек — в зависимости от его фактической роли в инциденте. Ниже — дифференцированная оценка рисков по ролям.

Роль	Типичный сценарий	Применимая часть	Санкция
Собственник / бенефициар	Санкционировал сбор «компромата» на партнёра или конкурента	Ч. 2 ст. 137 УК РФ	До 4 лет, запрет должностей до 5 лет
Генеральный директор	Передал сведения о болезни сотрудника потенциальному работодателю	Ч. 2 ст. 137 УК РФ	До 4 лет, запрет должностей до 5 лет
HR-директор / менеджер	Слил базу данных кандидатов с личными сведениями конкуренту	Ч. 1 или ч. 2 ст. 137 УК РФ	До 2–4 лет в зависимости от части
Системный администратор	Предоставил несанкционированный доступ к личным данным сотрудников	Ч. 1 ст. 137 + ст. 272 УК РФ	Совокупность составов — до 4 лет
Главный бухгалтер	Передал сведения о доходах и имуществе физлиц третьим лицам без согласия	Ч. 1 ст. 137 УК РФ	До 2 лет, штраф до 200 000 ₽

Дополнительный риск для системного администратора — конкуренция составов: статья 137 УК РФ (нарушение неприкосновенности частной жизни) нередко предъявляется совместно со статьёй 272 УК РФ (неправомерный доступ к компьютерной информации), если доступ к базе данных был получен с превышением прав. В таких случаях суды квалифицируют действия по совокупности статей.

Для главного бухгалтера риск по статье 137 УК РФ возникает реже, чем кажется: сведения о доходах сотрудников сами по себе не являются элементами «частной жизни» в смысле статьи 137 УК РФ, если только в них не включены данные о заболеваниях, семейных обстоятельствах или иных личных делах. Однако передача расчётных листков с полными данными об алиментах, взысканиях по исполнительным листам — зона повышенного внимания.

Кейс 2 · 2025 · IT / безопасность

IT-компания, Центральный ФО, выручка около 650 млн ₽

Триггер

Служба безопасности по поручению совладельца собирала досье на второго партнёра: данные о его состоянии здоровья, переписка с личных устройств, сведения о семье. Партнёр подал заявление; возбуждено дело по части второй статьи 137 УК РФ в отношении начальника службы безопасности и совладельца.

Результат

Дело в отношении совладельца прекращено: доказано, что он не осознавал объём собираемых сведений и давал поручение в общей форме «собрать информацию». Начальник СБ осуждён по части второй статьи 137 УК РФ, условный срок 2 года.

📋 Чек-лист: уголовные риски компании по ст. 137 УК РФ

Пять ключевых вопросов для самопроверки: есть ли в вашей компании уязвимости, которые могут создать уголовное дело по персональным данным.

Напишите «137 риски» в Telegram @nk_vitvet или WhatsApp — пришлём сразу.

🔒

Направления практики по теме

Защита по уголовному делу — защита руководителей и сотрудников по экономическим составам
Уголовно-правовой аудит — превентивная проверка рисков до возбуждения дела

Q.01 Чем уголовная ответственность по статье 137 УК РФ отличается от административной по статье 13.11 КоАП РФ?

Уголовная ответственность по статье 137 УК РФ наступает при наличии умысла — незаконном сборе или распространении сведений о частной жизни лица без его согласия, тогда как административная статья 13.11 КоАП РФ охватывает нарушения порядка обработки персональных данных без умышленного разглашения. Принципиальная граница — субъективная сторона: следователь должен доказать, что виновный осознавал незаконность своих действий и желал наступления последствий. Санкция по части первой статьи 137 УК РФ — до двух лет лишения свободы, тогда как максимальный штраф по статье 13.11 КоАП РФ составляет шесть миллионов рублей для юридического лица. Дополнительный критерий разграничения — субъект: уголовная ответственность носит индивидуальный характер и распространяется на конкретного сотрудника или руководителя, тогда как административная — на организацию.

Q.02 Когда суд назначает условное осуждение по статье 137 УК РФ?

Условное осуждение по статье 137 УК РФ суд назначает по части первой при наличии совокупности смягчающих обстоятельств: отсутствие судимости, явка с повинной, возмещение морального вреда потерпевшему, положительная характеристика с места работы. Максимальный срок реального лишения свободы по части первой — два года, по части второй (совершение с использованием служебного положения) — четыре года. Суды общей юрисдикции по данной категории дел в 2023–2024 годах в большинстве случаев ограничивались условными сроками или штрафами при первичном обвинении по части первой. По части второй вероятность условного срока существенно снижается, особенно если виновным оказался руководитель, осознанно санкционировавший передачу базы данных.

Q.03 Сколько времени занимает расследование дела по статье 137 УК РФ?

Расследование уголовного дела по статье 137 УК РФ занимает в среднем от трёх до восьми месяцев с момента возбуждения. Базовый срок предварительного следствия по статье 162 УПК РФ составляет два месяца с возможностью продления до двенадцати месяцев при значительном объёме технической экспертизы — в частности, при исследовании серверов, баз данных и переписки. Доследственная проверка по заявлению потерпевшего занимает до тридцати суток по статье 144 УПК РФ. На практике технические экспертизы (форензика, анализ трафика, атрибуция утечки) удлиняют производство на два-четыре месяца сверх базового срока. Бизнесу важно учитывать: в период следствия возможны обыски, выемки оборудования и допросы сотрудников — даже если дело будет прекращено впоследствии.

Q.04 Может ли директор компании быть привлечён по статье 137 УК РФ за действия подчинённых?

Директор компании может быть привлечён к ответственности по части второй статьи 137 УК РФ, если следствие докажет, что он использовал своё служебное положение для незаконного распространения персональных данных или давал поручения подчинённым на их сбор и передачу третьим лицам. Ответственность по этой части — до четырёх лет лишения свободы с лишением права занимать определённые должности сроком до пяти лет. Если директор не знал о действиях сотрудника и не санкционировал их, уголовная ответственность по статье 137 УК РФ не наступает — при условии, что в компании действовал внутренний регламент работы с персональными данными. Отсутствие такого регламента суд может расценить как косвенное попустительство.

Q.05 Какие доказательства следствие использует для доказывания вины по статье 137 УК РФ?

По уголовным делам в сфере нарушения неприкосновенности частной жизни (статья 137 УК РФ) следствие формирует доказательную базу из нескольких источников: цифровых следов (журналы доступа к базам данных, логи передачи файлов, переписка в корпоративных мессенджерах), показаний потерпевших и свидетелей, заключений технических экспертов по атрибуции утечки. Ключевым процессуальным действием служит выемка серверного оборудования и рабочих компьютеров по статье 183 УПК РФ. Защита оспаривает допустимость доказательств — в частности, нарушения при проведении обыска или выемки, отсутствие санкционированного доступа к системам у предполагаемого виновного, а также ошибки в методологии технической экспертизы.

Статья 137 УК РФ в корпоративной среде — не абстрактный риск: дела возбуждаются по заявлениям бывших сотрудников, партнёров и клиентов, и даже формально «невиновный» директор проведёт несколько месяцев под следствием с обысками и допросами. Своевременная превентивная работа с внутренними регламентами и быстрая реакция на первые признаки проверки — два ключевых фактора, определяющих исход.

«Ветров. 49» специализируется на уголовной защите бизнеса с 2017 года. В рейтинге Право·300 с момента основания, Best Lawyers 2021, более 1000 реализованных проектов. Ведём дела по статье 137 УК РФ от этапа доследственной проверки до прекращения дела или вынесения приговора.

Что делать сейчас?

Если в вашей компании произошла утечка данных, получена повестка или начата проверка — каждый день промедления сужает процессуальные возможности. Право·300 · 1000+ проектов.

Стадия I · Думаю Читать по своей ситуации Обыск / Допрос / Проверка → Стадия II · Хочу понять 30-минутная консультация Бесплатно, NDA → Стадия III · Готов Запросить КП на аудит Фикс-цена →

+7 (983) 510-38-76 · Telegram · WhatsApp · Пн–Пт 9:00–20:00