аналитика 11 февраля 2029 года По состоянию на 11 февраля 2029 года

Чек-лист соответствия 152-ФЗ для школы

Образовательная организация обрабатывает персональные данные учеников, родителей и педагогов — и является оператором по ст. 3 ФЗ-152 со всеми вытекающими обязательствами.

За нарушение требований школе грозит штраф до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП; отдельно — за отсутствие согласия родителей на обработку ПДн несовершеннолетних и за утечку из МИС или дневника.ру.

Если вы юрист школы или образовательной организации и проверяете комплаенс — этот чек-лист охватывает 38 обязательных позиций: от уведомления РКН до прокторинга и ЕГЭ.

Роскомнадзор планово проверяет образовательные организации в рамках индикаторов риска: отсутствие в реестре операторов, жалобы субъектов, утечки данных. Для юриста школы чек-лист соответствия 152-ФЗ — это рабочий инструмент подготовки к проверке, а не теоретический обзор. Ниже — системная карта обязательных требований с привязкой к нормам, типичным ошибкам и сценариям проверки.

Какие данные обрабатывает школа и почему это важно для 152-ФЗ?

Образовательная организация работает сразу с несколькими категориями субъектов. Ученики — несовершеннолетние, что означает повышенные требования к правовому основанию обработки. Их родители или законные представители дают согласие на обработку ПДн ребёнка до достижения им 14 лет. Педагоги — работники, к которым применяются ст. 86–88 Трудового кодекса в связке с ФЗ-152.

Школа обрабатывает: ФИО, дату рождения, адрес, СНИЛС, данные о здоровье (медицинские справки, прививочные карты), успеваемость, поведение, сведения о семье. Медицинские данные относятся к специальным категориям по ст. 10 ФЗ-152 — их обработка по общему правилу запрещена без явного письменного согласия или специального основания.

«Ст. 10 ФЗ-152: данные о состоянии здоровья — специальная категория. Обработка без письменного согласия допустима только в случаях, прямо перечисленных в п. 2 ст. 10. Справка от врача в личном деле ученика формально требует отдельного правового основания.»

Фотографии учеников на сайте школы, в группах мессенджеров и на стендах — это биометрические ПДн, если используются для идентификации личности. Публикация таких фото без согласия родителей нарушает ст. 11 ФЗ-152 и ст. 10.1 о распространении. Это один из самых частых поводов для жалоб в РКН от родителей.

Юрист проверяет документы школы и не знает, с чего начать?

Комплаенс по 152-ФЗ для образовательной организации охватывает уведомление РКН, пакет ОРД, согласия родителей в редакции ФЗ-156 от 01.09.2025 и технические меры по Приказу ФСТЭК №21. Аудит по чек-листу из 38 позиций позволяет получить приоритизированный план устранения нарушений до прихода инспектора. Срок аудита — от 5 рабочих дней.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как работает чек-лист соответствия 152-ФЗ для образовательной организации?

Чек-лист структурирован по блокам: организационный, документальный, технический и процедурный. Каждая позиция привязана к конкретной норме и санкции за нарушение. Юрист проставляет статус: выполнено / не выполнено / частично. По итогу — матрица рисков с приоритетами.

Блок 1. Организационные требования

Школа подала уведомление в РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152); сведения в реестре актуальны — штраф за отсутствие уведомления по ч. 10 ст. 13.11 КоАП составляет 100–300 тыс. ₽.
Приказом назначен ответственный за организацию обработки ПДн с указанием квалификационных требований (ст. 22.1 ФЗ-152).
Проведена оценка вреда субъектам — документ подписан руководителем (ст. 18.1 ФЗ-152).
Все работники, имеющие доступ к ПДн, ознакомлены под подпись с требованиями 152-ФЗ и локальными актами (ст. 18.1 ч. 1 п. 6).
Заключены договоры-поручения с подрядчиками, обрабатывающими ПДн от имени школы: платформы дневника, облачные сервисы, кейтеринг, охранные компании (п. 3 ст. 6 ФЗ-152).

Блок 2. Документальный пакет (ОРД)

Политика обработки персональных данных опубликована на сайте школы в открытом доступе (ст. 18.1 ч. 2 ФЗ-152) — отсутствие карается штрафом 30–60 тыс. ₽ по ч. 3 ст. 13.11 КоАП.
Согласия родителей (законных представителей) на обработку ПДн несовершеннолетних оформлены как отдельный документ с 01.09.2025 в соответствии с ФЗ-156 от 24.06.2025 — согласие не встроено в заявление о приёме, договор или оферту.
Для учеников старше 14 лет получено их собственное согласие на обработку ПДн наряду с согласием родителей (ст. 9 ч. 6 ФЗ-152 во взаимосвязи с нормами ГК о дееспособности).
Согласие на распространение ПДн (публикация фото, имени на сайте, стендах) оформлено отдельным документом по ст. 10.1 ФЗ-152 — молчание субъекта не означает согласия на распространение.
Перечень информационных систем ПДн (ИСПДн) составлен и актуализирован: журналы, электронный журнал, системы видеонаблюдения, кадровая система, бухгалтерия.
Регламент реагирования на инциденты утверждён: 24 часа на первичное уведомление РКН, 72 часа на отчёт (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022).
Журнал учёта обращений субъектов ведётся; срок ответа — 10 рабочих дней с момента обращения (ст. 20 ФЗ-152) с возможностью продления ещё на 5 рабочих дней при уведомлении.

Блок 3. Технические меры и локализация

Определён уровень защищённости ИСПДн по ПП РФ №1119 от 01.11.2012: школы с медицинскими данными учеников, как правило, попадают под УЗ-3 или УЗ-2 в зависимости от числа субъектов и типа угроз.
Реализован базовый набор технических мер по Приказу ФСТЭК №21 от 18.02.2013 применительно к установленному УЗ: управление доступом (УПД), антивирусная защита (АВЗ), регистрация событий (РСБ), защита носителей (ЗНИ).
ПДн учеников, хранящиеся в электронном журнале, базах данных и облачных сервисах, локализованы на серверах в РФ (ч. 5 ст. 18 ФЗ-152) — использование Google Classroom, Microsoft 365 или иностранных LMS без локализации данных нарушает требование.
Видеозаписи с камер видеонаблюдения, содержащие биометрические ПДн, хранятся не дольше срока, установленного в политике, и уничтожаются по регламенту.

Что проверяет РКН в школе при плановой проверке?

Роскомнадзор в ходе плановой или внеплановой проверки образовательной организации запрашивает документы из четырёх групп. Юрист школы должен подготовить их заблаговременно, поскольку срок ответа на запрос инспектора — короткий.

Группа 1 — реестр и уведомление. Инспектор сверяет фактические цели, категории ПДн и получателей с тем, что указано в уведомлении в реестре. Расхождение — основание для протокола по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽).

Группа 2 — документы ОРД. Политика, приказ о назначении ответственного, перечень ИСПДн, модель угроз, журналы. Отсутствие любого — самостоятельный состав нарушения.

Группа 3 — согласия субъектов. Инспектор проверяет наличие согласий, их реквизиты по ст. 9 ФЗ-152 в редакции ФЗ-156, отдельность согласия на распространение. Согласие, встроенное в договор об образовательных услугах после 01.09.2025, не соответствует требованиям.

Группа 4 — технические меры. РКН вправе запросить акт о классификации ИСПДн, перечень реализованных мер и техническую документацию. Для государственных школ актуальны также требования к государственным информационным системам.

«Ст. 13.11 ч. 11 КоАП: неуведомление РКН об утечке ПДн в течение 24 часов — штраф 1–3 млн ₽ для юрлица. Ч. 12–14: за саму утечку от 1 000 субъектов — от 3 до 15 млн ₽ в зависимости от масштаба. В редакции с 30.05.2025.»

Если юрист школы проверяет ОРД и обнаружил, что согласия встроены в договор, а уведомление в РКН не обновлялось три года — это одновременно несколько составов по ст. 13.11 КоАП. До прихода инспектора — максимум 30 дней после получения уведомления о проверке.

Подготовиться к проверке РКН

Прокторинг, ЕГЭ и онлайн-обучение: специфика для 152-ФЗ

Прокторинг — это онлайн-наблюдение за экзаменуемым с использованием видеозаписи, распознавания лица и аудиозаписи. С точки зрения 152-ФЗ прокторинг сочетает несколько проблемных аспектов.

Во-первых, видеозапись лица для идентификации — биометрические ПДн по ст. 11 ФЗ-152. Обработка требует письменного согласия субъекта (или родителей для несовершеннолетних). Согласие, полученное через галочку в интерфейсе платформы, не является письменным в понимании закона.

Во-вторых, если прокторинговый сервис находится за рубежом, передача данных — трансграничная по ст. 12 ФЗ-152. Перед передачей в страну без адекватной защиты школа обязана уведомить РКН.

В-третьих, ЕГЭ и ОГЭ: данные учеников передаются в региональные системы и федеральную информационную систему обеспечения проведения государственной итоговой аттестации. Здесь основанием обработки служит не согласие, а исполнение обязанностей оператора в силу закона (п. 2 ст. 6 ФЗ-152). Согласие в этом случае не требуется, но документально обосновать основание обработки нужно.

Платформы типа дневник.ру, Сферум или Учи.ру — подрядчики, обрабатывающие ПДн по поручению школы. Школа остаётся оператором и несёт ответственность за действия подрядчика. Договор-поручение с перечнем действий подрядчика и обязательством соблюдать конфиденциальность — обязателен по п. 3 ст. 6 ФЗ-152.

Типичные сценарии нарушений и их последствия

Сценарий 1 — согласие родителей встроено в договор. Ситуация: заявление о приёме в школу содержит пункт «Подписывая настоящее заявление, родитель даёт согласие на обработку ПДн». С 01.09.2025 согласие по ст. 9 ФЗ-152 в редакции ФЗ-156 должно быть отдельным документом. Исход: при проверке РКН — протокол по ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽. Стратегия: переоформить согласия как отдельные документы, новые получить у родителей при первом контакте в учебном году.

Сценарий 2 — фото учеников на сайте без согласия на распространение. Ситуация: учитель публикует фотографии класса на официальном сайте школы и в группе во ВКонтакте. Согласия на распространение нет — только общее согласие на обработку. Ст. 10.1 ФЗ-152 требует отдельного согласия на распространение; молчание = запрет. Исход: жалоба одного родителя в РКН → внеплановая проверка → предписание + протокол по ч. 1 ст. 13.11 (150–300 тыс. ₽). Стратегия: немедленно удалить фото, получить согласия по ст. 10.1 на каждый канал публикации.

Сценарий 3 — утечка из электронного журнала. Ситуация: хакеры получили доступ к базе данных регионального электронного журнала. Утечка затронула 12 000 учеников. Школа как оператор обязана уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Если уведомление не направлено — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. За саму утечку (10 000–100 000 субъектов) — ч. 13 ст. 13.11, штраф 5–10 млн ₽. Стратегия: заблаговременно разработать регламент реагирования по Приказу РКН №187 от 14.11.2022 и назначить ответственного за уведомление.

Кейс 1. Образовательная организация в Сибирском федеральном округе (осень 2025) получила предписание РКН по итогам плановой проверки: согласия родителей были встроены в договоры об образовательных услугах, политика конфиденциальности отсутствовала на сайте. Юрист организации обратился за помощью после получения предписания. DATUM подготовил полный пакет ОРД (политика, отдельные согласия, приказ о назначении ответственного) за 10 рабочих дней. РКН принял исполнение предписания, протокол по ч. 3 ст. 13.11 КоАП не составлялся — нарушение устранено в срок.

Кейс 2. Частная онлайн-школа в Центральном федеральном округе (начало 2026) использовала прокторинговую платформу с серверами в Нидерландах для проведения итоговых экзаменов. Данные о биометрии учеников передавались без уведомления РКН о трансграничной передаче. После обращения юриста школы DATUM оценил правовой статус передачи, подготовил уведомление РКН и договор-поручение с прокторинговым сервисом с обязательством соблюдать требования ФЗ-152. Штраф за трансграничную передачу не был применён — нарушение прекращено до проверки.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 позиций с отчётом и планом устранения
Комплект ОРД под ключ — разработка всего пакета документов под образовательную организацию
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя требуется при обработке ПДн ребёнка до достижения им 14 лет, если нет иного правового основания (например, исполнения договора об образовательных услугах или обязанности по закону). С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется только как отдельный документ — не встроенный в договор, заявление или оферту. Для детей старше 14 лет требуется как согласие самого ребёнка, так и родителей при обработке данных, связанных с обучением.

2. Можно ли использовать Google Classroom?

Использование Google Classroom допустимо только при соблюдении требования локализации по ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление, хранение и извлечение ПДн граждан РФ должны производиться в базах, расположенных в России. Google Classroom хранит данные на серверах вне РФ, что нарушает это требование. Штраф за нарушение локализации — 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП. Безопасная альтернатива — платформы с серверами в РФ (Сферум, российские LMS).

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг предполагает видеозапись лица экзаменуемого для проверки его личности и контроля за ходом экзамена. Видеозапись лица, используемая для идентификации, — биометрические ПДн по ст. 11 ФЗ-152. Обработка биометрии требует письменного согласия субъекта (или родителей для несовершеннолетних). Галочка в веб-интерфейсе письменным согласием не является. Если прокторинговый сервис расположен за рубежом — дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.

4. Кто является оператором в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является лицо, которое определяет цели и осуществляет обработку ПДн — то есть сама онлайн-школа как юридическое лицо или ИП. Платформы (LMS, сервисы оплаты, прокторинг) — обработчики по поручению оператора. Школа несёт ответственность за их действия: если подрядчик допустил утечку — протокол будет составлен на школу. Договор-поручение по п. 3 ст. 6 ФЗ-152 обязателен с каждым подрядчиком, имеющим доступ к ПДн.

5. Что грозит школе за утечку персональных данных?

Размер санкции зависит от масштаба. Утечка данных 1 000–10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; 10 000–100 000 субъектов — 5–10 млн ₽ по ч. 13; более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Дополнительно: за неуведомление РКН об утечке в 24 часа — ещё 1–3 млн ₽ по ч. 11. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Нормы действуют с 30.05.2025.

Итог

Чек-лист соответствия 152-ФЗ для школы охватывает пять уровней: организационный, документальный, технический, процедурный и отраслевой (несовершеннолетние, биометрия, прокторинг, трансграничная передача). Критические позиции — согласия родителей в редакции ФЗ-156, локализация данных на российских серверах и регламент реагирования на утечку за 24/72 часа.

DATUM сопровождает образовательные организации при аудите соответствия 152-ФЗ, разработке ОРД и подготовке к проверкам Роскомнадзора. Практика включает государственные школы, частные школы и онлайн-образовательные платформы.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.