Дневник.ру и 152-ФЗ
Дневник.ру используют тысячи российских школ как электронный журнал и дневник. Платформа собирает ФИО учеников и родителей, контактные данные, сведения об успеваемости, посещаемости и — в ряде случаев — медицинские пометки. Всё это персональные данные, часть из которых относится к специальным категориям по ст. 10 ФЗ-152. Юрист, который сопровождает школу или муниципальный орган управления образованием, обязан понимать: кто оператор, какие основания обработки, как оформить согласие родителей после 01.09.2025 и что делать при запросе Роскомнадзора.
Кто является оператором персональных данных при работе с Дневник.ру?
Вопрос разграничения ролей между школой и платформой — первый, который задаёт инспектор РКН при проверке. По ст. 3 ФЗ-152 оператор — лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку ПДн, определяет цели и состав обрабатываемых данных. Школа определяет, какие данные учеников вносятся в систему и для каких целей. Следовательно, образовательная организация — оператор.
Дневник.ру в этой конструкции выступает лицом, осуществляющим обработку по поручению оператора в соответствии с п. 3 ст. 6 ФЗ-152. Поручение должно быть оформлено письменным договором с исчерпывающим перечнем действий, которые вправе совершать платформа. Если такого договора нет или он не содержит обязательных условий — это нарушение, которое фиксируется при плановой проверке.
Муниципальный орган управления образованием, заключивший договор с Дневник.ру на уровне района или города, может выступать оператором верхнего уровня, передавая поручение подведомственным школам. В этом случае цепочка поручений должна быть выстроена документально: договор органа управления с платформой и отдельное соглашение о разграничении полномочий с каждой школой.
Какие основания обработки ПДн учеников и родителей применяются в школе?
Образовательная организация обрабатывает данные на нескольких правовых основаниях, и юрист должен чётко разграничить их в документах.
Первое основание — исполнение требований законодательства об образовании. Закон об образовании (ФЗ-273) обязывает школу вести учёт посещаемости, фиксировать результаты обучения и взаимодействовать с родителями. Это основание по п. 2 ч. 1 ст. 6 ФЗ-152 — обработка необходима для выполнения возложенных обязанностей. Согласие для этого блока не требуется.
Второе основание — согласие субъекта или его законного представителя. Для несовершеннолетних до 14 лет согласие дают родители или опекуны, от 14 до 18 лет — сам ребёнок с письменного согласия родителя. Это регулируется ст. 9 ФЗ-152 в совокупности с нормами Гражданского кодекса об объёме дееспособности.
Третье основание — специальные категории данных по ст. 10 ФЗ-152. Если школа фиксирует сведения о состоянии здоровья ученика (ОВЗ, инвалидность, группа здоровья для физкультуры), это специальная категория. Обработка допустима только при наличии письменного согласия или в рамках медицинской деятельности по п. 4 ч. 2 ст. 10. Внесение таких данных в Дневник.ру требует отдельного анализа: входит ли это в функционал системы и на каком основании.
Согласия родителей оформлены в теле договора или заявления о приёме?
После 01.09.2025 согласие на обработку ПДн должно быть отдельным документом по ФЗ-156. Согласие, вшитое в договор об оказании образовательных услуг или заявление о зачислении, не соответствует требованиям ст. 9 ФЗ-152. Каждый такой документ — основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Что изменилось в требованиях к согласию после 01.09.2025?
ФЗ-156 от 24.06.2025 внёс поправку в ч. 1 ст. 9 ФЗ-152: согласие субъекта оформляется отдельным документом. Для школы это означает следующее: согласие родителей на обработку ПДн ребёнка через Дневник.ру нельзя включать в текст договора об образовательных услугах, заявления о зачислении или согласия на медицинскую помощь.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта или его законного представителя, контактные данные, наименование и адрес оператора, цель обработки, перечень персональных данных, перечень действий с данными, срок действия или условие прекращения, порядок отзыва. Для несовершеннолетнего дополнительно указываются данные родителя как законного представителя.
Ранее полученные согласия (до 01.09.2025), которые содержали все обязательные реквизиты, переоформлять не требуется — ФЗ-156 обратной силы не имеет. Но если в старом согласии реквизиты неполные или оно объединено с другим документом — при новой проверке это зафиксируют как нарушение.
Что подготовить юристу образовательной организации
- Отдельные согласия родителей на обработку ПДн ребёнка через Дневник.ру — со всеми реквизитами ст. 9 ФЗ-152, датированные и подписанные.
- Договор (соглашение) с Дневник.ру как лицом, осуществляющим обработку по поручению, — с перечнем допустимых действий по п. 3 ст. 6 ФЗ-152.
- Политику обработки ПДн, опубликованную на сайте школы, с разделом о передаче данных в информационные системы — по ч. 2 ст. 18.1 ФЗ-152.
- Уведомление в реестре операторов РКН (pd.rkn.gov.ru) с актуальными сведениями, включая Дневник.ру как получателя данных.
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с должностными обязанностями.
Как обрабатываются данные несовершеннолетних: специфика ст. 9 ч. 6 ФЗ-152?
Норма ст. 9 ч. 6 ФЗ-152 прямо указывает: если субъект недееспособен или ограниченно дееспособен, согласие даёт его законный представитель. Для несовершеннолетних до 14 лет это родители или усыновители. Школа не вправе самостоятельно заменить одного законного представителя другим — если в документах указан только один родитель, согласие другого при раздельном проживании тоже может потребоваться в спорных ситуациях.
Отдельный вопрос — ученики от 14 до 18 лет. Они вправе самостоятельно давать согласие на обработку, если речь не идёт о специальных категориях данных или биометрии. Практика РКН при проверках школ показывает: инспекторы запрашивают согласия именно на передачу данных в электронные журналы и дневники, потому что это не обязательная обработка в силу закона, а дополнительная функциональность.
Если юрист школы получил запрос РКН или готовится к проверке — пакет ОРД для образовательной организации с учётом ФЗ-156 и Дневник.ру: от 45 000 ₽, срок 5 рабочих дней.
Собрать ОРД под ключПрокторинг и ЕГЭ: где начинается биометрия?
Прокторинг — онлайн-наблюдение за ходом экзамена с использованием веб-камеры и алгоритмов распознавания лица. С точки зрения ФЗ-152 изображение лица, используемое для идентификации конкретного человека, является биометрическими ПДн по ст. 11.
Если образовательная организация использует прокторинговый сервис при проведении внутренних экзаменов или олимпиад — она обрабатывает биометрию. Обязательное условие: письменное согласие субъекта (или его законного представителя для несовершеннолетнего). Нарушение этого требования — состав по ч. 16 ст. 13.11 КоАП. Точный диапазон штрафа для юридических лиц по ч. 16 следует уточнять по актуальной редакции КоАП перед применением, так как норма введена ФЗ-420 от 30.11.2024.
ЕГЭ проводится с использованием биометрической идентификации в системе, которую администрирует Рособрнадзор. Школа в этом процессе действует как исполнитель федеральных требований, а не самостоятельный оператор биометрии. Тем не менее юрист должен убедиться, что согласия на биометрическую идентификацию при ЕГЭ подписаны и хранятся в личных делах.
Типовые сценарии нарушений: как это выглядит на практике?
Сценарий 1. Школа подключилась к Дневник.ру в 2019 году. Согласия родителей вшиты в текст заявлений о зачислении. После 01.09.2025 такой формат не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156. При плановой проверке РКН инспектор потребует предъявить согласия как отдельные документы. Их нет. Протокол по ч. 2 ст. 13.11 — штраф 300 000 – 700 000 ₽. Если нарушение повторное — по ч. 2.1, штраф 1 000 000 – 1 500 000 ₽.
Сценарий 2. Муниципальный орган управления образованием заключил договор с Дневник.ру, но школы отдельных договоров-поручений не подписывали. Данные учеников уходят на серверы платформы без надлежащего оформления поручения. Это нарушение п. 3 ст. 6 ФЗ-152 — обработка без законного основания по ч. 1 ст. 13.11 КоАП, штраф 150 000 – 300 000 ₽ за каждую школу.
Сценарий 3. Школа использует прокторинговый сервис для внутренних олимпиад. Согласие на биометрию не оформлено. Один из учеников подаёт жалобу в РКН. Следует внеплановая проверка. Нарушение — ч. 16 ст. 13.11 КоАП. Дополнительно — отсутствие договора-поручения с прокторинговым сервисом. Итог: два протокола.
Что грозит образовательной организации за утечку данных учеников?
С 30.05.2025 ответственность за утечки определяется объёмом скомпрометированных данных. Школьная база данных Дневник.ру по крупному городу может содержать десятки тысяч записей. Это уже состав по ч. 13 ст. 13.11 КоАП — штраф 5 000 000 – 10 000 000 ₽. База районного управления образования с данными учеников всех школ района — потенциально более 100 000 субъектов, что соответствует ч. 14 ст. 13.11, штраф 10 000 000 – 15 000 000 ₽.
Если утекли данные о состоянии здоровья (ОВЗ, инвалидность) — это специальные категории ПДн по ст. 10 ФЗ-152. В зависимости от квалификации могут применяться повышенные санкции. Отдельно: неуведомление РКН об инциденте в течение 24 часов влечёт штраф 1 000 000 – 3 000 000 ₽ по ч. 11 ст. 13.11.
Показательный прецедент из актуальной практики: арбитражный суд рассматривал дело о крупной утечке в образовательной системе (более 100 000 субъектов) и квалифицировал нарушение по ч. 14 ст. 13.11 КоАП. При наличии статуса микропредприятия и применении специальных правил расчёта штрафа для субъектов малого предпринимательства суд назначил существенно сниженный штраф. Для государственных образовательных организаций такая льгота неприменима — штраф рассчитывается в полном диапазоне.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка документов и процессов школы или EdTech-платформы по 38 контрольным точкам.
- Комплект ОРД под ключ — пакет документов с учётом специфики образовательной организации и интеграции с Дневник.ру.
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании.
Частые вопросы
1. Когда нужно согласие родителей на обработку ПДн через Дневник.ру?
Согласие требуется для той части обработки, которая не вытекает напрямую из обязанностей школы по законодательству об образовании. Посещаемость и оценки фиксируются в силу закона (ФЗ-273), но передача этих данных на платформу Дневник.ру — дополнительная функциональность. На неё нужно отдельное согласие родителей по ст. 9 ФЗ-152. С 01.09.2025 оно оформляется исключительно отдельным документом — не в теле заявления о зачислении или договора об образовательных услугах.
2. Можно ли использовать Google Classroom или аналогичные иностранные платформы?
Google Classroom — иностранный сервис с серверами за пределами России. Обработка ПДн российских учеников (граждан РФ) должна происходить в базах данных, расположенных в России, по ч. 5 ст. 18 ФЗ-152. Использование Google Classroom без локализации данных — нарушение требования о локализации, штраф по ч. 8 ст. 13.11 КоАП 1 000 000 – 6 000 000 ₽. Кроме того, передача данных за рубеж требует уведомления РКН по ст. 12 ФЗ-152 и договора с иностранным обработчиком.
3. Что такое прокторинг с точки зрения 152-ФЗ?
Прокторинг предполагает захват изображения лица через веб-камеру и его обработку алгоритмами для идентификации личности. Изображение лица, используемое для идентификации конкретного человека, является биометрическими ПДн по ст. 11 ФЗ-152. Для обработки биометрии требуется письменное согласие субъекта. Для несовершеннолетних до 18 лет — согласие законного представителя. Образовательная организация, применяющая прокторинг без такого согласия, нарушает ч. 16 ст. 13.11 КоАП.
4. Кто является оператором ПДн в онлайн-школе?
Онлайн-школа (EdTech-платформа), самостоятельно определяющая цели и состав обрабатываемых данных учеников, является оператором по ст. 3 ФЗ-152. Она обязана: уведомить РКН о намерении обрабатывать ПДн (ст. 22), назначить ответственного (ст. 22.1), опубликовать политику обработки (ст. 18.1), обеспечить меры защиты соответствующего уровня (ст. 19, ПП РФ №1119). Если онлайн-школа использует стороннюю CRM или LMS, с каждым таким сервисом необходим договор-поручение по п. 3 ст. 6 ФЗ-152.
5. Что грозит школе за утечку данных учеников?
Размер штрафа зависит от числа затронутых субъектов. За утечку от 1 000 до 10 000 субъектов — 3 000 000 – 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП. За утечку от 10 000 до 100 000 — 5 000 000 – 10 000 000 ₽ по ч. 13. Свыше 100 000 субъектов — 10 000 000 – 15 000 000 ₽ по ч. 14. Отдельно — штраф 1 000 000 – 3 000 000 ₽ за неуведомление РКН в течение 24 часов по ч. 11. Если данные включают сведения о здоровье (ОВЗ) — возможна дополнительная квалификация по ч. 16.
Итог
Дневник.ру — не просто электронный журнал, а точка сосредоточения персональных данных тысяч несовершеннолетних. Школа-оператор несёт полную ответственность за их обработку: от правильного оформления согласий родителей до наличия договора-поручения с платформой. С 01.09.2025 требования к согласию ужесточились — все старые формы, вшитые в другие документы, необходимо заменить.
Юристы DATUM специализируются на сопровождении образовательных организаций по 152-ФЗ: аудит документов, подготовка к проверкам РКН, пакет ОРД с учётом специфики Дневник.ру, прокторинговых сервисов и EdTech-платформ.