аналитика 13 января 2029 По состоянию на 13 января 2029

Чек-лист для онлайн-школы

Онлайн-школа — оператор персональных данных с расширенными обязанностями: она обрабатывает данные несовершеннолетних, специальные категории и биометрию при прокторинге.

С 30.05.2025 штраф за утечку от 1 000 субъектов — от 3 до 15 млн рублей по ч. 12–14 ст. 13.11 КоАП. Повторная утечка влечёт оборотный штраф до 500 млн рублей по ч. 15 той же статьи.

→ Если вы юрист и проверяете комплаенс онлайн-школы — этот чек-лист закрывает все ключевые узлы за один проход.

Образовательные организации в цифровом формате работают с тремя группами субъектов одновременно: учащимися (в том числе несовершеннолетними), их родителями и педагогами. Каждая группа требует отдельного правового основания для обработки данных. Норма ч. 6 ст. 9 ФЗ-152 устанавливает запрет на обязательное условие согласия, а редакция с 01.09.2025 (ФЗ-156) требует оформлять согласие отдельным документом, не объединяя его с договором на оказание услуг. Ниже — структурированный чек-лист с привязкой к нормам и типовым ошибкам.

Каков правовой статус онлайн-школы как оператора ПДн?

Онлайн-школа самостоятельно определяет цели и способы обработки персональных данных, поэтому подпадает под определение оператора по ст. 3 ФЗ-152. Это означает полный объём обязанностей: уведомление Роскомнадзора до начала обработки, назначение ответственного по ст. 22.1, разработка политики по ст. 18.1, соблюдение требований локализации по ч. 5 ст. 18 ФЗ-152.

Если школа привлекает внешнюю платформу (LMS, CRM, сервис рассылок), она выступает оператором, а платформа — лицом, осуществляющим обработку по поручению в смысле п. 3 ст. 6 ФЗ-152. Поручение оформляется отдельным соглашением с перечнем допустимых действий, сроком и требованием конфиденциальности. Отсутствие такого соглашения — самостоятельное нарушение.

«Ст. 22 ФЗ-152: оператор обязан уведомить РКН о намерении обрабатывать персональные данные до начала обработки. Нарушение — штраф 100 000–300 000 рублей по ч. 10 ст. 13.11 КоАП (в ред. с 30.05.2025).»

Регистрация в реестре операторов РКН занимает до 30 дней с момента уведомления. Форма подачи — Приказ РКН №180 от 28.10.2022, сервис pd.rkn.gov.ru. Актуальность сведений в реестре нужно поддерживать: изменение перечня обрабатываемых данных или целей требует подачи уведомления об изменении.

Юрист проверяет комплаенс школы и не уверен в полноте пакета документов?

Разрыв между тем, что прописано в политике, и тем, что реально обрабатывается, — самое частое основание для протокола РКН. Аудит DATUM по чек-листу из 38 пунктов покажет конкретные пробелы и даст приоритизированный план устранения. Срок включения в реестр после уведомления — 30 дней, которые лучше использовать для одновременной правки документов.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие согласия нужны онлайн-школе и как их правильно оформить?

После 01.09.2025 согласие на обработку персональных данных — отдельный документ, не включаемый в договор оферты, правила использования платформы или политику конфиденциальности (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Обязательные реквизиты: наименование оператора, ФИО и контакты субъекта, цель обработки, перечень персональных данных, перечень допустимых действий, срок действия, способ отзыва.

Для несовершеннолетних до 14 лет согласие даёт законный представитель — родитель или опекун. Это правило вытекает из ст. 9 ФЗ-152 и общей нормы дееспособности ГК РФ. От 14 до 18 лет субъект вправе дать согласие самостоятельно, если иное не установлено федеральным законом. Онлайн-школе необходимо разграничить формы согласий по возрасту и хранить подтверждение личности законного представителя.

«Ст. 9 ч. 6 ФЗ-152: в случаях и в порядке, которые предусмотрены федеральными законами, обработка персональных данных осуществляется без согласия субъекта. Остальные случаи требуют явного отдельного согласия в редакции с 01.09.2025.»

Прокторинг — дистанционный контроль на экзаменах — использует видеозапись лица, голоса и, в ряде систем, биометрическую идентификацию. Биометрические персональные данные по ст. 11 ФЗ-152 обрабатываются только на основании письменного согласия. Если школа использует прокторинговый сервис с функцией распознавания лица, согласие на обработку биометрии оформляется отдельно от общего согласия на обработку персональных данных. Нарушение — штраф по ч. 16 ст. 13.11 КоАП.

Что включить в организационно-распорядительную документацию онлайн-школы?

Минимальный пакет ОРД для образовательной организации охватывает следующие документы. Во-первых, политику обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 — публичный документ с обязательными разделами: цели, правовые основания, категории субъектов, меры защиты, права субъектов, порядок обращения. Отсутствие опубликованной политики — штраф 30 000–60 000 рублей по ч. 3 ст. 13.11 КоАП. Во-вторых, приказ о назначении ответственного за организацию обработки персональных данных по ст. 22.1 ФЗ-152. В-третьих, регламент реагирования на инциденты с персональными данными с учётом сроков 24 и 72 часов по ч. 3.1 ст. 21 ФЗ-152 и Приказу РКН №187.

Помимо обязательных документов, в пакет включают: перечень информационных систем персональных данных (ИСПДн) с указанием уровней защищённости по ПП РФ №1119, соглашения о поручении обработки с каждым подрядчиком, журнал учёта обращений субъектов, инструктаж сотрудников по работе с персональными данными. Для школ, использующих дневниковые платформы (типа Дневник.ру) или интеграцию с ЕГЭ-системами, отдельно проверяется наличие правового основания для передачи данных этим системам.

Что подготовить юристу онлайн-школы

Выписка из реестра операторов РКН (pd.rkn.gov.ru) — актуальность сведений о целях и категориях данных
Комплект согласий в редакции с 01.09.2025: отдельные документы для учащихся, родителей несовершеннолетних, педагогов
Согласие на обработку биометрических данных (при использовании прокторинга с распознаванием лица) — письменная форма по ст. 11 ФЗ-152
Соглашения о поручении обработки с LMS-платформой, CRM, сервисом email-рассылок и прокторинговой системой
Политика обработки персональных данных, опубликованная на сайте с разделами по ч. 2 ст. 18.1 ФЗ-152

Как определить уровень защищённости ИСПДн онлайн-школы?

Уровень защищённости информационной системы персональных данных определяется по матрице ПП РФ №1119 от 01.11.2012. Для онлайн-школы ключевые параметры: категория персональных данных (общие или специальные — например, данные о состоянии здоровья при инклюзивном обучении), тип угроз (1–3) и количество субъектов (порог 100 000). Большинство онлайн-школ с числом учащихся до 100 000 и общими персональными данными попадают в УЗ-4 — базовый уровень защищённости.

Если школа хранит медицинские сведения об учащихся (например, диагноз при инклюзивной программе) — данные становятся специальной категорией по ст. 10 ФЗ-152, и уровень защищённости повышается минимум до УЗ-3. Это влечёт расширенный набор организационных и технических мер по Приказу ФСТЭК №21: управление доступом, протоколирование, антивирусная защита, анализ уязвимостей, обеспечение целостности.

Школы, которые используют Google Classroom, Microsoft Teams или другие зарубежные платформы для хранения и обработки персональных данных российских учащихся, нарушают требование локализации по ч. 5 ст. 18 ФЗ-152: первичные запись, систематизация, накопление, хранение, уточнение и извлечение данных граждан РФ обязаны осуществляться в базах данных, расположенных в России. Штраф за нарушение — 1 000 000–6 000 000 рублей по ч. 8 ст. 13.11 КоАП.

Если юрист обнаружил, что школа использует зарубежную платформу для хранения данных учащихся — это нарушение ч. 5 ст. 18 ФЗ-152 с штрафом 1–6 млн рублей. Устранить до проверки РКН проще, чем оспаривать постановление в суде.

Собрать ОРД под ключ

Как это выглядит на практике: типовые сценарии нарушений

Сценарий 1. Прокторинг без надлежащего согласия. Онлайн-школа (Сибирский ФО, начало 2026) подключила прокторинговый сервис с функцией верификации личности по фотографии. Согласие на обработку биометрических данных было включено в общее пользовательское соглашение, а не оформлено отдельным письменным документом. При внеплановой проверке РКН зафиксировал нарушение ст. 11 ФЗ-152. Школа получила предписание об устранении и предупреждение; повторное нарушение влечёт штраф по ч. 16 ст. 13.11 КоАП. Стратегия: до подключения прокторинга — отдельная форма письменного согласия с обязательными реквизитами ст. 9 ФЗ-152, хранение подписанных экземпляров не менее срока действия договора.

Сценарий 2. Утечка базы учащихся через подрядчика. Крупная онлайн-школа (Центральный ФО, осень 2025) передала базу из нескольких тысяч учащихся LMS-платформе без соглашения о поручении обработки. После инцидента у подрядчика данные оказались в открытом доступе. РКН возбудил дело по ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов — штраф для юрлица 3 000 000–5 000 000 рублей). Оператор не смог подтвердить ни надлежащее поручение, ни соблюдение срока уведомления 24 часа по ч. 3.1 ст. 21 ФЗ-152. Стратегия: перечень обработчиков-подрядчиков с актуальными соглашениями ведётся как живой документ; регламент реагирования отрабатывается на учениях ежеквартально.

Сценарий 3. Интеграция с ЕГЭ-системой без правового основания. Школа подключила API государственной информационной системы для передачи данных выпускников. Правовое основание в уведомлении РКН указано не было, соглашение о поручении отсутствовало. Проверка выявила расхождение между задекларированным и фактическим перечнем получателей данных. Инспекция вынесла предписание с требованием привести уведомление в соответствие в течение 30 дней. Стратегия: при каждой новой интеграции — обновление уведомления РКН и проверка наличия правового основания по ст. 6 ФЗ-152.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с планом устранения
Комплект ОРД под ключ — политика, согласия, приказы, соглашения с подрядчиками
DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя (родителя или опекуна) обязательно при обработке персональных данных учащегося, не достигшего 14 лет. Основание — ст. 9 ФЗ-152 в совокупности с нормами ГК РФ о дееспособности. После 01.09.2025 такое согласие оформляется отдельным документом по ФЗ-156, не включается в договор оказания образовательных услуг. Школе следует предусмотреть форму с подписью именно родителя или опекуна и хранить её на протяжении всего периода обработки плюс три года.

2. Можно ли использовать Google Classroom?

Использование Google Classroom для первичного сбора, хранения и обработки персональных данных учащихся — граждан РФ нарушает требование локализации по ч. 5 ст. 18 ФЗ-152: база данных должна находиться на серверах в России. Штраф по ч. 8 ст. 13.11 КоАП составляет 1 000 000–6 000 000 рублей. Допустимая схема — первичная запись в российской системе, трансграничная передача в Google только для дополнительной обработки при соблюдении требований ст. 12 ФЗ-152 и уведомлении РКН.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг в части видеозаписи лица и голоса учащегося для идентификации личности квалифицируется как обработка биометрических персональных данных по ст. 11 ФЗ-152. Это требует отдельного письменного согласия субъекта (или его законного представителя для несовершеннолетних до 14 лет). Если прокторинговая система передаёт биометрические данные за рубеж, дополнительно применяются требования ст. 12 ФЗ-152 о трансграничной передаче. Нарушение порядка обработки биометрии влечёт штраф по ч. 16 ст. 13.11 КоАП.

4. Кто является оператором в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является юридическое лицо (или ИП), которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных, определяя её цели и состав. В онлайн-школе это, как правило, само юридическое лицо — правообладатель образовательной программы. Внешняя LMS-платформа или CRM выступают обработчиками по поручению при наличии соответствующего соглашения. Без соглашения платформа фактически является самостоятельным оператором, что создаёт риск для обоих участников.

5. Что грозит школе за утечку персональных данных учащихся?

Размер штрафа зависит от числа затронутых субъектов. По ч. 12 ст. 13.11 КоАП (редакция с 30.05.2025): утечка от 1 000 до 10 000 субъектов — 3 000 000–5 000 000 рублей; от 10 000 до 100 000 субъектов (ч. 13) — 5 000 000–10 000 000 рублей; более 100 000 субъектов (ч. 14) — 10 000 000–15 000 000 рублей. Дополнительно за неуведомление РКН в течение 24 часов — штраф 1 000 000–3 000 000 рублей по ч. 11 ст. 13.11. При повторной утечке применяется оборотный штраф до 500 000 000 рублей по ч. 15.

Итог

Онлайн-школа работает с тремя группами субъектов, двумя правовыми режимами согласий (общий и биометрический) и как минимум одним обработчиком-подрядчиком. Каждый из этих узлов — самостоятельное основание для протокола РКН при несоответствии нормам ФЗ-152. С 30.05.2025 финансовый риск вырос принципиально: минимальный штраф за утечку от 1 000 субъектов — 3 млн рублей.

DATUM сопровождает образовательные организации в части 152-ФЗ: от первичного аудита и сборки пакета ОРД до представления интересов при проверках РКН и защиты в арбитраже по ст. 13.11 КоАП. Практика охватывает как крупные платформы дополнительного образования, так и небольшие авторские онлайн-школы.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ) и образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.