Перейти к содержанию
аналитика 14 января 2029 По состоянию на 14 января 2029

DATUM по образовательной сфере

Образовательные организации — операторы персональных данных несовершеннолетних и их родителей, что создаёт двойную правовую нагрузку по ст. 9, 10, 13.11 КоАП и ст. 272.1 УК РФ.
С 30.05.2025 утечка данных от 1 000 обучающихся влечёт штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; повторная — оборотный штраф до 500 млн ₽. Согласия родителей, начиная с 01.09.2025, оформляются только отдельным документом по требованиям ФЗ-156.
→ Если вы юрист образовательной организации и не уверены в составе ОРД — ниже разбор норм, типовых нарушений и практики 2025–2026 годов.

Образовательный сектор входит в число отраслей с наибольшей концентрацией чувствительных персональных данных: школы, вузы и онлайн-платформы одновременно обрабатывают данные несовершеннолетних, их родителей и педагогов. Это порождает три самостоятельных правовых блока — согласия по ст. 9 ФЗ-152, специальные категории по ст. 10, а также технические требования к защите информационных систем. Начиная с 2025 года регуляторная нагрузка существенно возросла: изменились требования к форме согласия (ФЗ-156 от 24.06.2025), ужесточились санкции по ст. 13.11 КоАП (ФЗ-420 от 30.11.2024) и введена уголовная ответственность за незаконные операции с ПДн (ст. 272.1 УК, ФЗ-421 от 30.11.2024). В материале — структурированный разбор для юриста, который ведёт комплаенс образовательной организации.

Какие персональные данные обрабатывает образовательная организация?

Образовательная организация в типовом сценарии формирует несколько потоков персональных данных. Первый — данные обучающихся: ФИО, дата рождения, место жительства, сведения об успеваемости, состоянии здоровья (медицинские справки, ограничения по физкультуре), иногда — психологические характеристики. Второй поток — данные родителей или законных представителей: контакты, сведения о месте работы. Третий — данные педагогического и административного персонала.

Сведения о состоянии здоровья и психологические данные относятся к специальным категориям по ст. 10 ФЗ-152. Обработка по общему правилу запрещена; допускается только при наличии письменного согласия субъекта или, применительно к несовершеннолетним, — их родителей (законных представителей). Это разграничение принципиально: ошибочное включение медицинских сведений в общую базу без надлежащего основания создаёт состав нарушения.

«Ст. 10 ФЗ-152 запрещает обработку специальных категорий ПДн, включая сведения о состоянии здоровья, без явного письменного согласия субъекта либо без иного прямого основания, предусмотренного частью 2 той же статьи.»

Отдельный вопрос — биометрические данные в системах контроля доступа (СКУД). Если школа использует идентификацию по фотографии лица или отпечаткам пальцев, это биометрия по ст. 11 ФЗ-152. Обработка требует отдельного письменного согласия. При этом применительно к несовершеннолетним согласие даёт родитель, а не сам ребёнок.

Наконец, данные ЕГЭ и результаты государственной итоговой аттестации обрабатываются в государственных информационных системах. Образовательная организация в этой цепочке — оператор, передающий данные в региональную ГИС и федеральные системы. Правовое основание передачи — исполнение обязанностей оператора образования, предусмотренных законодательством (п. 2 ч. 1 ст. 6 ФЗ-152), согласие не требуется. Однако факт передачи и перечень систем-получателей должны быть отражены в политике обработки ПДн и в уведомлении, направленном в Роскомнадзор.

Как изменились требования к согласию родителей с 01.09.2025?

До вступления в силу ФЗ-156 от 24.06.2025 образовательные организации нередко включали согласие на обработку персональных данных в текст договора об образовательных услугах, в анкету при приёме или в иной многофункциональный документ. С 01.09.2025 такая практика нарушает ч. 1 ст. 9 ФЗ-152 в новой редакции: согласие должно быть оформлено отдельным самостоятельным документом, не объединённым с договором, офертой, правилами или заявлением.

«Ст. 9 ч. 1 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025): согласие на обработку персональных данных оформляется отдельным документом — объединение с иными документами недопустимо.»

Требования к реквизитам согласия включают: наименование и контактные данные оператора, цель обработки, перечень обрабатываемых персональных данных, перечень действий с ними, срок действия согласия и порядок его отзыва. Применительно к несовершеннолетним обучающимся до 14 лет согласие подписывает родитель или законный представитель. С 14 лет ребёнок вправе подписать согласие самостоятельно, однако рекомендуется дублировать его подписью родителя — особенно при обработке специальных категорий.

Практически важный момент: ФЗ-156 не имеет обратной силы. Согласия, полученные до 01.09.2025 в составе договора, считаются действительными на дату их выдачи. Однако при продлении договора или при получении новых согласий после 01.09.2025 необходимо соблюдать новые требования. Юристу, сопровождающему образовательную организацию, целесообразно провести инвентаризацию форм согласий и определить, какие из них требуют переработки.

Нарушение требований к форме согласия квалифицируется по ч. 2 ст. 13.11 КоАП — штраф для юридического лица составляет 300 000 — 700 000 ₽. При повторном нарушении (ч. 2.1) — 1 000 000 — 1 500 000 ₽. Это существенный риск для школ и вузов, у которых база субъектов исчисляется тысячами.

Нужна проверка форм согласий и ОРД образовательной организации?

Если в вашей организации согласия родителей до сих пор включены в договор или анкету — с 01.09.2025 это нарушение ч. 2 ст. 13.11 КоАП с потенциальным штрафом до 700 000 ₽ за каждое основание. Срок переработки форм — до первого контрольного мероприятия РКН. Юристы DATUM проведут аудит обработки ПДн и соберут корректный пакет ОРД.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что нужно знать о прокторинге и онлайн-обучении с точки зрения 152-ФЗ?

Прокторинг — дистанционный контроль процесса сдачи экзамена с использованием веб-камеры, микрофона и скриншотов рабочего стола. С точки зрения ФЗ-152 это комплексная обработка персональных данных: изображение лица является биометрическими ПДн по ст. 11, запись голоса — также потенциально биометрическая, скриншоты могут содержать личную переписку и иные данные частной жизни.

Роль оператора в системе прокторинга чаще всего распределена: образовательная организация — оператор, компания-провайдер прокторинга (например, сторонняя платформа) — лицо, осуществляющее обработку по поручению оператора по ч. 3 ст. 6 ФЗ-152. Это означает, что:

  • договор с провайдером должен содержать поручение на обработку с перечнем допустимых действий и обязательством по конфиденциальности;
  • ответственность перед субъектом ПДн за действия провайдера несёт образовательная организация;
  • если провайдер находится за рубежом, возникает вопрос трансграничной передачи по ст. 12 ФЗ-152.

Отдельно — вопрос Google Classroom, Microsoft Teams и аналогичных зарубежных платформ. С точки зрения ч. 5 ст. 18 ФЗ-152 первичная запись, систематизация, накопление, хранение и извлечение персональных данных граждан РФ должны производиться в базах данных на территории России. Использование американских SaaS-платформ без локальной копии баз создаёт риск нарушения требований о локализации. Штраф по ч. 8 ст. 13.11 КоАП — 1 000 000 — 6 000 000 ₽, при повторном нарушении (ч. 9) — 6 000 000 — 18 000 000 ₽.

Практическое решение для юриста: до начала использования зарубежного сервиса необходимо оценить, где фактически хранятся данные, есть ли соглашение об обработке данных с локализацией в РФ, и отразить это в уведомлении в РКН.

Что подготовить юристу образовательной организации

  • Отдельные согласия родителей (законных представителей) на обработку ПДн несовершеннолетних — по требованиям ст. 9 ФЗ-152 в ред. ФЗ-156, вступившей в силу 01.09.2025.
  • Политика обработки персональных данных с разделами по ст. 18.1 ФЗ-152: цели, категории субъектов, основания, перечень третьих лиц — получателей данных, меры защиты.
  • Договор-поручение с каждым провайдером (прокторинг, электронный журнал, LMS-платформа) с перечнем допустимых действий и требованием конфиденциальности.
  • Уведомление о намерении обрабатывать ПДн в реестре РКН с актуальными сведениями, включая трансграничную передачу при её наличии.
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 и регламент реагирования на инциденты (24/72 часа по Приказу РКН №187).

Типовые сценарии нарушений в образовательных организациях

Сценарий 1. Дневник.ру, электронный журнал и передача данных родителям через мессенджеры. Школа использует региональную государственную ИС для электронного журнала и параллельно ведёт чаты в мессенджере, где публикуются оценки, фотографии с мероприятий и персональные характеристики учеников. Правовая ситуация: мессенджер — неконтролируемый канал передачи ПДн третьим лицам, участники чата не имеют статуса уполномоченных лиц. Это обработка ПДн в случаях, не предусмотренных законом, — ч. 1 ст. 13.11 КоАП, штраф 150 000 — 300 000 ₽. Стратегия: закрыть передачу ПДн через неконтролируемые каналы, перевести коммуникацию исключительно в государственные или корпоративные системы с надлежащим основанием.

Сценарий 2. Онлайн-школа без актуального уведомления в реестре РКН. EdTech-платформа, обрабатывающая данные нескольких тысяч слушателей, не подала уведомление о намерении осуществлять обработку ПДн либо подала его при регистрации, но не обновила после существенного расширения перечня обрабатываемых данных (добавила модули прокторинга, подключила рекламные пиксели). Нарушение ч. 10 ст. 13.11 КоАП — штраф 100 000 — 300 000 ₽. При этом фактическая обработка за пределами уведомления — дополнительный состав по ч. 1 той же статьи. Стратегия: актуализировать уведомление в РКН через портал pd.rkn.gov.ru немедленно, до первого индикатора риска.

Сценарий 3. Утечка базы данных вуза через уязвимость в личном кабинете студента. Вуз с численностью обучающихся более 15 000 человек допустил утечку ПДн через API личного кабинета. Данные включали ФИО, email, номера студенческих билетов и результаты сессий. По ч. 13 ст. 13.11 КоАП (10 000 — 100 000 субъектов) штраф составляет 5 000 000 — 10 000 000 ₽. Если вуз не уведомил РКН в течение 24 часов по ст. 21 ч. 3.1 ФЗ-152 — дополнительный штраф по ч. 11 ст. 13.11 от 1 000 000 до 3 000 000 ₽. Стратегия: заблаговременно настроить процедуру реагирования на инциденты, назначить ответственного, подготовить шаблон первичного уведомления РКН.

Если вы юрист и ведёте образовательную организацию — проверьте, отражена ли трансграничная передача (прокторинг, LMS, облачные сервисы) в уведомлении РКН. До первого запроса регулятора это занимает несколько рабочих дней. После — счёт идёт на часы. Юристы DATUM соберут ОРД под ключ.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Частная онлайн-школа (Центральный ФО, осень 2025) использовала согласие на обработку ПДн, интегрированное в оферту публичного договора. После 01.09.2025 при плановом аудите выяснилось, что форма не соответствует ст. 9 ФЗ-152 в новой редакции. Юристы DATUM разработали самостоятельный документ согласия с обязательными реквизитами, провели переоформление с действующими клиентами через личный кабинет, актуализировали политику и уведомление в РКН. Обращение за сопровождением произошло до получения запросов от регулятора, что позволило устранить нарушение без административного производства.

Кейс 2 (из публичной практики). Арбитражный суд в первой половине 2026 года рассмотрел дело об утечке данных образовательной платформы с более чем 100 000 субъектов. Организация квалифицировалась как микропредприятие; суд применил ст. 4.1.2 КоАП и назначил штраф в размере, существенно ниже максимального по ч. 14 ст. 13.11. При этом суд учёл наличие политики обработки ПДн и факт своевременного уведомления РКН в качестве смягчающих обстоятельств. Отсутствие любого из этих двух элементов изменило бы исход в сторону максимума.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ОРД, согласий, уведомлений и технических мер для образовательных организаций.
  • Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования на инциденты.
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, ответы на запросы субъектов.

Частые вопросы

1. Когда нужно согласие родителей?

Согласие родителей (законных представителей) необходимо для обработки ПДн несовершеннолетних до 14 лет во всех случаях, когда закон не предусматривает иного основания. Обработка на основании договора об образовательных услугах (п. 5 ч. 1 ст. 6 ФЗ-152) возможна в объёме, необходимом для его исполнения. За этим объёмом — например, для передачи данных партнёрам, публикации фотографий, использования в маркетинге — требуется отдельное согласие. С 01.09.2025 по ФЗ-156 оно оформляется самостоятельным документом, не встроенным в договор.

2. Можно ли использовать Google Classroom?

Использование Google Classroom без дополнительных мер создаёт риск нарушения требования о локализации по ч. 5 ст. 18 ФЗ-152: первичная запись и хранение ПДн граждан РФ должны происходить на серверах в России. Штраф за нарушение — 1 000 000 — 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП. Применение платформы допустимо, если обеспечена первичная запись данных в российскую базу, а в Google передаётся лишь копия, либо если данные, обрабатываемые платформой, не относятся к персональным данным граждан РФ по смыслу ст. 3 ФЗ-152. Каждый случай требует правовой оценки.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — обработка биометрических персональных данных (изображение лица, голос) по ст. 11 ФЗ-152, требующая отдельного письменного согласия субъекта. Провайдер прокторинга выступает лицом, осуществляющим обработку по поручению оператора (ч. 3 ст. 6 ФЗ-152). Договор-поручение должен содержать исчерпывающий перечень допустимых действий и срок хранения записей. Если провайдер иностранный — возникает обязанность уведомить РКН о трансграничной передаче до начала обработки по ст. 12 ФЗ-152.

4. Кто является оператором в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является юридическое лицо, самостоятельно или совместно с другими определяющее цели и содержание обработки ПДн. В онлайн-школе это, как правило, сама образовательная организация (ООО, АНО, ИП). Платформа-агрегатор, через которую продаются курсы, может выступать самостоятельным оператором либо обработчиком по поручению — зависит от договорной конструкции. Если платформа самостоятельно определяет цели обработки, она — оператор; ответственность не снимается с организации, разместившей курс, если данные слушателей доступны обоим.

5. Что грозит школе за утечку персональных данных?

За утечку данных от 1 000 до 10 000 субъектов — штраф 3 000 000 — 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). За утечку от 10 000 до 100 000 субъектов — 5 000 000 — 10 000 000 ₽ по ч. 13. Дополнительно — штраф 1 000 000 — 3 000 000 ₽ за неуведомление РКН в 24 часа по ч. 11. При повторной утечке назначается оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽. Физическое лицо — виновный сотрудник — несёт уголовную ответственность по ст. 272.1 УК РФ с 11.12.2024.

Итог

Образовательные организации несут полную ответственность оператора ПДн — независимо от того, осуществляется ли обработка своими силами или через подрядчиков (провайдеров прокторинга, LMS-платформы, электронных журналов). Три точки повышенного риска в 2025–2026 годах: несоответствие форм согласий требованиям ФЗ-156, локализация данных при использовании зарубежных сервисов и отсутствие отработанной процедуры реагирования на инцидент в 24 часа.

Практика DATUM включает сопровождение школ, вузов и EdTech-платформ: от формирования пакета ОРД и аудита согласий до защиты интересов в Роскомнадзоре и арбитраже при оспаривании штрафов по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech.

14 января 2029 года