Аудит онлайн-школы на 152-ФЗ
Аудит онлайн-школы на 152-ФЗ — это проверка всей цепочки обработки персональных данных: от формы записи на курс до хранения результатов итоговых тестов и передачи данных в сторонние сервисы. Образовательные организации попадают под контроль Роскомнадзора наравне с банками и медицинскими клиниками: они обрабатывают данные несовершеннолетних, специальные категории (состояние здоровья при необходимости адаптации), а нередко — и биометрию через системы прокторинга. В 2024 году РКН зафиксировал 135 случаев компрометации баз данных; EdTech вошёл в число секторов с наибольшим числом утечек. Ниже — структура аудита, типичные нарушения и правила работы с данными несовершеннолетних.
Кто является оператором персональных данных в онлайн-школе?
Оператором по ст. 3 ФЗ-152 признаётся лицо, самостоятельно или совместно с другими определяющее цели и состав обрабатываемых данных. Для онлайн-школы это, как правило, юридическое лицо или индивидуальный предприниматель, заключающий договор с учеником или родителем.
На практике вопрос усложняется, когда школа использует платформы-агрегаторы (Getcourse, Антитренинги, Геткурс) или маркетплейсы курсов. Платформа в этом случае может оказаться самостоятельным оператором либо лицом, осуществляющим обработку по поручению. Разграничение роли критично: если платформа — обработчик, школа обязана заключить с ней поручение по п. 3 ст. 6 ФЗ-152 с перечнем разрешённых действий. Без такого поручения передача данных платформе — самостоятельное основание для протокола по ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽).
Отдельный вопрос — сервисы видеосвязи и вебинарных комнат (Zoom, Bizon365, TrueConf). При использовании иностранных сервисов возникает трансграничная передача данных, требующая уведомления РКН по ст. 12 ФЗ-152 и соблюдения требований локализации по ч. 5 ст. 18 ФЗ-152.
Какие данные онлайн-школы относятся к специальным категориям и данным несовершеннолетних?
Специальные категории по ст. 10 ФЗ-152 — это сведения о состоянии здоровья, религиозных или политических взглядах, интимной жизни. В контексте онлайн-школы они возникают при адаптации курса под особенности здоровья ученика (ОВЗ, хронические заболевания), при сборе сведений о национальности для языковых программ или при обработке данных о вероисповедании в религиозных школах.
Обработка специальных категорий по общему правилу запрещена. Исключения — письменное согласие субъекта (или его законного представителя) либо иные основания, перечисленные в п. 2 ст. 10 ФЗ-152. Отсутствие письменного согласия при обработке спецкатегорий — состав по ч. 2 ст. 13.11 КоАП с штрафом 300 000–700 000 ₽.
Персональные данные несовершеннолетних (лиц до 18 лет) не выделены в 152-ФЗ в отдельную категорию, однако ст. 9 ФЗ-152 устанавливает: согласие на обработку данных лица, не достигшего 18 лет, даёт его законный представитель — родитель или опекун. С 01.09.2025 (ФЗ-156 от 24.06.2025) это согласие должно быть оформлено отдельным документом, а не включаться в текст договора на образовательные услуги.
Согласия родителей в договоре, а не отдельным документом?
С 01.09.2025 включать согласие на обработку ПДн в текст договора об оказании образовательных услуг недостаточно: ФЗ-156 требует отдельного документа с обязательными реквизитами по ст. 9 ФЗ-152. Каждый договор, содержащий объединённое согласие, создаёт основание для штрафа по ч. 2 ст. 13.11 до 700 000 ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и подготовят корректный пакет согласий.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Что проверяет аудит онлайн-школы на соответствие 152-ФЗ?
Аудит охватывает шесть направлений. Первое — уведомление в реестре операторов РКН: проверяется факт наличия, актуальность сведений (состав ПДн, цели, правовые основания, сроки). Форма уведомления подаётся через pd.rkn.gov.ru по Приказу РКН №180. Если школа использует новые инструменты (прокторинг, AI-тьютор), а уведомление этого не отражает — основание для протокола по ч. 10 ст. 13.11 (100 000–300 000 ₽).
Второе направление — организационно-распорядительная документация (ОРД): политика обработки ПДн, приказ о назначении ответственного (ст. 22.1 ФЗ-152), регламент реагирования на инциденты, журнал учёта обращений субъектов. Третье — правовые основания обработки: согласия учеников/родителей, договор как основание для обработки по п. 5 ч. 1 ст. 6 ФЗ-152, поручения обработчикам.
Четвёртое — трансграничная передача: использование Zoom, Google Classroom, Miro, Notion и иных иностранных сервисов требует проверки уведомления РКН и соответствия требованиям локализации. Пятое — технические меры защиты по ПП РФ №1119 и Приказу ФСТЭК №21: определение уровня защищённости (УЗ), наличие антивирусной защиты, разграничение прав доступа, резервное копирование. Шестое — прокторинг и биометрия: системы видеоидентификации студентов при сдаче экзаменов обрабатывают биометрические данные по ст. 11 ФЗ-152, что требует письменного согласия.
Что подготовить к аудиту онлайн-школы
- Выписка из реестра операторов ПДн с pd.rkn.gov.ru с актуальными сведениями о целях и составе обрабатываемых данных
- Отдельные согласия родителей (законных представителей) на обработку ПДн несовершеннолетних по ст. 9 ч. 6 ФЗ-152 в редакции ФЗ-156 от 24.06.2025
- Договоры-поручения с платформой (Getcourse, иной LMS), сервисами email-рассылок, системами прокторинга
- Политика обработки ПДн, опубликованная на сайте школы (ст. 18.1 ФЗ-152), с разделом о правах субъектов
- Письменные согласия на обработку биометрических ПДн при использовании прокторинга (ст. 11 ФЗ-152)
Что такое прокторинг с точки зрения 152-ФЗ и почему он создаёт отдельный риск?
Прокторинг — это система дистанционного контроля при сдаче экзаменов, использующая видеозапись, анализ движений глаз, распознавание лица и голоса. С точки зрения ст. 11 ФЗ-152 такая система обрабатывает биометрические персональные данные — характеристики, позволяющие установить личность человека.
Обработка биометрии без письменного согласия — состав по ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽ за каждый факт). При утечке базы биометрических данных применяется ч. 17 ст. 13.11 — штраф 15 000 000–20 000 000 ₽. Если школа передаёт биометрию в стороннюю систему прокторинга (Examus, Proctoredu и иные) без поручения — добавляется ч. 1 ст. 13.11.
Отдельный вопрос — прокторинг несовершеннолетних: согласие на биометрию даёт родитель, а не сам ученик, независимо от возраста. Практика РКН показывает: именно отсутствие отдельного согласия на биометрическую обработку при прокторинге несовершеннолетних становится первым нарушением, которое выявляет инспектор.
Если юрист онлайн-школы анализирует договор с системой прокторинга — проверьте: есть ли в нём поручение на обработку биометрических ПДн, перечень допустимых действий и срок хранения записей. Без этого договор не защищает школу от штрафа.
Заказать аудит 152-ФЗКакие типичные нарушения выявляет аудит онлайн-школы?
По итогам аудитов образовательных организаций DATUM фиксирует несколько устойчивых паттернов нарушений. Первый — отсутствие или устаревшее уведомление в реестре РКН: школа зарегистрировалась несколько лет назад и не отразила в уведомлении использование новых сервисов (CRM, прокторинг, мессенджеры). Второй — согласие на обработку ПДн включено в текст договора об оказании услуг, что с 01.09.2025 прямо противоречит ст. 9 ФЗ-152 в редакции ФЗ-156.
Третий паттерн — передача данных учеников в иностранные сервисы без уведомления РКН о трансграничной передаче. Google Classroom хранит данные на серверах за пределами РФ; школы, использующие его для хранения результатов обучения российских граждан, нарушают требование локализации по ч. 5 ст. 18 ФЗ-152. Четвёртый — отсутствие договора-поручения с LMS-платформой или сервисом рассылок: данные учеников передаются, но правовое основание не оформлено.
Пятый — политика конфиденциальности скопирована с другого сайта и не отражает реальный состав обрабатываемых данных, цели и правовые основания. Это нарушение ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽), но при проверке РКН оно становится сигналом для более глубокого расследования.
Типичные ситуации из практики
Ситуация 1. Онлайн-школа английского языка (Центральный ФО, осень 2025) получила предписание РКН после жалобы родителя: согласие на обработку данных ребёнка было включено в договор оферты, а не оформлено отдельным документом. На момент проверки школа обрабатывала данные 4 200 несовершеннолетних без корректных согласий. Проверяющие квалифицировали нарушение по ч. 2 ст. 13.11 КоАП. Юрист школы устранил нарушение до вынесения постановления, представив суду доказательства немедленного переоформления согласий — штраф снизили до нижней границы диапазона. Ключевой вывод: скорость устранения нарушения напрямую влияет на итоговый размер санкции.
Ситуация 2. EdTech-платформа (Северо-Западный ФО, начало 2026) использовала систему прокторинга с функцией распознавания лица для студентов, включая несовершеннолетних. В договоре с провайдером прокторинга отсутствовало поручение на обработку биометрии; согласия родителей на биометрическую обработку не собирались. После внутреннего аудита (проведён по результатам запроса от корпоративного клиента) выявлено двойное нарушение: ч. 2 и ч. 1 ст. 13.11 КоАП. Платформа до проверки РКН оформила поручения, собрала согласия и обновила уведомление в реестре. Проверка прошла без протоколов.
Как применяются нормы 152-ФЗ к Google Classroom и Дневник.ру?
Использование Google Classroom означает передачу персональных данных российских учеников на серверы Google (США). Это трансграничная передача по смыслу ст. 3 и ст. 12 ФЗ-152. США не включены в перечень стран, обеспечивающих адекватную защиту ПДн по актуальному приказу РКН. Следовательно, школа обязана уведомить РКН о трансграничной передаче до её начала и обосновать её допустимость по одному из оснований ч. 4 ст. 12 ФЗ-152 (согласие субъекта или необходимость исполнения договора).
Помимо трансграничной передачи, использование Google Classroom для хранения результатов обучения может нарушать требование локализации: систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных, расположенных в России (ч. 5 ст. 18 ФЗ-152). Штраф за нарушение локализации по ч. 8 ст. 13.11 КоАП — 1 000 000–6 000 000 ₽; за повторное нарушение — 6 000 000–18 000 000 ₽.
Дневник.ру — российская система, что снимает вопрос локализации. Однако передача данных в Дневник.ру требует договора-поручения, а школа обязана проверить, что система обрабатывает ПДн строго в заявленных целях и не передаёт их третьим лицам без правового основания. Для государственных и муниципальных школ использование Дневник.ру может быть обязательным по решению учредителя, что создаёт отдельное правовое основание по п. 2 ч. 1 ст. 6 ФЗ-152.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с планом устранения нарушений
- Комплект ОРД под ключ — политика, согласия, приказы, поручения, регламент реагирования
- DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании
Частые вопросы
1. Когда нужно согласие родителей?
Согласие законного представителя (родителя или опекуна) требуется при обработке ПДн лица, не достигшего 18 лет, по ст. 9 ч. 6 ФЗ-152. С 01.09.2025 это согласие должно быть оформлено отдельным документом — не включаться в договор оферты или пользовательское соглашение. Исключение — обработка, необходимая для исполнения договора, заключённого с родителем (п. 5 ч. 1 ст. 6 ФЗ-152): в этом случае отдельное согласие не требуется, но обработка строго ограничена целями договора.
2. Можно ли использовать Google Classroom?
Использование возможно, но требует соблюдения нескольких условий: уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152, наличия правового основания передачи (согласие субъекта либо необходимость исполнения договора), а также обеспечения того, что первичная запись и хранение ПДн граждан РФ происходят в базах на территории России. На практике многие школы переходят на российские аналоги (Сферум, Яндекс Учебник) — это исключает риски по ч. 8 и ч. 9 ст. 13.11 КоАП.
3. Что такое прокторинг с точки зрения 152-ФЗ?
Прокторинг с функцией видеозаписи и распознавания лица обрабатывает биометрические ПДн по ст. 11 ФЗ-152. Это требует письменного согласия — отдельного для биометрии. Для несовершеннолетних согласие подписывает родитель. Передача данных системе прокторинга оформляется договором-поручением по п. 3 ст. 6 ФЗ-152. При утечке биометрической базы штраф составляет 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП.
4. Кто является оператором в онлайн-школе?
Оператором является лицо, самостоятельно определяющее цели и состав обработки ПДн — как правило, юридическое лицо или ИП, заключающий договор с учеником или родителем. Если школа использует внешнюю LMS-платформу, платформа выступает обработчиком: школа остаётся оператором и несёт ответственность за соответствие обработки требованиям 152-ФЗ, включая утечку через платформу.
5. Что грозит онлайн-школе за утечку персональных данных?
Размер штрафа зависит от числа пострадавших субъектов. За утечку от 1 000 до 10 000 субъектов — 3 000 000–5 000 000 ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 субъектов — 5 000 000–10 000 000 ₽ по ч. 13; свыше 100 000 субъектов — 10 000 000–15 000 000 ₽ по ч. 14. При повторной утечке применяется оборотный штраф: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ (ч. 15 ст. 13.11). Дополнительно — неуведомление РКН об инциденте в течение 24 часов влечёт штраф 1–3 млн ₽ по ч. 11 ст. 13.11.
Итог
Аудит онлайн-школы на 152-ФЗ охватывает шесть направлений: уведомление в реестре РКН, пакет ОРД, правовые основания обработки (включая согласия родителей по ФЗ-156 с 01.09.2025), трансграничную передачу через иностранные сервисы, технические меры защиты и отдельный блок по биометрии при прокторинге. Каждое направление имеет собственный состав правонарушения по ст. 13.11 КоАП с санкциями от 30 000 до 500 млн ₽.
Практика DATUM включает сопровождение образовательных организаций — от частных онлайн-школ до EdTech-платформ с сотнями тысяч пользователей: аудит, формирование пакета ОРД, работа с согласиями несовершеннолетних и сопровождение проверок РКН.
14 февраля 2027 года