аналитика 21 января 2028 По состоянию на 21 января 2028

Ст. 137 УК: неприкосновенность частной жизни

Ст. 137 УК РФ защищает тайну частной жизни. С 11.12.2024 её дополняет ст. 272.1 УК — за незаконные операции с персональными данными в информационных системах. Вместе эти нормы формируют уголовный контур ответственности за нарушение неприкосновенности частной жизни.

Параллельно с уголовными рисками действует административный: ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 (с 30.05.2025) предусматривает оборотный штраф по ч. 15 — 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Если вы CEO и в компании произошёл инцидент с персональными данными — у вас одновременно работают уголовный и административный треки. Разобраться в обоих нужно до возбуждения дела, а не после. → Оценить риски по 13.11 КоАП

Уголовная ответственность за нарушение неприкосновенности частной жизни существовала в России до появления 152-ФЗ. Ст. 137 УК РФ применяется с 1996 года, но практика по ней была немногочисленной: незаконное собирание или распространение сведений о частной жизни лица без его согласия. С декабря 2024 года картина изменилась. Введена ст. 272.1 УК — специальная норма для компьютерных операций с персональными данными. Для генерального директора это означает персональный уголовный риск параллельно с оборотным штрафом по ст. 13.11 КоАП с 30.05.2025. В этом материале — анализ обеих норм, их соотношения, административных санкций и стратегий защиты.

Что запрещает ст. 137 УК РФ и за что наступает ответственность?

Статья 137 УК РФ охраняет неприкосновенность частной жизни. Базовый состав — незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия. Способы: публичное выступление, публично демонстрируемое произведение или средства массовой информации, а с 2013 года — использование служебного положения (ч. 2 ст. 137).

По базовому составу (ч. 1) предусмотрены штраф до 200 тыс. ₽ или лишение свободы до 2 лет. По квалифицированному (ч. 2 — с использованием служебного положения) штраф возрастает до 300 тыс. ₽, а лишение свободы — до 4 лет. Часть 3, введённая в 2013 году, устанавливает ответственность за распространение сведений о несовершеннолетнем потерпевшем от преступления: лишение свободы до 5 лет.

«Ст. 137 УК РФ (ч. 1): незаконное собирание или распространение сведений о частной жизни лица — штраф до 200 000 ₽ либо лишение свободы до 2 лет. Ч. 2 (с использованием служебного положения) — до 4 лет. Ч. 3 (несовершеннолетний потерпевший от преступления) — до 5 лет.»

Для генерального директора особенно значима ч. 2: руководитель, который допускает или санкционирует сбор и распространение личных данных сотрудников или клиентов с нарушением закона, действует с использованием служебного положения. Именно этот квалифицирующий признак следователи применяют в делах, где инициатива исходила от менеджмента.

Как ст. 272.1 УК РФ с 11.12.2024 изменила уголовный ландшафт?

Федеральным законом № 421-ФЗ от 30.11.2024 в УК РФ введена ст. 272.1 — специальная норма о незаконном использовании, передаче, сборе или хранении компьютерной информации, содержащей персональные данные. Норма действует с 11.12.2024.

Ст. 272.1 имеет шесть частей с нарастающей санкцией. Ч. 4 охватывает трансграничную передачу незаконно полученных персональных данных — до 8 лет лишения свободы. Ч. 5 предусматривает ответственность за тяжкие последствия — до 10 лет. Это уже тяжкое преступление, по которому прокуратура вправе инициировать обеспечительные меры, включая арест активов компании.

«Ст. 272.1 УК РФ (ФЗ-421 от 30.11.2024, действует с 11.12.2024): незаконное использование, передача, сбор или хранение компьютерной информации с ПДн. Ч. 4 — трансграничная передача незаконно полученных ПДн — до 8 лет. Ч. 5 — тяжкие последствия — до 10 лет лишения свободы.»

Отличие от ст. 137 УК — в предмете и способе. Ст. 137 охватывает любые сведения о частной жизни независимо от формы носителя. Ст. 272.1 — только компьютерная информация, содержащая персональные данные. На практике большинство корпоративных случаев утечек подпадает именно под ст. 272.1, поскольку данные хранятся в информационных системах.

Ваша компания проверяла, у кого есть доступ к базам персональных данных?

Если CEO не знает, какие сотрудники или подрядчики имеют доступ к клиентским данным — это уже индикатор риска по ст. 13.11 КоАП и ст. 272.1 УК. До инцидента ещё есть время выстроить защиту. Юристы DATUM проводят аудит по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что изменила ст. 13.11 КоАП в редакции ФЗ-420 с 30.05.2025?

До 30.05.2025 ст. 13.11 КоАП содержала 7 частей с максимальным штрафом для юридического лица 500 тыс. ₽. ФЗ-420 от 30.11.2024 расширил статью до 18 частей. Ключевые изменения для корпоративных операторов персональных данных — следующие.

Утечка персональных данных теперь квалифицируется по объёму: от 1 000 до 10 000 субъектов — ч. 12 (3–5 млн ₽), от 10 000 до 100 000 — ч. 13 (5–10 млн ₽), свыше 100 000 субъектов — ч. 14 (10–15 млн ₽). Неуведомление РКН об утечке в течение 24 часов — ч. 11 (1–3 млн ₽). Нарушение требований локализации по ч. 5 ст. 18 ФЗ-152 — ч. 8 (1–6 млн ₽).

«Ст. 13.11 ч. 15 КоАП (оборотный штраф, с 30.05.2025): при повторном нарушении по ч. 12–14 — 1–3% совокупной выручки за предшествующий календарный год, не менее 20 млн ₽, не более 500 млн ₽. Ст. 4.1 КоАП, примечание 3.4-2: если инвестиции в ИБ за 3 предшествующих года составили не менее 0,1% выручки — штраф по ч. 15 снижается до 1/10 минимума, но не менее 15 млн ₽ и не более 50 млн ₽.»

Ст. 13.11 ч. 17 устанавливает самостоятельный состав за утечку биометрических персональных данных — 15–20 млн ₽. Ч. 18 — оборотный штраф за повторное нарушение по ч. 16 или 17: 1–3% выручки. Таким образом, для компании со значительной клиентской базой одновременно действуют два самостоятельных административных трека и уголовный.

Что подготовить для снижения уголовных и административных рисков

Приказ о назначении ответственного за обработку персональных данных по ст. 22.1 ФЗ-152 с актуальными полномочиями.
Матрица доступа к информационным системам с персональными данными — кто, к каким категориям, на каком основании.
Регламент реагирования на инцидент: фиксация момента обнаружения, первичное уведомление РКН за 24 часа, отчёт за 72 часа (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН № 187).
Договоры с подрядчиками, обрабатывающими персональные данные по поручению, с условием об уведомлении оператора об инциденте.
Документация об инвестициях в информационную безопасность за 3 последних года — для применения ст. 4.1 КоАП при расчёте оборотного штрафа.

Как суды разграничивают ст. 137 УК и ст. 272.1 УК в корпоративных делах?

До введения ст. 272.1 следствие применяло ст. 137 УК к корпоративным утечкам по аналогии: факт распространения персональных сведений в цифровой форме квалифицировался как «незаконное распространение» по ч. 2 ст. 137 — с использованием служебного положения. После 11.12.2024 ст. 272.1 стала специальной нормой для компьютерных операций с персональными данными. По правилам конкуренции норм специальная норма вытесняет общую: дела о компьютерных утечках квалифицируются по ст. 272.1, а не по ст. 137.

Исключение — случаи, когда данные не хранились в информационных системах (например, бумажные досье, переданные третьим лицам). В таких делах ст. 137 УК сохраняет самостоятельное значение. Также ст. 137 применяется к журналистским расследованиям, публикациям в СМИ и действиям частных лиц, не связанным с корпоративными базами данных.

Ст. 272 УК (неправомерный доступ к охраняемой компьютерной информации) остаётся применимой к лицам, получившим несанкционированный доступ извне. В делах об инсайдерских утечках — когда сотрудник имел легитимный доступ, но использовал его с нарушением — ст. 272.1 является основной нормой.

Практика: как выглядят сценарии рисков для генерального директора?

Сценарий 1 — Инсайдерская утечка через сотрудника. Сотрудник отдела продаж выгружает базу клиентов (140 000 контактов) перед уходом к конкуренту. Компания обнаруживает факт через 6 дней. На момент обнаружения 24-часовой срок уведомления РКН (ч. 3.1 ст. 21 ФЗ-152) пропущен. Результат: протокол по ч. 11 ст. 13.11 КоАП (неуведомление об утечке, 1–3 млн ₽) + протокол по ч. 14 (утечка более 100 000 субъектов, 10–15 млн ₽). Сотруднику предъявлено обвинение по ч. 1 ст. 272.1 УК. Генеральный директор в материалах дела фигурирует как лицо, не обеспечившее надлежащий контроль доступа, — на этапе служебного расследования это влияет на квалификацию действий директора по ст. 137 ч. 2 УК. Стратегия защиты: немедленное уведомление РКН, независимое расследование, документирование мер по ИБ за предшествующий период для применения скидки по ст. 4.1 КоАП.

Сценарий 2 — Подрядчик передал данные третьим лицам. Маркетинговое агентство, получившее персональные данные клиентов по договору поручения обработки, продало базу данных рекламной сети. Оператор (заказчик) не был уведомлён. Согласно сложившемуся подходу судебной практики (принцип ответственности оператора за действия подрядчика), административная ответственность по ст. 13.11 КоАП возлагается на оператора. Масштаб утечки определяет применимую часть: если субъектов более 10 000 — ч. 13 (5–10 млн ₽) или ч. 14 (10–15 млн ₽). Стратегия защиты: доказать, что договор поручения содержал надлежащие условия о конфиденциальности и ограничении использования, оператор осуществлял контроль. Возможно переложение ответственности на подрядчика в регрессном порядке.

Сценарий 3 — Повторное нарушение: оборотный штраф по ч. 15. Компания уже привлекалась к ответственности по ч. 13 ст. 13.11 КоАП (утечка 50 000 субъектов, штраф 7 млн ₽). Через 11 месяцев — новый инцидент с 80 000 субъектов. Квалификация: ч. 15 ст. 13.11 как оборотный штраф. При выручке 3 млрд ₽ за предшествующий год расчётный штраф — 30–90 млн ₽ (1–3%). Нижняя граница — 20 млн ₽ независимо от процента. Если компания задокументировала инвестиции в ИБ за 3 года на сумму не менее 0,1% выручки — вправе претендовать на применение ст. 4.1 КоАП: штраф 1/10 минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.

Если компания уже привлекалась к ответственности по ст. 13.11 КоАП — следующее нарушение может стать оборотным штрафом по ч. 15: минимум 20 млн ₽. Юристы DATUM оценят диспозицию и выстроят защитную стратегию до возбуждения нового дела.

Защитить от штрафа 13.11

Когда применяется ст. 4.1.1 КоАП и как добиться замены штрафа на предупреждение?

Статья 4.1.1 КоАП допускает замену административного штрафа на предупреждение при одновременном выполнении условий: субъект — микропредприятие или малое предприятие, нарушение совершено впервые, отсутствует имущественный вред и угроза жизни и здоровью. Для дел по ст. 13.11 КоАП норма применялась судами в 2023–2025 годах. Однако после 30.05.2025 к ч. 15 и ч. 18 ст. 13.11 (оборотные составы) ст. 4.1.1 не применяется.

Пример из практики: компания (микропредприятие, Центральный ФО, начало 2026 года) столкнулась с хакерской атакой — похищена база соискателей менее 1 000 человек. РКН возбудил дело по ч. 1 ст. 13.11. Суд, применив ст. 4.1.1 КоАП, заменил штраф на предупреждение с учётом первичности нарушения и отсутствия вреда.

Для среднего и крупного бизнеса, который не является микропредприятием, ст. 4.1.1 недоступна. В этих случаях релевантны ст. 4.1 КоАП (общие смягчающие обстоятельства) и специальное примечание 3.4-2 к ст. 4.1 (скидка за инвестиции в ИБ при оборотном штрафе).

Подсудность дел по ст. 13.11 КоАП: с 30.05.2025 по 27.12.2025 дела рассматривали арбитражные суды. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. С 28.12.2025 дела по ст. 13.11 снова рассматривают мировые судьи.

Как связаны ст. 137 УК и ст. 13.11 КоАП в одном деле?

Уголовная и административная ответственность не исключают друг друга — они применяются к разным субъектам и по разным основаниям. Административный штраф по ст. 13.11 КоАП налагается на юридическое лицо как оператора персональных данных. Уголовная ответственность по ст. 137 или ст. 272.1 УК — на физическое лицо (директора, сотрудника, подрядчика).

Это означает, что в одном деле компания получает административный штраф (например, по ч. 14 ст. 13.11 — 10–15 млн ₽), а директор или ответственный сотрудник — уголовное преследование по ст. 272.1 УК. РКН возбуждает административное производство независимо от того, ведёт ли следствие уголовное дело.

«Параллельное применение: административный штраф по ст. 13.11 КоАП — на юрлицо-оператора; уголовное преследование по ст. 272.1 или ст. 137 УК — на физическое лицо. Ст. 2.1 ч. 3 КоАП: привлечение организации к ответственности не освобождает виновных физических лиц.»

Именно поэтому генеральному директору важно понимать оба трека одновременно. Сумма рисков: административный штраф компании (до 15–500 млн ₽) + уголовный риск директора (лишение свободы до 10 лет по ч. 5 ст. 272.1) + гражданские иски субъектов персональных данных о компенсации морального вреда.

Кейс — дела арбитражных судов 2026 года. В первом квартале 2026 года арбитражные суды рассмотрели первые дела по новым нормам ст. 13.11 КоАП в редакции ФЗ-420. В деле учебной организации (арбитражный суд региона, начало 2026 года) с утечкой более 100 000 субъектов применена ч. 14 ст. 13.11 (10–15 млн ₽). С учётом статуса микропредприятия и расчёта по правилам ст. 4.1.2 КоАП назначен штраф существенно ниже максимума. В деле цифровой платформы (арбитражный суд Северо-Западного ФО, март 2026 года) с утечкой около 70 000 субъектов после хакерской атаки также применена ч. 14 со смягчающими обстоятельствами. Оба дела показывают: суды накапливают практику, применяют смягчение при первичности и документальном подтверждении мер по защите, но основания для освобождения от ответственности применяют осторожно.

Услуги DATUM по теме

Защита при штрафе в арбитраже — оспорим протокол и постановление по ст. 13.11, применим ст. 4.1 и ст. 4.1.1 КоАП.
Аудит соответствия 152-ФЗ — проверим обработку ПДн по 38 пунктам, выявим риски до проверки РКН.
Сопровождение проверок РКН — подготовим к проверке, представим интересы, обжалуем предписание.

Частые вопросы

1. Какие штрафы по ст. 13.11 КоАП действуют с 30.05.2025?

С 30.05.2025 ст. 13.11 КоАП содержит 18 частей. Ключевые для операторов-юрлиц: обработка без правового основания (ч. 1) — 150–300 тыс. ₽; обработка без письменного согласия (ч. 2) — 300–700 тыс. ₽; нарушение локализации по ч. 5 ст. 18 ФЗ-152 (ч. 8) — 1–6 млн ₽; неуведомление об утечке за 24 часа (ч. 11) — 1–3 млн ₽; утечка от 1 000 до 10 000 субъектов (ч. 12) — 3–5 млн ₽; от 10 000 до 100 000 (ч. 13) — 5–10 млн ₽; свыше 100 000 (ч. 14) — 10–15 млн ₽; утечка биометрии (ч. 17) — 15–20 млн ₽. Оборотный штраф при повторной утечке (ч. 15) — 1–3% выручки, минимум 20 млн ₽, максимум 500 млн ₽.

2. Что такое оборотный штраф 1–3% и как он рассчитывается?

Оборотный штраф по ч. 15 ст. 13.11 КоАП рассчитывается от совокупной выручки компании за предшествующий календарный год. Процент — от 1 до 3, конкретное значение определяет суд с учётом обстоятельств дела. Нижняя граница — 20 млн ₽ независимо от процентного расчёта. Верхняя — 500 млн ₽. Применяется при повторном совершении нарушения по ч. 12–14 лицом, ранее привлекавшимся по этим составам. Быстрая уплата по ст. 32.2 КоАП (скидка 50%) к оборотным штрафам не применяется.

3. Когда применяется минимум 20 млн ₽ по оборотному штрафу?

Минимум 20 млн ₽ по ч. 15 ст. 13.11 КоАП применяется всегда, когда рассчитанный процент от выручки оказывается ниже этой суммы. Например, если выручка компании 500 млн ₽ и суд применяет 1%, расчётная сумма составит 5 млн ₽ — но штраф всё равно будет 20 млн ₽. Единственная возможность снизить минимум — применение ст. 4.1 КоАП, примечание 3.4-2: при подтверждённых инвестициях в ИБ не менее 0,1% выручки за 3 года минимальный штраф снижается до 15 млн ₽ (при потолке 50 млн ₽).

4. Можно ли заменить штраф по ст. 13.11 на предупреждение?

Замена штрафа на предупреждение по ст. 4.1.1 КоАП возможна при совокупности условий: статус микропредприятия или малого предприятия, первичное нарушение, отсутствие имущественного вреда. К оборотным составам — ч. 15 и ч. 18 ст. 13.11 — норма не применяется. Для среднего и крупного бизнеса замена на предупреждение недоступна. Снизить санкцию возможно через ст. 4.1 КоАП (общие смягчающие), ст. 4.1.2 (расчёт для отдельных категорий субъектов) или примечание 3.4-2 (инвестиции в ИБ).

5. Какая подсудность дел по ст. 13.11 КоАП после ФЗ-508 от 28.12.2025?

С 30.05.2025 по 27.12.2025 дела по ст. 13.11 КоАП рассматривали арбитражные суды. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. С 28.12.2025 все дела по ст. 13.11 рассматриваются мировыми судьями по месту совершения правонарушения или по месту нахождения юридического лица. Дела, возбуждённые до 28.12.2025 и не рассмотренные арбитражными судами, после вступления ФЗ-508 передавались по подсудности мировым судьям.

Итог

Ст. 137 УК РФ защищает неприкосновенность частной жизни и применяется к случаям незаконного сбора и распространения личных сведений. С декабря 2024 года для корпоративных компьютерных операций с персональными данными действует специальная норма — ст. 272.1 УК с санкцией до 10 лет лишения свободы. Параллельно с 30.05.2025 работает обновлённая ст. 13.11 КоАП с оборотным штрафом 1–3% выручки (минимум 20 млн ₽) за повторную утечку. Генеральный директор несёт одновременно персональный уголовный риск и корпоративный административный.

DATUM сопровождает корпоративных операторов персональных данных в спорах с Роскомнадзором и при оспаривании протоколов по ст. 13.11 КоАП. Практика «Ветров и партнёры» по 152-ФЗ — с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), оборотные штрафы с 30.05.2025, подсудность после ФЗ-508.

21 января 2028 года