Аудит школы на 152-ФЗ
Школы, колледжи, онлайн-платформы и частные образовательные центры обязаны выполнять требования ФЗ-152 наравне с коммерческими операторами. При этом специфика сектора — обработка данных несовершеннолетних, использование внешних сервисов (электронные журналы, прокторинг, видеонаблюдение) и участие в государственных информационных системах — создаёт дополнительные правовые риски. Аудит школы на 152-ФЗ позволяет выявить эти риски до проверки Роскомнадзора и устранить их.
Какие данные обрабатывает школа и почему это важно для аудита?
Образовательная организация как оператор персональных данных работает с несколькими потоками информации одновременно. Данные обучающихся — ФИО, дата рождения, адрес, сведения об успеваемости и состоянии здоровья (справки, медицинские документы) — относятся к специальным категориям по ст. 10 ФЗ-152. Их обработка требует явного письменного согласия законного представителя или наличия одного из исключений, предусмотренных п. 2 ст. 10.
Отдельного внимания требует биографическая и контактная информация родителей, передаваемая при зачислении: она нередко агрегируется без чёткого описания цели. Данные педагогов обрабатываются в рамках трудовых отношений (ст. 86–88 ТК РФ в сочетании с ФЗ-152), однако требуют собственного комплекта согласий для передачи третьим лицам — например, в агрегаторы рейтингов учителей или образовательные порталы.
Юрист, проводящий аудит, обязан составить карту потоков данных: какая информация, от кого, куда передаётся, на каком правовом основании и в каком объёме. Это фундамент всей проверки.
Как получить согласие родителей по требованиям ФЗ-152 с 01.09.2025?
С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом, не включённым в договор, заявление о зачислении или устав — такое требование установлено ФЗ-156 от 24.06.2025, внёсшим поправки в ч. 1 ст. 9 ФЗ-152. Для школы это означает: стандартный бланк заявления о приёме в школу, в котором раньше располагалась фраза «даю согласие на обработку персональных данных», с 01.09.2025 недостаточен.
Согласие должно содержать обязательные реквизиты, перечисленные в ст. 9 ФЗ-152: наименование оператора, цель обработки, перечень персональных данных, перечень действий с ними, срок действия согласия, порядок его отзыва. Для данных несовершеннолетних согласие подписывает родитель или иной законный представитель — это прямо следует из ст. 9 ч. 6 ФЗ-152: несовершеннолетние до 14 лет не подписывают согласие самостоятельно. В возрасте от 14 до 18 лет возможны оба варианта — в зависимости от характера обрабатываемых данных и наличия согласия родителей на самостоятельные действия ребёнка.
На практике школы формируют единый пакет: согласие на обработку ПДн обучающегося, согласие на обработку ПДн родителя и, отдельно, согласие на распространение данных (публикация фотографий, видеозаписей мероприятий — ст. 10.1 ФЗ-152). Последнее — самостоятельный документ с правом субъекта ограничить распространение по умолчанию.
Согласия в школе собраны в заявлении о зачислении?
С 01.09.2025 такой формат нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф за обработку ПДн без надлежащего согласия — до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — до 1 500 000 ₽. Юристы DATUM проведут аудит ОРД образовательной организации и подготовят корректный пакет согласий с учётом специфики несовершеннолетних.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Что проверять при аудите: ключевые направления
Аудит образовательной организации на соответствие ФЗ-152 охватывает не менее пяти направлений.
Уведомление РКН. Школа обязана до начала обработки ПДн уведомить Роскомнадзор по ст. 22 ФЗ-152 и быть включена в реестр операторов. При аудите проверяется: уведомление подано, сведения актуальны, реальный состав обрабатываемых данных не выходит за рамки заявленного. Расхождение — нарушение ч. 1 ст. 13.11 КоАП (штраф 150 000–300 000 ₽).
Организационно-распорядительная документация. Минимальный пакет — политика обработки ПДн (ч. 2 ст. 18.1), приказ о назначении ответственного (ст. 22.1), согласия субъектов, регламент реагирования на обращения субъектов и инциденты. Публикация политики на сайте — обязательна (ч. 3 ст. 18.1). Её отсутствие: штраф 30 000–60 000 ₽ по ч. 3 ст. 13.11 КоАП.
Внешние сервисы и трансграничная передача. Использование Дневник.ру, платформ видеоконференций, Google Classroom, систем прокторинга — каждый сервис может быть передачей ПДн третьему лицу. Если сервис располагается за рубежом — это трансграничная передача (ст. 12 ФЗ-152), требующая уведомления РКН. При аудите необходимо квалифицировать каждый сервис и определить правовое основание передачи.
Технические меры защиты. Уровень защищённости информационной системы ПДн определяется по ПП РФ №1119. Для школы с данными о состоянии здоровья и числом субъектов свыше 100 000 — как правило, не ниже УЗ-3. Соответствующий набор мер по Приказу ФСТЭК №21 должен быть реализован и задокументирован.
Реагирование на обращения субъектов и инциденты. Срок ответа на запрос субъекта — 10 рабочих дней по ст. 20 ФЗ-152. При выявлении утечки — уведомление РКН в течение 24 часов (ч. 3.1 ст. 21), отчёт о расследовании — в течение 72 часов по Приказу РКН №187.
Что подготовить к аудиту образовательной организации
- Выписку из реестра операторов ПДн (pd.rkn.gov.ru) с проверкой актуальности сведений
- Пакет согласий субъектов (родители, сотрудники) в редакции, действующей после 01.09.2025
- Политику обработки ПДн, опубликованную на сайте школы, с обязательными разделами по ч. 2 ст. 18.1
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Перечень внешних сервисов и подрядчиков, которым передаются ПДн (электронный журнал, прокторинг, облачные платформы)
Прокторинг и онлайн-обучение: специфика 152-ФЗ
Прокторинг — дистанционный контроль за прохождением экзамена с применением видеозаписи, анализа активности на экране и биометрической идентификации — создаёт отдельный правовой блок. С точки зрения ФЗ-152 это обработка биометрических ПДн (видеоизображение для идентификации личности — ст. 11), специальных категорий ПДн в части физиологических характеристик и, при хранении записей, — данных третьих лиц, попавших в кадр.
Для использования прокторинга в школе или онлайн-платформе необходимо: письменное согласие субъекта (или законного представителя для несовершеннолетних) на обработку биометрии, договор-поручение с оператором прокторинговой системы по п. 3 ст. 6 ФЗ-152, проверка того, передаются ли данные за рубеж и в какую страну.
Использование Google Classroom или аналогичных зарубежных платформ при ЕГЭ и иных аттестационных процедурах требует анализа: является ли такой сервис обработчиком по поручению школы или самостоятельным оператором, и какова юрисдикция серверов. Если данные российских граждан попадают на серверы за рубежом — применяется ст. 12 и ч. 5 ст. 18 ФЗ-152 о локализации. Нарушение требования локализации — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.
Если школа использует прокторинг или зарубежные платформы и нет уведомления о трансграничной передаче — риск штрафа по ч. 8 ст. 13.11 КоАП составляет 1–6 млн ₽. Юристы DATUM квалифицируют каждый сервис и подготовят необходимые уведомления в РКН.
Заказать аудит 152-ФЗТиповые сценарии нарушений и их правовые последствия
Сценарий 1. Согласия в заявлении о зачислении. Школа использует единый бланк, в котором пункт о согласии на обработку ПДн включён в заявление. После 01.09.2025 это нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Роскомнадзор при плановой проверке фиксирует факт, составляет протокол по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — 300 000–700 000 ₽. Стратегия: переоформить согласия отдельным документом, утвердить приказом новые формы, провести инструктаж сотрудников приёмной комиссии.
Сценарий 2. Использование Дневник.ру или аналога без договора-поручения. Электронный журнал получает ПДн обучающихся и родителей без заключённого договора по п. 3 ст. 6 ФЗ-152. Школа не проверила, обрабатывает ли сервис данные в РФ. При утечке через платформу оператором остаётся школа — ответственность несёт она. Исход при проверке: нарушение по ч. 1 ст. 13.11 (несовместимость целей или отсутствие основания) плюс нарушение требований локализации, если сервер за рубежом. Стратегия: заключить договор-поручение, запросить у сервиса подтверждение размещения данных в РФ, зафиксировать в политике.
Сценарий 3. Утечка данных участников ЕГЭ. База с ФИО, паспортными данными и результатами экзаменов оказалась в открытом доступе. Число субъектов — более 10 000. Квалификация: ч. 13 ст. 13.11 КоАП (штраф 5–10 млн ₽), параллельно — протокол по ч. 11 за несвоевременное уведомление РКН, если уведомление направлено позже 24 часов. Стратегия: немедленно уведомить РКН, зафиксировать время обнаружения, подготовить отчёт в течение 72 часов, привлечь юриста для сопровождения расследования.
Как применяется практика к образовательным организациям
Кейс 1. В Приволжском федеральном округе осенью 2025 года негосударственный образовательный центр получил предписание Роскомнадзора по результатам плановой проверки. Нарушения: согласия родителей включены в договор об оказании услуг, отсутствует политика обработки ПДн на сайте, договор с оператором прокторинговой системы не содержит условий по п. 3 ст. 6 ФЗ-152. По итогам рассмотрения протоколов — штрафы в совокупности составили несколько сотен тысяч рублей по ч. 2 и ч. 3 ст. 13.11 КоАП. После привлечения юриста предписание исполнено в полном объёме, дальнейшие санкции не последовали.
Кейс 2 (на основе публичного дела — case_S2_pkr_analitika). Арбитражный суд Санкт-Петербурга и Ленинградской области в начале 2026 года рассмотрел дело об утечке около 70 000 субъектов (ФИО, должность, контакты) после хакерской атаки. Квалификация — ч. 14 ст. 13.11 КоАП (штраф 10–15 млн ₽). С учётом смягчающих обстоятельств назначен штраф ниже верхней границы. Принципиальный вывод суда: факт хакерской атаки не освобождает оператора от ответственности за недостаточность технических мер защиты.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка всех аспектов обработки ПДн, включая специфику образовательных организаций
- Комплект ОРД под ключ — политика, согласия для несовершеннолетних, регламенты, приказы
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентской основе
Частые вопросы
1. Когда нужно согласие родителей на обработку ПДн ребёнка?
Согласие родителя или иного законного представителя требуется при обработке ПДн несовершеннолетнего до 14 лет — это прямо установлено ст. 9 ч. 6 ФЗ-152. С 01.09.2025 согласие оформляется отдельным документом, не включённым в договор или заявление о зачислении (ФЗ-156 от 24.06.2025). Для специальных категорий данных (состояние здоровья, физиологические характеристики) требование письменного согласия действует вне зависимости от возраста субъекта по ст. 10 ФЗ-152.
2. Можно ли использовать Google Classroom в школе с точки зрения 152-ФЗ?
Использование возможно при выполнении ряда условий: школа должна квалифицировать сервис как обработчика по поручению или самостоятельного оператора, уведомить РКН о трансграничной передаче ПДн в случае, если данные российских граждан обрабатываются на серверах за рубежом (ст. 12 ФЗ-152), и убедиться, что требование локализации по ч. 5 ст. 18 ФЗ-152 соблюдается — первичные базы данных российских граждан должны находиться на серверах в РФ. При нарушении требования локализации — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.
3. Что такое прокторинг с точки зрения 152-ФЗ?
Прокторинг с идентификацией личности по видеоизображению — это обработка биометрических ПДн по ст. 11 ФЗ-152. Для её проведения необходимо письменное согласие субъекта или его законного представителя (для несовершеннолетних). Передача данных прокторинговому сервису оформляется договором-поручением по п. 3 ст. 6 ФЗ-152. Если сервис располагается за рубежом — дополнительно требуется уведомление РКН о трансграничной передаче. Утечка биометрических данных влечёт штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП.
4. Кто является оператором ПДн в онлайн-школе?
Оператором по ст. 3 ФЗ-152 является лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн. В онлайн-школе это, как правило, юридическое лицо или ИП, оказывающий образовательные услуги, — вне зависимости от того, что техническую обработку осуществляет внешняя платформа. Внешняя платформа при наличии договора-поручения по п. 3 ст. 6 ФЗ-152 является обработчиком. Оператор несёт ответственность за действия обработчика перед субъектами ПДн.
5. Что грозит школе за утечку персональных данных учеников?
Санкции зависят от числа затронутых субъектов. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13; более 100 000 — 10–15 млн ₽ по ч. 14. Параллельно взыскивается штраф за несвоевременное уведомление РКН — 1–3 млн ₽ по ч. 11, если уведомление не направлено в течение 24 часов. При повторной утечке возможен оборотный штраф по ч. 15 — до 500 млн ₽.
Итог
Аудит школы на соответствие ФЗ-152 — это последовательная проверка шести направлений: уведомление в реестре РКН, правовые основания обработки и корректность согласий, организационно-распорядительная документация, внешние сервисы и трансграничная передача, технические меры защиты, процедуры реагирования. Специфика образовательного сектора — данные несовершеннолетних, прокторинг, электронные журналы — добавляет требования ст. 10 и ст. 11 ФЗ-152 к стандартному чек-листу оператора.
Практика DATUM включает сопровождение образовательных организаций — от государственных школ до частных онлайн-платформ. Юристы проводят аудит, формируют пакет ОРД с учётом специфики несовершеннолетних субъектов и представляют интересы при проверках Роскомнадзора.
18 февраля 2027 года