Відповідальність за несанкціонований збут або розповсюдження інформації з обмеженим доступом, яка зберігається в електронно-обчислювальних машинах (комп’ютерах), автоматизованих системах, комп’ютерних мережах або на носіях такої інформації

Останнє оновлення 2026-06-06

Грань між розвитком цифрової економіки, масовим переходом бізнесу в хмарні сховища та інтеграцією баз даних призвела до закономірного результату: інформація стала найціннішим комерційним ресурсом. Водночас кратно зросли ризики кіберзлочинів. В Україні епоха, коли витік персональних даних або «злив» клієнтських баз сприймалися як внутрішній корпоративний інцидент, офіційно завершена.

Сьогодні несанкціоноване поширення інформації з обмеженим доступом, що зберігається в комп’ютерах, автоматизованих системах або на флеш-носіях (ст. 361-2 КК України), тягне за собою жорстке кримінальне переслідування. Під удар потрапляють не лише професійні хакери, а й системні адміністратори, колишні співробітники компаній, арбітражники трафіку та спеціалісти з парсингу даних.

Зміст

  1. Що вважається злочином: об’єктивні критерії ст. 361-2 КК
  2. Межа між цивільною відповідальністю та кримінальним злочином
  3. 1. Цивільно-правова та дисциплінарна площина
  4. 2. Кримінальна площина (ст. 361-2 КК України)
  5. Порівняльна таблиця для швидкого аналізу
  6. Аналіз судового прецеденту (Голосіївський районний суд м. Києва, справа № 752/4618/26)
  7. Обставини справи та аргументація сторін
  8. Ключові докази та процесуальні кроки, що визначили фінал справи
  9. Підсумок справи
  10. Наслідки та санкції ст. 361-2 КК України: детальний розбір
  11. 1. Простий склад (ч. 1 ст. 361-2 КК)
  12. 2. Кваліфікований склад (ч. 2 ст. 361-2 КК)
  13. Рекомендації щодо правового захисту від адвокатів «Турій і Партнери»

Що вважається злочином: об’єктивні критерії ст. 361-2 КК

Специфіка статті 361-2 КК України полягає в тому, що закон захищає інформацію, яка створена та захищена відповідно до чинного законодавства (комерційна таємниця, персональні дані, банківська таємниця, конфіденційна інформація).

Для кваліфікації злочину за цією статтею слідству необхідно довести два ключові дії (альтернативно або в сукупності):

  1. Несанкціонований збут — передача інформації третім особам на платній основі (продаж баз даних, обмін на матеріальні цінності, криптовалюту або послуги).
  2. Несанкціоноване поширення — надання доступу до інформації невизначеному колу осіб або конкретній особі без дозволу власника, незалежно від отримання коштів (пересилання файлів у месенджерах, публікація в закритих або відкритих каналах, розміщення на файлообмінниках).

Важливо: предметом злочину є не сама «абстрактна інформація», а дані з обмеженим доступом, зафіксовані на матеріальних носіях (SSD/HDD, флеш-накопичувачі) або ті, що циркулюють в автоматизованих системах і комп’ютерних мережах.

Межа між цивільною відповідальністю та кримінальним злочином

Головна помилка багатьох фахівців, що працюють із даними (IT, маркетинг, аналітика), — переконання, що порушення NDA або передача контактів контрагента є виключно цивільно-правовим спором.

Різницю між цивільною відповідальністю (штраф за договором) та кримінальною справою визначає один критерій — статус інформації та умисел.

1. Цивільно-правова та дисциплінарна площина

Якщо працівник через недбалість або порушення внутрішньої інструкції переслав робочий звіт на особисту пошту, і це не призвело до витоку захищених законом персональних або банківських даних, ситуація вирішується в межах трудового або цивільного законодавства (догана, звільнення, відшкодування збитків).

2. Кримінальна площина (ст. 361-2 КК України)

Кримінальне провадження відкривається, щойно фіксується умисний витік захищеної інформації. Особа усвідомлює, що не має права поширювати ці дані (наприклад, копії паспортів, дампи баз клієнтів, логіни та паролі до банківських акаунтів), але цілеспрямовано здійснює їх передачу.

Порівняльна таблиця для швидкого аналізу:

КритерійЦивільно-правова відповідальність (NDA / збитки)Кримінальна відповідальність (ст. 361-2 КК України)
Характер інформаціїВнутрішні комерційні документи компанії (плани, графіки)Персональні дані громадян, банківські реквізити, захищена таємниця
Суть дійПорушення регламентів компанії, випадкова відправка не тому адресатуСвідомий збір, копіювання та цілеспрямований витік третім особам
Інструменти фіксаціїВнутрішній ІТ-аудит компанії, DLP-системи контролю працівниківКіберполіція, експертиза жорстких дисків, логи месенджерів і серверів
СанкціїШтраф за контрактом, звільненняКримінальний штраф, позбавлення волі, конфіскація техніки
НаслідкиФінансові втрати, зіпсоване резюмеСудимість, статус засудженої особи, обмеження в ІТ-кар’єрі

Аналіз судового прецеденту (Голосіївський районний суд м. Києва, справа № 752/4618/26)

Цей вирок від 21 квітня 2026 року наочно демонструє, як кіберполіція та суди кваліфікують передачу персональних даних через месенджери та до яких правових наслідків це призводить.

Обставини справи та аргументація сторін

Обвинувачений — спеціаліст із просунутими навичками програмування, роботи з ПЗ та соціальної інженерії, офіційно не працевлаштований. За матеріалами справи, у нього виник умисел на поширення конфіденційної інформації.

29 лютого 2024 року, перебуваючи вдома в Києві, обвинувачений через Telegram надіслав іншому користувачу архів .rar із назвою «109-113». Файл було скопійовано з його SSD Kingston NV2. Усередині містилися персональні дані громадян:

  • скан-копії паспортів громадян України;
  • повні дані банківських карток (номери, терміни дії, ПІБ власників, адреси, телефони, IP-адреси та інші дані входів у банкінг).

Слідство кваліфікувало дії за ч. 1 ст. 361-2 КК України як несанкціоноване поширення інформації з обмеженим доступом. Захист зазначив, що заперечення факту відправки було неможливим через цифрові сліди.

Ключові докази та процесуальні кроки, що визначили фінал справи:

  1. Цифрова фіксація: експертиза встановила шлях файлу на носії та зіставила його з відправкою в Telegram.
  2. Відсутність заперечень: цифрові логи та прив’язка пристрою не дозволили спростувати факт передачі.
  3. Угода про визнання вини та донат на ЗСУ: 20 лютого 2026 року укладено угоду з прокурором, обвинувачений визнав вину та перерахував 100 000 грн благодійної допомоги.

Підсумок справи

Суд затвердив угоду про визнання вини. Особу визнано винною за ч. 1 ст. 361-2 КК України. Призначено штраф у розмірі 3 000 неоподатковуваних мінімумів доходів громадян (51 000 грн). Завдяки процесуальній угоді особа уникла позбавлення волі.

Наслідки та санкції ст. 361-2 КК України: детальний розбір

1. Простий склад (ч. 1 ст. 361-2 КК)

Розповсюдження або збут інформації, вчинені вперше без тяжких наслідків:

  • штраф або позбавлення волі до 3 років;

2. Кваліфікований склад (ч. 2 ст. 361-2 КК)

Повторні дії, змова групи осіб або тяжкі наслідки (великі збитки чи вплив на критичну інфраструктуру):

  • позбавлення волі від 2 до 5 років;

Рекомендації щодо правового захисту від адвокатів «Турій і Партнери»

У разі обвинувачення за ст. 361-2 КК України стратегія захисту включає:

  1. перевірку статусу «обмеженого доступу» інформації;
  2. аналіз цифрового периметра та можливих зламів пристроїв;
  3. процесуальну угоду як інструмент мінімізації ризиків у разі сильних доказів.

Справи у сфері кібербезпеки потребують не лише знання права, а й технічного розуміння систем і мереж. Юридична компанія «Турій і Партнери» забезпечує захист на всіх етапах розслідування.

Андрій Турій

Адвокат. Досвід роботи більше 15 років. Засновник юридичної компанії "Турій та Партнери". Автор статей на сайті turii.com.ua

Додати відгук

Публікації
ChatGPTPerplexityAI OverviewsGrok