аналитика 9 июля 2029 По состоянию на 9 июля 2029

Аудит вуза на 152-ФЗ

Образовательная организация обрабатывает персональные данные студентов, абитуриентов, преподавателей и несовершеннолетних — и по каждой из этих категорий у неё отдельные обязанности по ФЗ-152.

С 30.05.2025 за утечку от 1 000 до 10 000 субъектов вуз как оператор платит 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Повторная утечка запускает оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

→ Если вы юрист вуза и не уверены, что все согласия, политики и технические меры соответствуют актуальным требованиям, — аудит 152-ФЗ покажет реальную картину до проверки РКН.

Роскомнадзор в 2024 году зафиксировал более 135 случаев компрометации баз данных операторов с совокупным объёмом свыше 710 млн записей. Образовательный сектор присутствует в этой статистике: РЭШ, дистанционные платформы, системы прокторинга. Реформа ст. 13.11 КоАП (ФЗ-420 от 30.11.2024) кратно увеличила финансовые последствия для вузов — до этого максимальный штраф по одному протоколу не превышал 75 тыс. ₽. Сегодня только за неуведомление РКН об утечке назначают 1–3 млн ₽ по ч. 11. В этой статье — как устроен аудит соответствия 152-ФЗ для образовательной организации, какие нарушения обнаруживаются чаще всего и какие документы нужно подготовить до прихода инспектора.

Что проверяет РКН в образовательной организации?

Роскомнадзор при плановой проверке вуза оценивает три блока: организационно-распорядительную документацию, правовые основания обработки персональных данных и технические меры защиты. Юрист вуза обязан обеспечить доступ к каждому из этих блоков в день проверки.

По ст. 22 ФЗ-152 образовательная организация должна состоять в реестре операторов персональных данных на pd.rkn.gov.ru. Если уведомление подавалось несколько лет назад, а с тех пор появились новые информационные системы — реестровая запись устарела. Это фиксируется как нарушение по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).

Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 обязательно публикуется в свободном доступе — как правило, на сайте вуза. В ней указываются цели обработки, категории субъектов, сроки хранения, порядок уничтожения данных и реквизиты ответственного. Отсутствие публикации или формальный документ без обязательных разделов — состав ч. 3 ст. 13.11 КоАП (30–60 тыс. ₽).

«Ст. 22.1 ФЗ-152 обязывает каждого оператора-юридическое лицо назначить лицо, ответственное за организацию обработки персональных данных. Назначение оформляется приказом; квалификационные требования к этому лицу установлены ч. 4 той же статьи.»

Ответственный за обработку — не просто строчка в приказе. Проверяющие смотрят, проходил ли он обучение, есть ли журнал регистрации обращений субъектов и фиксировались ли ответы на запросы в установленный срок (10 рабочих дней по ст. 20 ФЗ-152).

Как согласия на обработку ПДн работают в вузе после 01.09.2025?

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — не включается в текст договора, устава, заявления о приёме или иного документа (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Для вуза это означает пересмотр всего пакета согласий: студентов, абитуриентов, слушателей дополнительного образования и сотрудников.

Отдельная категория — несовершеннолетние. По ст. 9 ч. 6 ФЗ-152 согласие на обработку персональных данных лица, не достигшего 18 лет, даёт его законный представитель. Это касается подготовительных курсов, летних школ, олимпиад и программ для старшеклассников. Если согласие подписал сам школьник — оно юридически ничтожно.

«Ст. 9 ч. 6 ФЗ-152: согласие на обработку персональных данных несовершеннолетнего дают его законные представители. Документ должен содержать обязательные реквизиты: наименование оператора, цель, перечень ПДн, перечень действий, срок и способ отзыва.»

Прокторинг — отдельный правовой узел. Системы дистанционного контроля при сдаче экзаменов собирают изображение лица и, в ряде случаев, запись голоса. По ст. 11 ФЗ-152 это биометрические персональные данные. Обработка биометрии допустима только с отдельного письменного согласия субъекта. Отсутствие такого согласия — нарушение ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽). Если нарушение повторное — ч. 2.1 (1–1,5 млн ₽).

Сервисы типа Google Classroom, Microsoft Teams, Дневник.ру — ещё один источник риска. Если провайдер расположен за рубежом или обрабатывает данные на серверах вне России, возникает вопрос о трансграничной передаче (ст. 12 ФЗ-152) и локализации (ч. 5 ст. 18 ФЗ-152). Запись, систематизация, накопление и хранение персональных данных граждан РФ обязаны происходить в базах, расположенных на территории России. Использование зарубежных LMS без анализа потоков данных — типовое нарушение по ч. 8 ст. 13.11 КоАП (1–6 млн ₽).

Юрист вуза: как оценить риски до проверки РКН?

Плановая проверка Роскомнадзора охватывает не менее 38 позиций комплаенс-чек-листа. Большинство нарушений, выявляемых у образовательных организаций, устранимы за 4–6 недель — если начать до прихода инспектора. Аудит DATUM покажет, какие из них создают риск штрафа прямо сейчас.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что входит в аудит 152-ФЗ для образовательной организации?

Аудит соответствия для вуза состоит из четырёх последовательных этапов. Каждый закрывает отдельный блок требований ФЗ-152 и смежных актов.

Этап 1. Инвентаризация информационных систем. Юрист и технический специалист совместно выявляют все системы, где хранятся персональные данные: деканатская система, LMS, системы контроля доступа (СКУД), бухгалтерия, прокторинговые платформы, сайт с личным кабинетом. По каждой определяется категория ПДн, число субъектов и уровень защищённости по ПП РФ №1119. Вузы с медицинскими факультетами нередко обрабатывают специальные категории (ст. 10 ФЗ-152 — данные о здоровье), что повышает уровень требований до УЗ-3 или УЗ-2.

Этап 2. Проверка ОРД. Оценивается наличие и содержание обязательных документов: политика обработки ПДн, приказ о назначении ответственного, регламент реагирования на инциденты, журналы учёта обращений, согласия по категориям субъектов. Отдельно проверяются договоры с подрядчиками — системными интеграторами, провайдерами LMS, облачными сервисами. По ст. 6 ФЗ-152 оператор вправе передать обработку по поручению только при наличии письменного соглашения с указанием перечня действий и мер защиты.

Этап 3. Анализ трансграничных потоков и локализации. Проверяется, куда реально уходят данные при использовании сторонних сервисов. ЕГЭ-платформы, сервисы видеоконференций, почтовые системы — каждый создаёт поток. Для стран без адекватной защиты требуется уведомление РКН до начала передачи (ст. 12 ФЗ-152). Первичный сбор данных граждан РФ должен происходить в российских базах.

Этап 4. Технический осмотр (по Приказу ФСТЭК №21). Оценивается реализация мер из базового набора для установленного уровня защищённости: идентификация и аутентификация (ИАФ), управление доступом (УПД), защита носителей информации (ЗНИ), регистрация событий (РСБ), антивирусная защита (АВЗ). По итогам каждого этапа формируется перечень нарушений с классификацией по степени критичности и ссылками на нормы.

Что подготовить к аудиту или проверке РКН

Актуальная выписка из реестра операторов ПДн с pd.rkn.gov.ru — проверьте, соответствует ли перечень систем реальной обработке
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте вуза
Отдельные согласия по каждой категории субъектов: студенты, абитуриенты, несовершеннолетние (с подписью законного представителя), сотрудники — в редакции с 01.09.2025
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с документальным подтверждением его квалификации
Договоры поручения с подрядчиками (LMS, прокторинг, облачные сервисы) с перечнем допустимых действий и требованиями к защите

Какие нарушения выявляются в вузах чаще всего?

По итогам проверок образовательных организаций и на основании публичных дел о штрафах по ст. 13.11 КоАП формируется устойчивый перечень типовых нарушений. Юристу вуза полезно знать, с каким составом чаще всего приходит инспектор.

Отсутствие или устаревшее уведомление в реестре РКН. Вуз регистрировался 5–7 лет назад, но за это время добавились LMS, прокторинг, СКУД и мобильное приложение. Реестровая запись не обновлялась. Состав — ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽).

Согласия, встроенные в заявление о приёме. Традиционная практика — в форме заявления абитуриента одним пунктом «даю согласие на обработку ПДн». С 01.09.2025 такой документ не соответствует требованию об отдельном согласии по ст. 9 ФЗ-152. Состав — ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽).

Прокторинг без согласия на биометрию. Вуз использует прокторинговую систему с распознаванием лица, но согласие на обработку биометрических ПДн отдельно не берётся или обёрнуто в общее пользовательское соглашение. Состав — ч. 16 ст. 13.11 КоАП.

Данные несовершеннолетних без согласия представителей. Олимпиады, подготовительные курсы, программы для школьников — вуз собирает ПДн участников (ФИО, класс, школа, электронная почта), но согласие подписывают сами дети. Ст. 9 ч. 6 ФЗ-152 нарушена.

Отсутствие договора поручения с облачным провайдером. Вуз хранит данные студентов в облачном сервисе без письменного соглашения, определяющего перечень действий и меры защиты. По ст. 6 ФЗ-152 оператор несёт ответственность за действия обработчика. Принцип ответственности за подрядчика прослеживается в устойчивой судебной практике.

Как выглядят реальные последствия нарушений для образовательных организаций?

Кейс 1. Федеральная онлайн-платформа для школьников (Центральный ФО, начало 2026 г.) допустила утечку данных более 100 000 субъектов. Дело рассматривалось по ч. 14 ст. 13.11 КоАП (штраф для юрлиц 10–15 млн ₽). Суд учёл организационно-правовую форму и применил правила расчёта по ст. 4.1.2 КоАП — итоговая сумма составила 400 000 ₽. Этот кейс показывает: даже при смягчении сумма существенно выше прежних максимумов, а статус микропредприятия в образовательном секторе не всегда применим к вузу.

Кейс 2. Региональный вуз (Сибирский ФО, осень 2025 г.) получил предписание РКН по итогам плановой проверки: выявлено четыре нарушения одновременно — устаревшее уведомление, согласия в заявлениях о приёме, отсутствие договора поручения с LMS-провайдером, политика без обязательных разделов. Каждое — отдельный протокол. Суммарный штраф по четырём составам составил несколько сотен тысяч рублей. После консультации с юристами вуз обжаловал три из четырёх протоколов: два были прекращены по истечению срока давности, по одному суд снизил штраф, опираясь на ст. 4.1.1 КоАП (первичность и отсутствие вреда). Четвёртый протокол устоял.

Если в вузе уже есть предписание РКН или идёт проверка — промедление увеличивает сумму каждого последующего протокола. Юристы DATUM оценят позицию и подготовят возражения на протокол по ст. 13.11 КоАП в течение 48 часов.

Защитить от штрафа 13.11

Три сценария, с которыми вуз приходит к юристу

Сценарий 1. Плановая проверка РКН объявлена. Ситуация: вуз получил уведомление о предстоящей проверке за 10 рабочих дней. Доказательства: уведомление от РКН, текущий реестр документов. Вероятный исход без подготовки — 3–6 протоколов по типовым нарушениям, суммарный штраф от нескольких сотен тысяч до нескольких миллионов рублей. Стратегия: провести экспресс-аудит за 5–7 рабочих дней, устранить критичные нарушения, подготовить ответ на запросы инспектора, назначить ответственного за сопровождение.

Сценарий 2. Жалоба субъекта в РКН на обработку данных. Ситуация: бывший студент или абитуриент направил в РКН жалобу на то, что его ПДн обрабатываются без основания (отчислен, договор расторгнут). Доказательства: переписка с субъектом, журнал обращений (или его отсутствие), документы о сроках хранения. Исход без реакции: внеплановая проверка и протокол по ч. 5 ст. 13.11 КоАП (50–90 тыс. ₽) или ч. 4 (40–80 тыс. ₽). Стратегия: в течение 10 рабочих дней по ст. 20 ФЗ-152 дать ответ субъекту, зафиксировать уничтожение данных по истечении срока хранения, направить в РКН подтверждение исполнения.

Сценарий 3. Утечка данных студентов через взломанную LMS. Ситуация: ИТ-служба обнаружила несанкционированный доступ к базе LMS с данными студентов — ФИО, электронные адреса, результаты успеваемости. Затронуто около 5 000 субъектов. Доказательства: логи доступа, уведомление от провайдера LMS. Исход без уведомления: ч. 11 ст. 13.11 КоАП (1–3 млн ₽) за неуведомление РКН, ч. 12 (3–5 млн ₽) за саму утечку. Стратегия: первичное уведомление РКН не позднее 24 часов с момента обнаружения по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187; через 72 часа — отчёт о результатах внутреннего расследования. Уведомление, поданное в срок, снижает риск применения максимальной санкции.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38-пунктному чек-листу, отчёт с приоритизированным планом
Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования, журналы
DPO-аутсорсинг — функция ответственного за обработку ПДн по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн?

По ст. 9 ч. 6 ФЗ-152 согласие на обработку персональных данных несовершеннолетнего до 18 лет подписывает его законный представитель — родитель или опекун. Это правило действует для любых программ вуза с участием школьников: олимпиады, подготовительные курсы, летние школы, профориентационные мероприятия. Согласие, подписанное самим ребёнком, юридически ничтожно и создаёт состав по ч. 2 ст. 13.11 КоАП (300–700 тыс. ₽). Отдельное согласие оформляется с 01.09.2025 по требованию ФЗ-156.

2. Можно ли использовать Google Classroom в образовательном процессе?

Использование возможно, но требует правового анализа потоков данных. Если сервис обрабатывает ПДн граждан РФ на серверах за рубежом, возникает риск нарушения ч. 5 ст. 18 ФЗ-152 о локализации и ст. 12 о трансграничной передаче. Перед подключением нужно: установить, где фактически хранятся данные, при необходимости подать уведомление в РКН о трансграничной передаче, убедиться в наличии договора поручения с провайдером по ст. 6 ФЗ-152. Нарушение локализации — ч. 8 ст. 13.11 КоАП (1–6 млн ₽).

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинговые системы, использующие видеозапись лица и распознавание, собирают биометрические персональные данные по смыслу ст. 11 ФЗ-152. Обработка биометрии допустима только при наличии отдельного письменного согласия субъекта с явным указанием цели (идентификация при сдаче экзамена), перечня действий и срока. Встраивать это согласие в пользовательское соглашение LMS или условия участия в экзамене после 01.09.2025 нельзя — требуется самостоятельный документ. Отсутствие надлежащего согласия — нарушение ч. 16 ст. 13.11 КоАП.

4. Кто является оператором ПДн в онлайн-школе или при использовании внешней LMS?

Оператором по ст. 3 ФЗ-152 является организация, определяющая цели и содержание обработки персональных данных, — в данном случае вуз или онлайн-школа. Провайдер LMS, обрабатывающий данные по заданию вуза, является лицом, осуществляющим обработку по поручению (ст. 6 ФЗ-152). Ответственность перед субъектами и РКН несёт оператор. Именно поэтому договор поручения с LMS-провайдером обязателен: он определяет перечень допустимых действий и меры защиты, которые провайдер обязан соблюдать.

5. Что грозит школе или вузу за утечку персональных данных студентов?

Ответственность зависит от числа субъектов, данные которых скомпрометированы. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП (3–5 млн ₽); от 10 000 до 100 000 — ч. 13 (5–10 млн ₽); свыше 100 000 — ч. 14 (10–15 млн ₽). Дополнительно: неуведомление РКН об утечке в течение 24 часов — ч. 11 (1–3 млн ₽). При повторном нарушении применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Физическое лицо, виновное в незаконных действиях с данными, может быть привлечено к уголовной ответственности по ст. 272.1 УК РФ (действует с 11.12.2024).

Итог

Аудит соответствия 152-ФЗ для образовательной организации — это инвентаризация четырёх блоков: уведомление в РКН, пакет ОРД, правовые основания обработки по каждой категории субъектов и технические меры защиты. Большинство нарушений, выявляемых у вузов, типовые и устранимые — если взяться за них до прихода инспектора. После 30.05.2025 цена промедления исчисляется миллионами рублей.

Практика DATUM сопровождает образовательные организации на всех стадиях: от первичного аудита и разработки ОРД до представления интересов при проверке РКН и обжалования протоколов по ст. 13.11 КоАП в суде.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине и образовании: МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна, прокторинг, обработка ПДн несовершеннолетних.

9 июля 2029 года