
Уголовная ответственность за персональные данные: кого касается статья 272.1 УК РФ и почему бизнесу нельзя игнорировать новые риски
К теме персональных данных бизнес долго привыкал как к истории про документы, политику на сайте и риск административного штрафа. Но в 2024–2025 году контур резко ужесточился. Теперь разговор идет не только про Роскомнадзор и КоАП. Появилась новая статья 272.1 УК РФ, а значит в ряде сценариев вопрос уже может стоять не только в плоскости «исправить сайт и бумаги», но и в плоскости уголовно-правового риска.
Для собственника, директора, руководителя направления, DPO, юриста или IT-команды здесь важно одно: не драматизировать без оснований, но и не успокаивать себя фразой «это нас точно не касается». В реальности между бытовым хаосом с персональными данными и тяжелым кейсом часто лежит не так много шагов: непрозрачный доступ к базе, утечка, серый подрядчик, выгрузка данных «для удобства», внутренний конфликт, попытка что-то продать, переслать или использовать не по назначению.
Почему статья 272.1 УК РФ важна для бизнеса
Раньше многие смотрели на персональные данные как на комплаенс-тему второго эшелона. Да, неприятно. Да, может быть штраф. Да, надо что-то подготовить. Но новая уголовная логика меняет тональность.
Теперь для бизнеса важен не только вопрос, есть ли политика на сайте и подано ли уведомление в Роскомнадзор. Важен вопрос, как компания реально обращается с данными, кто к ним имеет доступ, как устроены выгрузки, кому и зачем передаются базы, как контролируются подрядчики и что произойдет, если сотрудник или партнер начнет использовать массив данных вне согласованных целей.
Именно здесь начинается зона, где персональные данные перестают быть «просто юридической задачей» и становятся управленческой, кадровой и информационной проблемой.
О чем вообще новая уголовная рамка
Смысл новой конструкции не в том, что любой оператор персональных данных автоматически рискует уголовной ответственностью. Смысл в том, что незаконное обращение с персональными данными, особенно полученными незаконным путем, больше не выглядит как абстрактная страшилка. Государство показывает, что готово рассматривать часть сценариев уже как отдельную тяжёлую зону.
Для бизнеса это означает несколько практических выводов:
- недостаточно иметь на бумаге «что-то про 152-ФЗ»;
- нельзя оставлять серые схемы доступа к базам, выгрузкам и облакам;
- опасны ситуации, где массив персональных данных живет собственной жизнью вне регламентов;
- особое внимание нужно к данным несовершеннолетних, специальным категориям и биометрии;
- внутренний контроль доступа и фиксация ролей перестают быть формальностью.
Кого это касается на практике
Чаще всего собственники думают так: уголовная история касается только хакеров, даркнета или крупных скандалов. Это слишком успокаивающая версия.
На практике в зоне повышенного внимания оказываются:
- компании с большими клиентскими базами;
- медицинские проекты и клиники;
- образовательные проекты, особенно там, где есть данные детей;
- HR-контур с анкетами, резюме и внутренними кадровыми файлами;
- e-commerce и сервисы с CRM, подрядчиками, колл-трекингом и несколькими точками доступа;
- компании, где данные выгружаются в таблицы, пересылаются в мессенджерах или живут в личных аккаунтах сотрудников.
Иными словами, риск возникает не только у «больших технологических компаний». Он возникает у любого бизнеса, где фактическая модель работы с персональными данными плохо контролируется.
Где бизнес чаще всего проваливается
1. Слишком много людей видят базу
Когда у продаж, маркетинга, сервиса, подрядчика, интегратора и руководителя есть неограниченный доступ к контактам и карточкам клиентов, компания сама создает опасную среду. Даже если никто не собирался нарушать закон, это уже неуправляемая архитектура доступа.
2. Выгрузки живут отдельно от системы
Один из самых плохих сценариев, когда CRM вроде бы под контролем, а реальные данные уходят в Excel, Google Sheets, мессенджеры, пересылаются подрядчикам, сохраняются на ноутбуках и в личных папках. Именно в этих точках контроль обычно и ломается.
3. Подрядчики работают с данными без прозрачной договорной рамки
Если агентство, интегратор, аутсорс-команда, HR-подрядчик или маркетинговый сервис получают доступ к данным без четкого поручения обработки и понятного разграничения ролей, компания создает слабое место не только по 152-ФЗ, но и по более тяжелым сценариям.
4. Нет нормальной фиксации ролей и ответственности
Когда в компании формально никто не отвечает за контур персональных данных, проблемы копятся годами. Никто не знает, какие базы есть, кто куда выгружает, кто согласовывает сервисы и кто должен остановить сомнительный процесс.
Что особенно опасно
Есть несколько зон, которые делают ситуацию тяжелее даже без публичного скандала.
Несовершеннолетние
Если компания работает с детьми, образовательными проектами, кружками, лагерями, школами, детскими анкетами или родительскими кабинетами, нужно исходить из презумпции повышенного риска. Здесь цена ошибки выше, а терпимость к хаосу ниже.
Специальные категории данных
Медицинские сведения, данные о здоровье, инвалидности и другие чувствительные категории сами по себе требуют более аккуратной модели обработки. Их нельзя держать на тех же управленческих привычках, что и обычные контакты из формы обратной связи.
Биометрия
Если в бизнесе есть биометрические элементы, идентификация по фото, видео, лицу, системам допуска или иные похожие сценарии, нельзя относиться к этому как к «еще одному полю в анкете».
Как понять, что у вас не абстрактный, а реальный риск
Тревожные признаки обычно очень приземленные:
- компания не может быстро ответить, где именно живут все базы с персональными данными;
- доступы раздавались исторически и никто их не ревизировал;
- у подрядчиков есть доступ к персональным данным, но договорная логика размыта;
- сотрудники выгружают массивы данных в таблицы или пересылают их в чатах;
- нет нормального реестра процессов обработки;
- внутренние документы существуют отдельно от реальной практики;
- никто не может описать, кто и зачем имеет доступ к данным несовершеннолетних, медицинским или иным чувствительным данным.
Если вы узнаете в этом свою компанию, статья 272.1 УК РФ должна восприниматься не как повод для паники, а как сигнал: пора перестать смотреть на персональные данные только как на формальность.
Что делать бизнесу прямо сейчас
Провести инвентаризацию доступа
Нужно не просто перечислить системы. Нужно понять, кто реально имеет доступ к данным, какие выгрузки возможны, где данные дублируются, какие каналы используются для пересылки и хранения.
В этом помогут и уже опубликованные материалы:
- инвентаризация персональных данных в компании;
- карта потоков персональных данных;
- трансграничная передача персональных данных.
Развести роли внутри компании
Нужно определить не только «ответственного за ПДн» на бумаге, но и реальные роли: кто согласовывает доступ, кто проверяет подрядчиков, кто отвечает за сайт, кто контролирует HR-контур, кто ведет incidents.
Пересмотреть подрядчиков и выгрузки
Если данные уходят в агентства, колл-центры, интеграторам, техническим подрядчикам или сервисным компаниям, нужно проверить договорную модель и сам факт необходимости такого доступа.
Отдельно проверить чувствительные сценарии
Детские, медицинские, специальные и биометрические данные нужно выделить в отдельный контур и не смешивать с общей бытовой логикой обработки.
Чего не надо делать
- Не надо успокаивать себя тем, что «у нас не такой большой бизнес».
- Не надо думать, что вопрос закрывается одной политикой на сайте.
- Не надо смешивать административные риски и уголовные, считая, что если не было утечки, то и опасности нет.
- Не надо оставлять старые доступы и старые выгрузки «как есть».
- Не надо ждать, пока проблема проявится через инцидент, конфликтный уход сотрудника или запрос извне.
Главный вывод
Новая статья 272.1 УК РФ не означает, что любой оператор персональных данных автоматически находится под уголовной угрозой. Но она точно означает, что эпоха расслабленного отношения к базам, выгрузкам, подрядчикам и хаосу в доступах закончилась.
Для бизнеса это не статья «про кого-то другого». Это напоминание, что слабый контур работы с персональными данными со временем превращается из технического долга в юридический и управленческий риск.
Начните с ручного разбора вашего контура: сайт, CRM, сотрудники, подрядчики, выгрузки, чувствительные категории данных. Это быстрее и дешевле, чем выяснять границы риска уже после инцидента.
Разобрать ситуацию на консультации · Подобрать комплект документов · Посмотреть карту штрафных рисков