Уголовная ответственность за персональные данные — ст. 272.1 УК РФ
В 2024 году в Уголовный кодекс добавили новую статью — 272.1, «Незаконные использование и (или) передача персональных данных». Это значит что некоторые истории с продажей баз клиентов теперь заканчиваются не штрафом, а реальным сроком до 10 лет. За первые полгода применения статьи возбудили около 600 уголовных дел. Что важно знать про это малому бизнесу.
Содержание
- За что грозит уголовка по 272.1
- Какие сроки и штрафы предусмотрены
- Кого касается из малого бизнеса
- Реальные кейсы 2025-2026
- Как защитить себя как работодателя
- Чем отличается от административной 13.11 КоАП
- Частые вопросы
- Об авторе
Чем отличаются ст. 272 и ст. 272.1 УК РФ
Краткий ответ. Статья 272 УК РФ — это «классическая» норма о неправомерном доступе к компьютерной информации (действует с 1996 года). Статья 272.1 УК РФ — новая, введена в 2024 году специально под утечки персональных данных. Это две разные статьи, и за одни и те же действия может быть либо одна, либо другая (а иногда обе сразу).
| Параметр | Ст. 272 УК РФ | Ст. 272.1 УК РФ |
|---|---|---|
| Действует с | 1996 года (УК РФ принят) | 2024 года (закон 421-ФЗ от 30.11.2024) |
| Название | Неправомерный доступ к компьютерной информации | Незаконное использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей ПДн |
| Что наказывает | Сам факт несанкционированного доступа (взлом, копирование, удаление любых данных в компьютерных системах) | Конкретно работу с украденными ПДн — продажу баз, передачу за плату, использование |
| Категории | Любая компьютерная информация — государственная, коммерческая, частная | Только персональные данные |
| Минимальное наказание | Штраф до 200 тыс ₽ (ч. 1) | Штраф до 300 тыс ₽ или лишение свободы до 4 лет (ч. 1) |
| Максимальное наказание | До 7 лет лишения свободы (ч. 4) | До 10 лет лишения свободы (ч. 5) |
Если кратко: ст. 272 — про взлом, ст. 272.1 — про последующую работу с украденным. Хакер, который влез в базу клиентов магазина, нарушает 272. Перекупщик, который купил у хакера эту базу и продал её спамерам — нарушает 272.1.
В этой статье разберём обе нормы, потому что они часто идут парой и важно понимать общую картину.
Статья 272 УК РФ — неправомерный доступ к компьютерной информации
Краткий ответ. Статья 272 УК РФ устанавливает уголовную ответственность за неправомерный доступ к охраняемой компьютерной информации, который повлёк её уничтожение, блокирование, модификацию, копирование, или нарушение работы средств хранения, обработки или передачи информации.
Полный текст статьи 272 УК РФ:
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. То же деяние, причинившее крупный ущерб или совершенное из корыстной заинтересованности, — наказывается штрафом в размере от ста тысяч до трёхсот тысяч рублей или в размере заработной платы или иного дохода осуждённого за период от одного года до двух лет, либо исправительными работами на срок от одного года до двух лет, либо ограничением свободы на срок до четырёх лет, либо принудительными работами на срок до четырёх лет, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, совершённые группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, — наказываются штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до трёх лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет, либо ограничением свободы на срок до четырёх лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.
4. Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются принудительными работами на срок до пяти лет либо лишением свободы на срок до семи лет.
Что значит «неправомерный доступ»
«Неправомерный» означает без разрешения владельца информации или вопреки установленным правилам доступа. Это может быть:
- Взлом — обход паролей, эксплуатация уязвимостей
- Использование чужих учётных данных — даже если они получены легально, но используются не по назначению
- Превышение полномочий — сотрудник имеет доступ только к части системы, лезет в остальное
- Доступ уволенного — когда учётная запись осталась действующей и человек продолжает заходить
Что значит «охраняемая компьютерная информация»
«Охраняемая законом» — это любая информация, для которой установлен особый режим защиты по закону. Это гораздо шире, чем государственная тайна. Сюда входят:
- Государственная тайна
- Коммерческая тайна (по закону о коммерческой тайне)
- Банковская тайна
- Налоговая тайна
- Персональные данные (по 152-ФЗ — это охраняемая информация)
- Адвокатская тайна, врачебная тайна, нотариальная тайна
- Тайна связи (СМС, email)
То есть несанкционированное копирование любой базы клиентов любой компании — это уже потенциально ст. 272 УК РФ (даже без статьи 272.1).
Кто привлекается по 272
Чаще всего по ст. 272 УК РФ привлекают:
- Хакеров, взломавших сайт или сервис
- Бывших сотрудников, скопировавших базу клиентов перед увольнением
- IT-специалистов, получивших доступ к данным сверх своих служебных обязанностей
- Лиц, использующих чужие учётные записи (например, на «слитых» паролях)
Части 1, 2, 3, 4 статьи 272 УК РФ — наказание
Краткий ответ. Статья 272 УК РФ состоит из 4 частей. Часть 1 — базовое нарушение (до 2 лет). Часть 2 — с корыстью или крупным ущербом (до 4 лет). Часть 3 — группой лиц или с использованием служебного положения (до 5 лет). Часть 4 — с тяжкими последствиями (до 7 лет).
Часть 1 ст. 272 УК РФ — базовое нарушение
Состав: неправомерный доступ к охраняемой информации, повлёкший её уничтожение, блокирование, модификацию или копирование.
Наказание:
- Штраф до 200 000 ₽ или в размере зарплаты за период до 18 месяцев
- Или исправительные работы до 1 года
- Или ограничение свободы до 2 лет
- Или принудительные работы до 2 лет
- Или лишение свободы до 2 лет
Часть 2 ст. 272 УК РФ — крупный ущерб или корысть
Состав: то же деяние, причинившее крупный ущерб (более 1 млн ₽) или совершённое из корыстной заинтересованности.
Наказание:
- Штраф 100 000 — 300 000 ₽ или в размере зарплаты за период 1-2 года
- Или исправительные работы 1-2 года
- Или ограничение свободы до 4 лет
- Или принудительные работы до 4 лет
- Или лишение свободы до 4 лет
Часть 3 ст. 272 УК РФ — группа или служебное положение
Состав: деяния из ч. 1 или 2, совершённые:
- Группой лиц по предварительному сговору
- Организованной группой
- Лицом с использованием своего служебного положения (сотрудник IT-отдела, сисадмин, бухгалтер с доступом к базе)
Наказание:
- Штраф до 500 000 ₽ или в размере зарплаты до 3 лет с запретом занимать определённые должности до 3 лет
- Или ограничение свободы до 4 лет
- Или принудительные работы до 5 лет
- Или лишение свободы до 5 лет
⚠ Часть 3 — самая частая квалификация в делах об утечках через сотрудников. Если бухгалтер слил базу клиентов — это почти всегда ч. 3 ст. 272, потому что бухгалтер имел доступ по должности.
Часть 4 ст. 272 УК РФ — тяжкие последствия
Состав: деяния из ч. 1, 2 или 3, если они повлекли тяжкие последствия или создали угрозу их наступления.
Что суды считают «тяжкими последствиями»:
- Массовая утечка данных (от 100 000 субъектов и больше)
- Существенный материальный ущерб (от 10 млн ₽)
- Нарушение работы критической инфраструктуры (банков, медицины, госуслуг)
- Использование украденных данных для совершения других тяжких преступлений
Наказание:
- Принудительные работы до 5 лет
- Или лишение свободы до 7 лет
Срок давности привлечения
По ч. 1-3 — статья средней тяжести, срок давности 6 лет.
По ч. 4 — тяжкое преступление, срок давности 10 лет.
Срок давности отсчитывается с момента совершения деяния — не с момента обнаружения. Это важно: если хакер влез в базу в 2018 году, а вы узнали об этом в 2026 — за ч. 1 уже истёк срок давности (если не было новых эпизодов).
За что грозит уголовка по 272.1
Краткий ответ. За незаконное получение, передачу, продажу или иное распространение персональных данных с использованием служебного положения, группой лиц или с причинением вреда. Обычный административный штраф 13.11 КоАП — про нарушение правил обработки. Уголовка — про продажу баз и злоупотребление доступом.
Полный список действий, попадающих под 272.1:
— Незаконное получение ПДн — например, покупка слитой базы клиентов у бывшего сотрудника другой компании — Незаконная передача — продажа базы своих клиентов кому-то ещё без оснований — Использование служебного положения — бухгалтер скопировал базу с компьютера компании и продал — Распространение неправомерным способом — выложил базу в Telegram-канал «слитые базы» — Деяния в отношении специальных категорий ПДн — биометрия, медицинские данные, данные несовершеннолетних — Деяния, повлёкшие тяжкие последствия — пострадавший потерял деньги, здоровье, был запугиван
То есть простое нарушение правил обработки (нет согласия в форме, отсутствует политика) — это административка. Уголовка — про намеренные действия с целью наживы или вреда.
Какие сроки и штрафы предусмотрены

| Часть статьи | Что | Наказание |
|---|---|---|
| 272.1 ч. 1 | Базовый состав (без квалифицирующих признаков) | штраф до 300 000 ₽ или лишение свободы до 4 лет |
| 272.1 ч. 2 | С использованием служебного положения | штраф до 500 000 ₽ или лишение свободы до 5 лет |
| 272.1 ч. 3 | Группой лиц по предварительному сговору | штраф до 800 000 ₽ или лишение свободы до 6 лет |
| 272.1 ч. 4 | Повлёкшие тяжкие последствия | штраф до 1 000 000 ₽ или лишение свободы до 8 лет |
| 272.1 ч. 5 | В отношении специальных категорий ПДн | штраф до 1 000 000 ₽ или лишение свободы до 10 лет |
Дополнительно к лишению свободы может назначаться: — Запрет занимать определённые должности (на срок до 5 лет) — например, нельзя работать с базами клиентов — Дополнительный штраф в виде «зарплата за период» (до 3 лет дохода)
Кого касается из малого бизнеса
Краткий ответ. К самому ИП или директору ООО — редко применяется напрямую. К сотрудникам, которые скопировали и продали базу — да. К работодателю как стороне процесса — административно, за отсутствие мер защиты.
Сценарии когда уголовка касается малого бизнеса:
1. Бывший сотрудник продал базу клиентов. Например, маркетолог, который ушёл, прихватил Excel с 5000 клиентов и продал в Telegram-канал. Он попадает под 272.1 ч.2 (со служебным положением). Вы как работодатель — под административный штраф 13.11 КоАП за отсутствие технических мер защиты (был дан слишком широкий доступ).
2. Сами решили продать свою базу. ИП маркетолог собрал базу клиентов через свой сайт за пару лет, потом продал её рекламному агентству. Если согласия клиентов на передачу третьим лицам нет — попадает под 272.1 ч.1.
3. Использовали базу из «слитого» источника. Купили базу у анонимного продавца, рассылаете по ней — попадаете под 272.1 (незаконное получение и использование).
4. CRM сотрудника содержит данные клиентов прошлого работодателя. Если сотрудник принёс с собой контакты и вы рассылаете по ним рекламу — формально 272.1.
К самому ИП-владельцу сайта-визитки с формой обратной связи 272.1 НЕ применяется, если он не делает с собранными данными ничего из списка выше. Обычная обработка — это административка.
Реальные кейсы 2025-2026
По данным Генпрокуратуры за первые 6 месяцев применения статьи — около 600 уголовных дел. Самые громкие категории:
1. Сотрудники банков и call-центров. Самая массовая категория. Сотрудники имеют доступ к базам клиентов, продают их в дарквеб и Telegram. Типичный приговор — 2-4 года условно + штраф 200-500 тысяч.
2. Сотрудники операторов связи. Сливают данные о звонках, геолокации, паспортные данные. Часто работают «по запросам» — кто-то заказывает «пробить» конкретного человека.
3. Бухгалтеры на аутсорсе. Имеют доступ к финансовым и кадровым данным десятков компаний. При расторжении договоров копируют базы и продают.
4. Бывшие сотрудники интернет-магазинов. Уносят базы клиентов с историей покупок. Особо ценны базы магазинов с премиум-сегментом.
5. Кейс с медицинскими данными (2025 год, около 10 дел). Сотрудники мед.учреждений сливали диагнозы и контакты — для использования в рекламе лекарств. По части 5 — до 10 лет.
По состоянию на май 2026 года — статья применяется активно, но реальные сроки лишения свободы получают единичные. В основном — условно + штраф + запрет работать с базами.
Как защитить себя как работодателя
Если у вас есть сотрудники с доступом к клиентской базе, минимум мер защиты:
1. Подпишите соглашение о неразглашении (NDA). В трудовом договоре или отдельным соглашением. Прямо укажите что клиентская база — конфиденциальная информация работодателя.
2. Технически разграничьте доступы. Менеджер видит только своих клиентов, бухгалтер — финансовые данные, маркетолог — агрегированную статистику. Никто не имеет доступа ко всей базе.
3. Логируйте действия с базой. Кто и когда скачивал данные. Большинство CRM это делают автоматически.
4. При увольнении сразу отзывайте доступы. В первый же день после ухода — отключить учётные записи, забрать корпоративные устройства, сменить пароли к CRM.
5. Поставьте мониторинг на массовые выгрузки. В Битрикс24, AmoCRM и большинстве CRM можно настроить уведомления когда кто-то экспортирует базу.
6. Регулярно меняйте пароли. Каждые 3-6 месяцев. Особенно после ухода сотрудника с доступом.
7. Бэкапы — отдельно и зашифрованы. Если у вас есть бэкап БД клиентов на личном Yandex.Диске сотрудника — это потенциальная утечка.
Если у вас просто сайт с формой обратной связи и одним сотрудником (вами) — большинство мер избыточны. Главное — пароль на CRM не «12345» и базу не лежать в открытом доступе.
Чем отличается от административной 13.11 КоАП
Часто путают «административку по 152-ФЗ» и «уголовку по 272.1 УК». Различия:
13.11 КоАП (административная): — За нарушение правил обработки (нет согласия, нет политики, не подал уведомление) — Применяется к организации или ИП как к юридическому лицу — Штрафы — десятки тысяч до миллионов — Не идёт в трудовую книжку, не блокирует выезд за границу — Применяется Роскомнадзором или судами по делам об административных правонарушениях
272.1 УК (уголовная): — За намеренное незаконное использование/передачу/продажу — Применяется к физическим лицам (конкретным виновникам) — Наказание — реальный срок лишения свободы или большой штраф — Судимость идёт в личную историю, ограничения по трудоустройству — Применяется судами общей юрисдикции по уголовным делам
В одной истории может быть и то и другое: ИП «недосмотрел за сотрудником» (штраф 13.11) + сотрудник продал базу (срок по 272.1).
Частые вопросы
Если я ИП и работаю один — мне грозит 272.1?
Скорее нет, чем да. Статья — про намеренные действия (продажа баз, использование служебного положения). Если вы просто собираете данные клиентов через форму и используете их по назначению — это обычная обработка, под административку 13.11 КоАП.
Можно ли продать свой собственный бизнес вместе с базой клиентов?
Можно, но через специальную процедуру. Покупатель должен получить согласие клиентов на передачу данных (или это должно быть в исходных согласиях клиентов). Без согласия — формально 272.1 ч.1.
Если бывший сотрудник продал нашу базу — мы как работодатель попадаем под 272.1?
Нет, под 272.1 попадает он лично. Вы как работодатель — под административный штраф 13.11 КоАП (если не приняли меры защиты).
Что считается «использованием служебного положения»?
Когда сотрудник использует доступ к данным, который дал ему работодатель. Бухгалтер видит финансовые данные клиентов — это служебное положение. Менеджер видит контакты — то же самое. Любое использование этого доступа не для работы — 272.1 ч.2.
Условный срок по 272.1 — это сильно?
Условный срок — это не лишение свободы фактически, но судимость. Это запрет работать в банках, госорганах, силовых структурах. Запрет на занятие определённых должностей. Запрет на выезд за границу в большинство стран. Это серьёзно влияет на жизнь.
Если я купил базу у анонимного продавца — меня посадят?
Возбудят дело по 272.1 ч.1 «незаконное получение». Если докажете что не знали что база ворованная — возможно прекращение. Но на практике сложно объяснить почему вы покупали базу у анонима.
Как доказать что не я продал базу?
При утечке РКН проводит расследование. Если у вас были логи доступа к БД, разграничение прав, NDA сотрудников — вы как работодатель не несёте уголовной ответственности. Виновного находят по логам.
Что делать дальше
Для большинства микро-бизнесов 272.1 — не главная угроза. Главное — закрыть административные риски: подать уведомление в РКН, поставить политику и согласие на сайт.
Если у вас есть сотрудники с доступом к клиентской базе — подпишите NDA и разграничьте доступы. Это снизит риск 272.1 в отношении ваших сотрудников и ваш собственный риск 13.11 КоАП.
Бесплатная проверка сайта. 30 секунд, без регистрации.
Читайте также
- Регистрация в РКН как оператор персональных данных — пошагово
- Оператор персональных данных: кто это и обязанности 2026
- Штрафы 152-ФЗ в 2026 году — административные санкции до уголовки.
- Трансграничная передача персональных данных — утечка за рубеж образует состав.
- Cookie-уведомление по ФЗ-420 — отдельные санкции за нарушение.
- Реестр операторов персональных данных РКН — обязанность каждого оператора.
Об авторе
Дмитрий Синица. ИП с 2013 года, в разработке с 2010-го.
Направления: сайты (от лендингов до магазинов), чат-боты с ИИ и без, автоматизация процессов в малом бизнесе.
PdAudit.ru сделал, зная боли своих клиентов: кто-то где-то услышал про 152-ФЗ, подумал «потом разберусь», и через год сайт всё ещё без политики и согласия. Сервис за минуту находит проблемы и собирает готовые документы под конкретный сайт.
ИНН 502716306004, ОГРНИП 313502708000051. Запись в реестре операторов ПДн №77-25-358038 от 23.06.2025.
Источники
— УК РФ статья 272.1 — КоАП статья 13.11 — Статистика Генеральной прокуратуры РФ за 1 полугодие 2025
Актуализация: 19 мая 2026.