Перейти к содержанию
аналитика 11 августа 2028 года По состоянию на 11 августа 2028 года

Чек-лист для вуза

Вуз — оператор персональных данных трёх категорий субъектов одновременно: студентов, сотрудников и абитуриентов. Каждая категория требует отдельного правового основания обработки по ст. 6 ФЗ-152.
С 01.09.2025 согласие на обработку персональных данных — отдельный документ (ФЗ-156 от 24.06.2025). Несовершеннолетние абитуриенты и студенты первого курса требуют согласия родителей. Прокторинг при онлайн-экзаменации содержит биометрическую составляющую и создаёт отдельные риски по ст. 11 ФЗ-152.
→ Если вы юрист вуза или ответственный за обработку ПДн — этот чек-лист покрывает 12 обязательных позиций, нарушение каждой из которых влечёт отдельный протокол по ст. 13.11 КоАП.

Роскомнадзор в 2024–2025 годах последовательно усиливал надзор за образовательными организациями: вузы попали в периметр как операторы, обрабатывающие персональные данные несовершеннолетних и специальные категории. При этом большинство университетов используют платформы с зарубежным компонентом — Google Classroom, Moodle на западном хостинге, сервисы онлайн-прокторинга — не задумываясь о трансграничной передаче и локализации. Ниже — структурированный чек-лист с привязкой к нормам и типичными ошибками.

Какие нормы регулируют обработку персональных данных в вузе?

Вуз работает в двойном регуляторном поле. С одной стороны — ФЗ-152 «О персональных данных» как базовый закон для всех операторов. С другой — профильное законодательство об образовании, которое задаёт собственные обязанности по защите информации о студентах и сотрудниках.

Ст. 5 ФЗ-152 устанавливает принцип совместимости целей: нельзя объединять базу абитуриентов с базой маркетинговых рассылок. Это типовая ошибка приёмных комиссий. Данные, собранные для подачи документов, не могут автоматически использоваться для новостных рассылок о мероприятиях вуза — нужно отдельное правовое основание.

Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 требует, чтобы с 01.09.2025 согласие оформлялось отдельным документом: его нельзя встраивать в текст договора об оказании образовательных услуг, положение о зачислении или любой другой документ. Для несовершеннолетних — до 14 лет согласие даёт только родитель или законный представитель, от 14 до 18 лет — сам субъект, но с информированием родителей. Этот блок регулируется ст. 9 ч. 6 ФЗ-152.

«Ст. 9 ч. 6 ФЗ-152 — в случае недееспособности субъекта или если субъект не достиг совершеннолетия, согласие на обработку его персональных данных даёт законный представитель. С 01.09.2025 такое согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025).»

Специальные категории персональных данных по ст. 10 ФЗ-152 — состояние здоровья, национальная принадлежность — вуз обрабатывает регулярно: справки об инвалидности для льгот, медицинские документы для общежития, анкеты социальной поддержки. Обработка спецкатегорий без явного основания из ч. 2 ст. 10 ФЗ-152 — отдельный состав нарушения.

Ваши шаблоны согласий до сих пор встроены в договоры?

Если юрист вуза не переработал пакет согласий после 01.09.2025, каждый договор об образовательных услугах, подписанный с этой даты, создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽ за юридическое лицо. Для вузов с тысячами первокурсников масштаб нарушения накапливается быстро. Юристы DATUM соберут пакет согласий под требования ФЗ-156 и проведут аудит ОРД образовательной организации.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Что входит в обязательный пакет ОРД для образовательной организации?

Организационно-распорядительная документация — это первое, что проверяет инспектор РКН при плановой или внеплановой проверке. Отсутствие любого документа из обязательного перечня — самостоятельный повод для протокола по ч. 3 ст. 13.11 КоАП (отсутствие политики) или ч. 1 ст. 13.11 (обработка без правового основания).

Ст. 18.1 ФЗ-152 обязывает оператора принять локальные акты по защите персональных данных и ознакомить с ними работников. Ст. 22.1 ФЗ-152 — назначить ответственного за организацию обработки ПДн с соответствующим приказом.

Обязательный пакет ОРД для вуза — 12 позиций

  • Уведомление в реестре операторов РКН (pd.rkn.gov.ru) — актуальная версия с перечнем всех обрабатываемых категорий ПДн по ст. 22 ФЗ-152
  • Политика обработки персональных данных с разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте вуза
  • Приказ о назначении ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152) с должностной инструкцией
  • Отдельные согласия субъектов по новым требованиям ФЗ-156: для студентов, абитуриентов, сотрудников, родителей несовершеннолетних
  • Регламент работы с обращениями субъектов ПДн — сроки и форма ответа по ст. 20 ФЗ-152 (10 рабочих дней)
  • Регламент реагирования на инциденты — порядок уведомления РКН за 24/72 часа по Приказу РКН №187
  • Договоры-поручения с третьими лицами, обрабатывающими ПДн по поручению вуза (п. 3 ч. 3 ст. 6 ФЗ-152): облачные провайдеры, прокторинговые сервисы, платёжные системы
  • Оценка уровня защищённости ИСПДн по ПП РФ №1119 (УЗ-1...УЗ-4) с актом классификации
  • Журнал учёта носителей персональных данных и журнал обращений субъектов
  • Перечень информационных систем, обрабатывающих ПДн (включая Дневник.ру, LMS, системы ЕГЭ)
  • Положение о порядке хранения и уничтожения ПДн с привязкой к срокам хранения
  • Инструктаж сотрудников, допущенных к обработке ПДн, с листами ознакомления

Как прокторинг и онлайн-платформы создают риски по ст. 11 и ст. 12 ФЗ-152?

Прокторинг при онлайн-экзаменации — это запись изображения лица студента через веб-камеру в сочетании с анализом поведения. Позиция Роскомнадзора: изображение лица, используемое для идентификации конкретного человека, — биометрические персональные данные по ст. 11 ФЗ-152. Обработка биометрии требует отдельного письменного согласия субъекта.

Для несовершеннолетних студентов до 18 лет письменное согласие на обработку биометрии даёт законный представитель. На практике вузы получают общее согласие с прокторинговой платформой без выделения биометрической составляющей — это нарушение ч. 1 ст. 11 ФЗ-152.

Второй риск — трансграничная передача. Google Classroom, Zoom, часть прокторинговых сервисов обрабатывают данные на серверах за пределами РФ. Ст. 12 ФЗ-152 требует уведомить РКН до начала трансграничной передачи в страну без адекватной защиты. Само по себе использование Google Classroom — не запрещено, но требует анализа: какие данные передаются, в какую страну, есть ли уведомление в реестре РКН и соответствующий раздел в политике ПДн.

Ст. 18 ч. 5 ФЗ-152 обязывает хранить, систематизировать и извлекать персональные данные граждан РФ только в базах данных, расположенных в России. Облачная LMS на европейском сервере — потенциальное нарушение локализации, если вуз туда записывает, накапливает или систематизирует ПДн российских студентов. Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽.

«Ст. 18 ч. 5 ФЗ-152 — при сборе персональных данных граждан РФ оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, расположенных на территории РФ. Нарушение — ч. 8 ст. 13.11 КоАП, штраф для юридического лица 1 000 000 — 6 000 000 ₽.»

Если вуз использует Google Classroom, зарубежный прокторинг или Moodle на иностранном хостинге — у вас, вероятно, нет уведомления о трансграничной передаче и не закрыт вопрос локализации. Штраф по ч. 8 ст. 13.11 — от 1 000 000 ₽, а при повторности по ч. 9 — до 18 000 000 ₽.

Заказать аудит 152-ФЗ

Типовые сценарии нарушений и их последствия для юриста вуза

Сценарий 1. Согласия в договоре об образовательных услугах. Ситуация: приёмная комиссия собирает согласия абитуриентов, встраивая их в текст договора — один подпись закрывает всё. После 01.09.2025 такая практика нарушает ФЗ-156: согласие должно быть отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152 (цель, перечень ПДн, перечень действий, срок, способ отзыва). Доказательства нарушения: протокол РКН при плановой проверке или жалоба субъекта. Вероятный исход — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽. Стратегия: переработать форму согласия до следующего приёма и исключить совмещение документов.

Сценарий 2. Прокторинг без биометрического согласия. Ситуация: вуз подключил прокторинговый сервис для сессионных экзаменов, студенты нажимают «согласен» в интерфейсе платформы — без письменного согласия на биометрическую обработку. Если среди студентов есть несовершеннолетние — нарушение двойное: ст. 11 (биометрия без письменного согласия) и ст. 9 ч. 6 (без согласия законного представителя). Вероятный исход — штраф по ч. 16 ст. 13.11 КоАП (нарушение требований к обработке биометрии). Стратегия: разработать отдельную форму письменного согласия на биометрическую обработку, для несовершеннолетних — форму для родителей.

Сценарий 3. Утечка из базы абитуриентов. Ситуация: в результате атаки на веб-форму подачи документов утекают данные 8 000 абитуриентов (ФИО, паспортные данные, контакты). Это диапазон ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов) или ч. 12 (от 1 000 до 10 000) — в зависимости от финального подсчёта субъектов. Критический срок: у вуза 24 часа с момента обнаружения на первичное уведомление РКН по ч. 3.1 ст. 21 ФЗ-152. Если срок пропущен — дополнительный штраф 1 000 000 — 3 000 000 ₽ по ч. 11 ст. 13.11. Стратегия: заранее утвердить регламент реагирования с чёткой цепочкой уведомлений и шаблонами для РКН по Приказу РКН №187.

Как это работает на практике

Кейс 1. Региональный университет (Приволжский ФО, осень 2025) прошёл плановую проверку РКН. Инспектор зафиксировал три нарушения: согласия студентов встроены в договор об образовательных услугах, на сайте отсутствует раздел с политикой ПДн, в реестре РКН не указан прокторинговый сервис как третье лицо, обрабатывающее ПДн. Юрист вуза не смог предъявить договор-поручение с прокторинговой платформой. По итогам — три отдельных протокола. Штрафы по ч. 2 и ч. 3 ст. 13.11 КоАП составили в совокупности несколько сотен тысяч рублей. Половины из них удалось избежать бы при наличии актуального пакета ОРД.

Кейс 2. Онлайн-школа ДПО (Центральный ФО, начало 2026) получила жалобу от родителя: его несовершеннолетний ребёнок (16 лет) прошёл прокторинговую процедуру без уведомления родителей. РКН возбудил дело по ч. 16 ст. 13.11 КоАП (нарушение требований к обработке биометрических ПДн) и ч. 2 ст. 13.11 (отсутствие надлежащего письменного согласия). Юристы DATUM подключились на стадии подготовки возражений: удалось зафиксировать, что платформа позиционировала запись как «запись экрана», а не как биометрию. Правовая квалификация была оспорена, дело прекращено по процессуальным основаниям. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверим обработку ПДн по 38-пунктовому чек-листу, включая специфику образовательных организаций
  • Комплект ОРД под ключ — соберём полный пакет документов для вуза с учётом ФЗ-156 и требований к согласиям родителей
  • DPO-аутсорсинг — возьмём функцию ответственного по ст. 22.1 ФЗ-152 на абонентское обслуживание

Частые вопросы

1. Когда нужно согласие родителей на обработку персональных данных студента?

По ст. 9 ч. 6 ФЗ-152, если субъект не достиг совершеннолетия (до 18 лет), согласие даёт его законный представитель — родитель или опекун. На практике это означает: для абитуриентов и студентов первого курса в возрасте до 18 лет вуз обязан получить согласие от родителя, оформленное отдельным документом с 01.09.2025. Если студенту исполнилось 14 лет, он вправе подписать согласие самостоятельно, однако правоприменительная практика РКН рекомендует параллельное информирование законного представителя. Для несовершеннолетних, проходящих биометрическую процедуру (прокторинг), — письменное согласие родителя обязательно независимо от возраста субъекта.

2. Можно ли использовать Google Classroom в вузе без нарушения 152-ФЗ?

Использование Google Classroom не запрещено напрямую, но создаёт комплекс обязательств. Во-первых, если через платформу передаются персональные данные студентов — граждан РФ — на серверы Google за рубежом, это трансграничная передача по ст. 12 ФЗ-152. Вуз обязан уведомить РКН о такой передаче до её начала. Во-вторых, запись и хранение ПДн российских студентов должны происходить в базах данных на территории РФ (ч. 5 ст. 18 ФЗ-152). Типовое решение: использовать Google Classroom только как инструмент отображения, а все ПДн хранить в отечественной LMS или облаке с российской локализацией.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг при онлайн-экзаменации предполагает запись изображения лица студента через веб-камеру и идентификацию личности по этой записи. По позиции Роскомнадзора, изображение лица, используемое для установления личности конкретного человека, является биометрическими персональными данными по ст. 11 ФЗ-152. Это означает: обработка прокторинговых данных требует отдельного письменного согласия субъекта на обработку биометрии. Для несовершеннолетних — согласия законного представителя. Кроме того, если прокторинговый сервис расположен за рубежом — возникает вопрос трансграничной передачи биометрии, что требует отдельного анализа и уведомления РКН.

4. Кто является оператором персональных данных в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является лицо, которое организует и осуществляет обработку персональных данных, определяет цели и способы обработки. В онлайн-школе оператором выступает юридическое лицо (ООО, АНО, ИП), которое ведёт образовательную деятельность и собирает данные студентов. Платформы — LMS, платёжные сервисы, прокторинг — действуют как лица, осуществляющие обработку по поручению (п. 3 ч. 3 ст. 6 ФЗ-152). С каждым из них должен быть заключён договор-поручение с перечнем допустимых действий с ПДн. Ответственность перед субъектом и РКН в любом случае несёт оператор, а не платформа.

5. Что грозит вузу или онлайн-школе за утечку персональных данных студентов?

Ответственность зависит от масштаба утечки. При утечке от 1 000 до 10 000 субъектов — штраф 3 000 000 — 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). От 10 000 до 100 000 субъектов — 5 000 000 — 10 000 000 ₽ по ч. 13. При повторной утечке — оборотный штраф по ч. 15 ст. 13.11: от 1 до 3% совокупной годовой выручки, не менее 20 000 000 ₽. Отдельно — штраф за нарушение 24-часового срока уведомления РКН по ч. 11 ст. 13.11: 1 000 000 — 3 000 000 ₽. Если утекли медицинские данные или биометрия — составы по ч. 16 и ч. 17 добавляют ещё 15 000 000 — 20 000 000 ₽.

Итог

Вуз как оператор персональных данных несёт полный объём обязанностей по ФЗ-152 с учётом отраслевой специфики: несовершеннолетние субъекты, биометрия при прокторинге, трансграничные платформы и специальные категории медицинских данных. Изменения 2025 года — требование отдельного согласия по ФЗ-156, ужесточение локализации, 18 частей ст. 13.11 КоАП — делают комплаенс не разовой задачей, а постоянным процессом.

Практика DATUM по образовательным организациям включает аудит пакетов ОРД, разработку согласий для несовершеннолетних, анализ трансграничных платформ и сопровождение проверок РКН в университетах и онлайн-школах.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.