Перейти к содержанию
аналитика 14 апреля 2028 По состоянию на 14 апреля 2028

Договор поручения с платформой LMS

Образовательная организация, подключающая LMS-платформу, становится оператором персональных данных — и обязана оформить договор поручения обработки по п. 3 ст. 6 ФЗ-152 до передачи первого байта данных.
Без корректного договора поручения платформа действует без правового основания: за это предусмотрен штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. Если среди пользователей есть несовершеннолетние — добавляется риск по ч. 1 ст. 13.11 за нарушение принципов обработки.
→ Если вы юрист образовательной организации и проверяете соответствие договора с LMS требованиям 152-ФЗ — проверьте восемь обязательных условий из этого материала.

С 2023 года Роскомнадзор включил EdTech-сегмент в приоритетные направления плановых проверок. Школы, университеты и онлайн-платформы, использующие LMS — Moodle, iSpring, Учи.ру, «Дневник.ру», Яндекс 360 и другие системы управления обучением, — передают платформе персональные данные учеников, в том числе данные несовершеннолетних и данные ЕГЭ. Договор поручения при этом либо отсутствует вовсе, либо содержит условия, противоречащие ст. 6 и ст. 9 ФЗ-152. Этот материал разбирает, что должен содержать такой договор, какие риски возникают при отсутствии отдельных условий и чем грозит несоответствие.

Что такое договор поручения обработки ПДн и когда он нужен?

По п. 3 ст. 6 ФЗ-152 оператор вправе поручить обработку персональных данных другому лицу — обработчику. Основание для этого — договор или государственное (муниципальное) задание. LMS-платформа в этой схеме выступает обработчиком: она не определяет цели и способы обработки, а лишь исполняет техническую функцию по заданию образовательной организации. Если платформа действует без такого договора — каждая операция с данными пользователей лишена правового основания.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн третьему лицу на основании договора. Обработчик обязан соблюдать принципы и правила, предусмотренные ФЗ-152. Ответственность перед субъектами ПДн несёт оператор.»

Договор поручения требуется всегда, когда платформа получает доступ к персональным данным пользователей образовательной организации: обрабатывает профили учеников, хранит результаты тестирования, записывает сессии при прокторинге, передаёт данные в аналитические модули. Если платформа является самостоятельным оператором — например, пользователь регистрируется напрямую на ней, а не через школу, — договор поручения не нужен, но нужна отдельная цепочка согласий.

Разграничение ролей — ключевой юридический вопрос. Большинство корпоративных LMS-интеграций строятся по модели «школа — оператор, платформа — обработчик». Именно этот сценарий требует договора поручения с обязательными условиями по ч. 3 ст. 6 ФЗ-152.

Есть договор с LMS, но не уверены, что он соответствует 152-ФЗ?

Юристы DATUM проверят договор поручения по чек-листу из восьми обязательных условий. Если образовательная организация уже получила запрос от РКН или готовится к проверке — провести анализ нужно до начала контрольного мероприятия. Срок предоставления документов по запросу инспектора — ограничен, нарушение влечёт самостоятельный штраф.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие условия обязательны в договоре поручения с LMS-платформой?

Ч. 3 ст. 6 ФЗ-152 устанавливает минимальный перечень условий, без которых договор поручения не создаёт правового основания для обработки. На практике образовательные организации регулярно пропускают часть из них — особенно при использовании типовых офертных договоров платформ.

1. Перечень действий с ПДн. Договор должен прямо перечислять, какие именно операции платформа вправе совершать: сбор, хранение, систематизацию, использование, передачу, обезличивание, блокирование, удаление. Формулировка «обработка ПДн» без расшифровки не соответствует требованию.

2. Цели обработки. Цели платформы как обработчика должны строго соответствовать целям, заявленным образовательной организацией в уведомлении РКН и в политике обработки ПДн. Расширение целей — например, использование данных для собственной аналитики платформы — переводит платформу в статус самостоятельного оператора.

3. Обязанность соблюдать конфиденциальность. Прямая норма ч. 3 ст. 6 ФЗ-152: обработчик обязан обеспечивать конфиденциальность ПДн. Это условие должно быть зафиксировано в тексте договора, а не только в приложениях или политике платформы.

4. Технические и организационные меры защиты. Ст. 19 ФЗ-152 обязывает принимать меры, обеспечивающие установленный уровень защищённости. В договоре следует указать уровень защищённости (УЗ-3 или УЗ-4 при общих ПДн без специальных категорий и числе субъектов до 100 000), а также требование к сертификации или аттестации ИС платформы по Приказу ФСТЭК №21.

5. Запрет субпоручения без согласия оператора. Платформа не вправе передавать обработку третьим лицам — например, облачным провайдерам или аналитическим сервисам — без письменного согласия образовательной организации. Это условие критично для платформ, использующих инфраструктуру иностранных облачных провайдеров.

6. Обязанность уведомить оператора об инциденте. С учётом ч. 3.1 ст. 21 ФЗ-152 образовательная организация обязана уведомить РКН в течение 24 часов с момента обнаружения утечки. Для соблюдения этого срока платформа должна быть обязана немедленно — не позднее нескольких часов — уведомить оператора об инциденте. Это условие следует прямо прописать в договоре с указанием способа уведомления.

7. Порядок уничтожения или возврата ПДн при расторжении. После окончания поручения платформа обязана уничтожить или вернуть данные. Срок и способ уничтожения, а также порядок подтверждения (акт об уничтожении) должны быть прописаны в договоре.

8. Ответственность обработчика. Формально по ст. 6 ч. 3 ФЗ-152 ответственность перед субъектами несёт оператор. Однако в договоре следует предусмотреть регрессные требования к платформе на случай, если нарушение произошло по её вине.

Как оформляется согласие родителей при подключении LMS в школе?

Обработка персональных данных несовершеннолетних — отдельный правовой режим. По ст. 9 ФЗ-152 согласие на обработку ПДн лица до 18 лет даёт его законный представитель. Школа как оператор обязана получить такое согласие до начала обработки — то есть до передачи данных ученика в LMS-платформу.

«Ст. 9 ч. 6 ФЗ-152: если субъект ПДн недееспособен или является несовершеннолетним, согласие на обработку его персональных данных даёт законный представитель. С 01.09.2025 согласие оформляется отдельным документом, не объединяется с договором, заявлением или иным документом (ФЗ-156 от 24.06.2025).»

С 01.09.2025 согласие родителей не может быть включено в текст заявления о приёме в школу, в договор об оказании образовательных услуг или в любой другой документ. Оно оформляется отдельным документом с обязательными реквизитами: наименование организации, цель, перечень ПДн, перечень действий, срок, способ отзыва. Если школа использует LMS-платформу, цели обработки в согласии должны охватывать передачу данных обработчику — платформе.

Отдельный вопрос — данные ЕГЭ. Сведения о результатах государственной итоговой аттестации обрабатываются в системах ФИС ОКО и региональных информационных системах. Передача этих данных в LMS-платформу без отдельного правового основания нарушает принцип соответствия целей обработки, установленный ст. 5 ФЗ-152. Школа обязана убедиться, что договор с платформой не предусматривает такой передачи без явного правового основания.

Что проверить в договоре с LMS-платформой

  • Перечень допустимых действий с ПДн — без формулировки «иные действия»
  • Цели обработки соответствуют уведомлению в реестре РКН и политике ПДн организации
  • Запрет субпоручения без письменного согласия или исчерпывающий перечень субобработчиков
  • Срок и порядок уведомления об инциденте — не позднее 4 часов с момента обнаружения
  • Условие об уничтожении или возврате данных с актом об уничтожении

Что такое прокторинг с точки зрения 152-ФЗ и какие риски он создаёт?

Прокторинг — онлайн-контроль за ходом экзамена с использованием видеозаписи, захвата экрана и анализа поведения пользователя. С точки зрения 152-ФЗ прокторинг создаёт несколько самостоятельных правовых режимов одновременно.

Биометрические ПДн. Изображение лица, используемое для идентификации личности, относится к биометрическим персональным данным по ст. 11 ФЗ-152. Если прокторинговая система идентифицирует студента по лицу — образовательная организация обрабатывает биометрию. Для этого требуется отдельное письменное согласие. Договор поручения с LMS при использовании биометрического прокторинга должен прямо указывать этот вид ПДн и устанавливать требования к уровню защищённости — УЗ-2 или выше в соответствии с ПП РФ №1119.

Специальные категории ПДн. Если прокторинговая система фиксирует состояние здоровья студента или его поведенческие особенности — возникает риск отнесения данных к специальным категориям по ст. 10 ФЗ-152. Обработка таких данных по общему правилу запрещена, за исключением прямо указанных в ч. 2 ст. 10 оснований.

ПДн несовершеннолетних. При проведении прокторинга в школах (ОГЭ, ВПР) обрабатываются данные лиц до 18 лет. Это означает необходимость согласия законных представителей — и требует прямого указания биометрического прокторинга в тексте согласия.

Использование платформ «Дневник.ру», Учи.ру или других EdTech-сервисов с встроенным прокторингом без раздельного договора поручения для биометрической составляющей создаёт самостоятельное нарушение по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽ для образовательной организации.

Если образовательная организация использует прокторинг с идентификацией по лицу или передаёт данные несовершеннолетних в LMS-платформу без договора поручения — риск штрафа по ч. 2 ст. 13.11 КоАП составляет до 700 000 ₽. Уведомить РКН об инциденте нужно за 24 часа — срок не восстанавливается.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Частная онлайн-школа (Приволжский ФО, весна 2025) подключила зарубежную LMS-платформу по публичной оферте. Договор поручения отсутствовал: оферта предусматривала передачу данных на серверы в ЕС без уведомления РКН о трансграничной передаче. По итогам плановой проверки РКН составил протокол по ч. 1 ст. 13.11 КоАП (обработка ПДн в случаях, не предусмотренных законом) и отдельный протокол по ч. 8 ст. 13.11 за нарушение локализации. Юрист организации не мог предъявить договор поручения — это лишило возможности применить смягчающие обстоятельства. Общая сумма санкций составила несколько сотен тысяч рублей.

Кейс 2. Государственная школа (Центральный ФО, осень 2024) использовала LMS для дистанционного обучения с прокторингом при сдаче внутренних контрольных работ. Договор поручения с платформой существовал, однако не содержал указания на биометрическую обработку. По жалобе родителей ученика РКН провёл внеплановую проверку. Поскольку согласие родителей на биометрическую обработку отсутствовало, а договор не предусматривал этот вид данных, школе выдано предписание об устранении нарушений. Штраф не был назначен в связи с первичностью и оперативным устранением. При повторном нарушении применяется ч. 2.1 ст. 13.11 — штраф от 1 000 000 до 1 500 000 ₽.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка договоров поручения, политики и ОРД по чек-листу из 38 пунктов
  • Комплект ОРД под ключ — разработка договора поручения, согласий родителей и политики для образовательной организации
  • DPO-аутсорсинг — ответственный за обработку по ст. 22.1 на абонентской основе

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя требуется при обработке ПДн несовершеннолетнего до 18 лет по ст. 9 ч. 6 ФЗ-152. Если школа передаёт данные ученика в LMS-платформу — согласие должно быть получено до начала такой передачи. С 01.09.2025 согласие оформляется отдельным документом, не включённым в договор об образовании или заявление о приёме (ФЗ-156 от 24.06.2025). Если в LMS используется прокторинг с идентификацией по лицу — в согласии дополнительно указывается биометрическая обработка.

2. Можно ли использовать Google Classroom?

Google Classroom является зарубежным сервисом: данные обрабатываются на серверах Google LLC в США. Использование для российских пользователей возможно при одновременном соблюдении двух условий: первичная запись и хранение ПДн граждан РФ должны осуществляться в базах на территории РФ (ч. 5 ст. 18 ФЗ-152); передача данных за рубеж требует уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. Без выполнения этих условий нарушение локализации влечёт штраф до 6 000 000 ₽ по ч. 8 ст. 13.11 КоАП.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с видеофиксацией и идентификацией по лицу — это обработка биометрических ПДн по ст. 11 ФЗ-152. Для неё требуется отдельное письменное согласие субъекта (или его законного представителя, если субъект — несовершеннолетний). Договор поручения с LMS-платформой при использовании прокторинга должен прямо указывать биометрический вид ПДн и устанавливать уровень защищённости не ниже УЗ-2 по ПП РФ №1119.

4. Кто является оператором в онлайн-школе?

Оператором является лицо, самостоятельно или совместно с другими определяющее цели и состав обработки ПДн. Если пользователь регистрируется на платформе напрямую — оператором выступает платформа. Если школа предоставляет доступ к платформе и сама определяет, чьи данные и в каких целях обрабатываются, — оператором является школа, а платформа — обработчиком по договору поручения. В последнем случае ответственность перед субъектами несёт школа как оператор (ст. 6 ч. 3 ФЗ-152).

5. Что грозит школе за утечку данных учеников?

Размер санкций зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 учеников влечёт штраф от 3 000 000 до 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). При утечке более 100 000 субъектов — от 10 000 000 до 15 000 000 ₽ по ч. 14. Кроме того, школа обязана уведомить РКН о факте утечки в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152. Неуведомление добавляет штраф от 1 000 000 до 3 000 000 ₽ по ч. 11 ст. 13.11.

Итог

Договор поручения с LMS-платформой — не формальный документ, а единственное правовое основание для передачи данных учеников стороннему сервису. Его отсутствие или неполнота создаёт прямой состав нарушения по ч. 1 или ч. 2 ст. 13.11 КоАП. При использовании прокторинга и данных несовершеннолетних к основному риску добавляются требования к биометрической обработке и обязательность отдельных согласий родителей с 01.09.2025.

Практика DATUM включает сопровождение образовательных организаций при подключении LMS-платформ: разработку договоров поручения, согласий родителей по требованиям ФЗ-156, аудит существующих договоров с зарубежными платформами, включая оценку рисков локализации и трансграничной передачи.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech-платформы и 152-ФЗ.

14 апреля 2028 года