аналитика 3 февраля 2029 года По состоянию на 3 февраля 2029 года

Договор с разработчиком электронного журнала

Электронный журнал обрабатывает персональные данные учеников и родителей — это специальные категории и ПДн несовершеннолетних по ст. 9 и ст. 10 ФЗ-152.

Если договор с разработчиком не содержит условий поручения обработки (п. 3 ст. 6 ФЗ-152), образовательная организация остаётся единственным ответственным при любой утечке — штраф от 3 до 15 млн ₽ по ч. 12–14 ст. 13.11 КоАП.

→ Если вы юрист школы или колледжа и проверяете договор с разработчиком — ниже перечень обязательных условий и типовые риски.

С 30.05.2025 ответственность за нарушение требований к обработке ПДн в цифровых образовательных инструментах существенно возросла. Электронный журнал — не просто учётная система: он хранит оценки, посещаемость, сведения о здоровье, контакты родителей и несовершеннолетних детей. Разработчик получает доступ к этим данным. Без правильно оформленного договора образовательная организация нарушает требования ч. 3 ст. 6 ФЗ-152 о поручении обработки и ст. 18.1 о мерах обеспечения — и несёт полную ответственность перед Роскомнадзором.

Кто является оператором в электронном журнале?

Оператор персональных данных — лицо, которое самостоятельно или совместно с другими лицами определяет цели и содержание обработки ПДн (ст. 3 ФЗ-152). В случае с электронным журналом образовательная организация определяет, зачем и какие данные собираются: успеваемость, посещаемость, контакты. Разработчик платформы — технический исполнитель. Он обрабатывает данные по поручению школы.

Это разграничение принципиально. Разработчик, не являющийся оператором, освобождён от части обязанностей по ФЗ-152 — но только при наличии надлежащего договора поручения. Если договор не содержит условий из п. 3 ст. 6 ФЗ-152 или не подписан вовсе, разработчик де-факто действует как самостоятельный оператор без правового основания. Ответственность в таком случае несут обе стороны, причём в отношении образовательной организации — по всему объёму нарушений.

Важно разграничить онлайн-школу и государственное образовательное учреждение. В онлайн-школе оператором выступает юридическое лицо, ведущее образовательную деятельность. Если школа использует внешнюю платформу типа Дневник.ру или собственную разработку, логика та же: школа — оператор, разработчик — обработчик по поручению.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта, если иное не предусмотрено законом, на основании договора или акта органа власти. Такой договор должен содержать перечень действий с ПДн, цели обработки, обязанность соблюдать конфиденциальность и требования ст. 19 ФЗ-152.»

Что должен содержать договор с разработчиком электронного журнала?

Договор поручения обработки — это не стандартный IT-договор на разработку ПО. Он обязан включать специальные условия, которые ФЗ-152 предъявляет к отношениям оператор — обработчик. Без них документ не создаёт правовой защиты для образовательной организации.

Обязательные условия по п. 3 ст. 6 ФЗ-152:

Исчерпывающий перечень категорий субъектов: ученики, родители (законные представители), педагогический состав.
Перечень действий с ПДн: сбор, запись, хранение, систематизация, извлечение, передача, уничтожение.
Цели обработки — строго в рамках образовательного процесса; недопустимо использование данных для таргетинга или передачи третьим лицам.
Обязанность разработчика соблюдать конфиденциальность ПДн.
Требования к техническим и организационным мерам защиты (ст. 19 ФЗ-152, уровни защищённости по ПП РФ №1119).
Запрет субпоручения без письменного согласия оператора.
Порядок и срок уничтожения ПДн по окончании действия договора.

Помимо этого, договор должен регулировать ответственность разработчика при инциденте: кто и в какой срок уведомляет РКН (24 часа по ч. 3.1 ст. 21 ФЗ-152), кто проводит внутреннее расследование, кто несёт расходы на ликвидацию последствий. Без таких условий школа будет нести все расходы самостоятельно.

Договор с разработчиком уже подписан — нужна ли проверка?

Большинство типовых IT-договоров не содержат условий поручения обработки по п. 3 ст. 6 ФЗ-152. Юрист, не специализирующийся на ПДн, может не заметить отсутствие обязательных условий. Это создаёт риск штрафа по ч. 12–14 ст. 13.11 КоАП при первой же проверке или утечке. До 01.09.2025 согласия родителей также необходимо привести в соответствие с ФЗ-156 — и это отдельный документ.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Когда нужно согласие родителей и как его правильно оформить?

Ученики общеобразовательных школ — несовершеннолетние. Обработка их персональных данных по общему правилу требует согласия законных представителей (родителей или опекунов). Это следует из ст. 9 ФЗ-152 во взаимосвязи с нормами ГК РФ о дееспособности.

С 01.09.2025 требования к согласию ужесточены: согласие должно быть оформлено отдельным документом, не встроенным в договор об образовании, заявление о приёме или иной документ (ФЗ-156 от 24.06.2025). Старые форматы — согласие в анкете при зачислении, в заявлении родителя — более не соответствуют закону.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

ФИО законного представителя и сведения о ребёнке (субъекте ПДн).
Наименование и адрес образовательной организации как оператора.
Цель обработки: ведение электронного журнала, обеспечение образовательного процесса.
Перечень персональных данных: ФИО ребёнка, дата рождения, оценки, посещаемость, контактные данные родителей.
Перечень действий: сбор, хранение, передача разработчику по договору поручения.
Срок действия согласия и порядок отзыва.

Согласие на передачу данных разработчику платформы (обработчику) является частью согласия на обработку ПДн в целом — при условии, что разработчик прямо поименован в тексте согласия или в прилагаемом перечне получателей. Если разработчик не указан, передача данных ему является нарушением ч. 1 ст. 13.11 КоАП.

Что подготовить юристу образовательной организации

Договор поручения обработки с разработчиком — с полным перечнем условий по п. 3 ст. 6 ФЗ-152 и приложением об уровне защищённости ИСПДн (УЗ-3 или УЗ-4 в зависимости от категорий и числа субъектов).
Отдельные согласия родителей (законных представителей) по требованиям ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 с указанием разработчика как обработчика.
Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 — размещена на сайте образовательной организации в открытом доступе.
Уведомление Роскомнадзора об обработке ПДн (ст. 22 ФЗ-152) с актуальными сведениями о разработчике как обработчике.
Регламент реагирования на инциденты с ПДн — порядок уведомления РКН за 24/72 часа и порядок оповещения разработчика.

Как использование Дневник.ру, ЕГЭ-платформ и сторонних сервисов влияет на ответственность?

Распространённая ошибка — считать, что использование государственно аффилированных платформ снимает ответственность со школы. Дневник.ру, ЭПОС.Школа, региональные МИС и платформы подготовки к ЕГЭ являются самостоятельными операторами только в части данных, которые они обрабатывают в своих собственных целях. В части данных, переданных им школой для обеспечения образовательного процесса, они действуют как обработчики по поручению.

Это означает, что наличие договора с Дневник.ру или аналогичной платформой не освобождает школу от обязанности:

Проверить, соответствует ли договор требованиям п. 3 ст. 6 ФЗ-152.
Убедиться, что согласие родителей охватывает передачу данных этой конкретной платформе.
Уведомить РКН об обработчике в уведомлении по ст. 22 ФЗ-152.

Отдельного внимания требует локализация. По ч. 5 ст. 18 ФЗ-152, запись, систематизация, накопление и хранение ПДн российских граждан должны осуществляться на серверах в России. Если разработчик использует зарубежную облачную инфраструктуру (AWS, Google Cloud, Azure) без локального сегмента, это прямое нарушение — штраф по ч. 8 ст. 13.11 КоАП для юрлица составляет от 1 до 6 млн ₽.

Если юрист обнаружил, что договор с платформой не содержит условий поручения или данные хранятся за рубежом — у организации есть узкое окно до первой проверки РКН. Штраф по ч. 8 ст. 13.11 за нарушение локализации — от 1 до 6 млн ₽. Юристы DATUM проведут аудит договорной базы и помогут привести документацию в соответствие.

Заказать аудит 152-ФЗ

Прокторинг и дистанционное обучение: дополнительные риски по 152-ФЗ

Прокторинг — автоматизированный контроль прохождения экзаменов или тестирований с использованием видеозаписи, идентификации личности, анализа поведения. С точки зрения ФЗ-152 прокторинг затрагивает сразу несколько чувствительных категорий.

Видеозапись лица в сочетании с его идентификацией — это биометрические персональные данные по ст. 11 ФЗ-152. Их обработка допустима только при наличии письменного согласия субъекта (или законного представителя — для несовершеннолетнего). Форма согласия должна прямо указывать на биометрическую обработку. Обобщённое согласие на «обработку ПДн» не является достаточным основанием.

Разработчик прокторинговой системы, получающий биометрические данные учеников, — это обработчик по поручению образовательной организации. Договор с ним должен дополнительно:

Указывать на обработку биометрии и ссылаться на ст. 11 ФЗ-152.
Запрещать использование биометрических данных в иных целях (в том числе для обучения нейросетей).
Устанавливать максимально короткий срок хранения биометрических данных — как правило, до конца экзаменационной сессии.
Предусматривать безвозвратное уничтожение биометрии по истечении срока с предоставлением акта об уничтожении.

Нарушение требований к обработке биометрических ПДн влечёт ответственность по ч. 16 ст. 13.11 КоАП. Утечка биометрических данных — по ч. 17, штраф от 15 до 20 млн ₽ для юрлица.

Типовые ситуации: как нарушения выглядят на практике

Ситуация 1. Договор есть, условий поручения нет. Школа заключила договор на разработку электронного журнала с IT-компанией. Документ содержит техническое задание, стоимость, сроки — но не перечень действий с ПДн и не требования к защите. При внеплановой проверке РКН (поводом послужила жалоба родителя) инспекторы выявили отсутствие договора поручения по п. 3 ст. 6 ФЗ-152. Нарушение квалифицировано по ч. 1 ст. 13.11 КоАП. Параллельно — предписание об устранении. Юрист школы не мог объяснить, где хранятся данные физически: сервера оказались в Германии, что добавило нарушение по ч. 8 ст. 13.11 КоАП (локализация, 1–6 млн ₽).

Стратегия: перед подписанием IT-договора проверять его на соответствие п. 3 ст. 6 ФЗ-152 как отдельную задачу; включать в ТЗ требование о локализации серверов в РФ.

Ситуация 2. Согласия родителей не обновлены после 01.09.2025. Колледж (Сибирский ФО, осень 2025) использовал формы согласия, встроенные в договор об образовании. После вступления в силу ФЗ-156 такой формат нарушает требование об отдельном документе. Юрист при плановой проверке в рамках надзора за соблюдением законодательства об образовании обнаружил несоответствие. РКН возбудил производство по ч. 2 ст. 13.11 КоАП — штраф до 700 000 ₽. Смягчающим обстоятельством служило то, что нарушение выявлено самостоятельно и устранено до вынесения постановления. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Стратегия: провести ревизию форм согласия до 01.09.2025; переоформить в виде отдельных документов с корректными реквизитами по ст. 9 ФЗ-152; наладить процедуру ежегодного подтверждения согласий при переводе на следующий учебный год.

Ситуация 3. Утечка через подрядчика — ответственность на операторе. Образовательная организация (Северо-Западный ФО, начало 2026) использовала облачный журнал. Разработчик подвергся кибератаке, данные учеников и родителей (более 10 000 субъектов) оказались в открытом доступе. Школа не имела регламента реагирования, не уведомила РКН в течение 24 часов, отчёт за 72 часа не поступил. Итог: нарушение по ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов, 5–10 млн ₽) и по ч. 11 ст. 13.11 (неуведомление, 1–3 млн ₽). Договор с разработчиком не содержал условий о распределении ответственности при инциденте. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Стратегия: включить в договор с разработчиком обязанность немедленного уведомления оператора об инциденте; установить, что разработчик несёт расходы на ликвидацию инцидента, произошедшего по его вине; разработать регламент реагирования с чёткими сроками и ответственными.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка договорной базы, согласий и уведомления РКН
Комплект ОРД под ключ — договор поручения, политика, согласия родителей, регламент реагирования
DPO-аутсорсинг — сопровождение функции ответственного по ст. 22.1 ФЗ-152

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя требуется при любой обработке персональных данных несовершеннолетнего ребёнка. В образовательной организации это охватывает ведение электронного журнала, передачу данных разработчику платформы, публикацию результатов на сайте, использование прокторинга. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025) — встроенное в договор об образовании или заявление о зачислении не соответствует закону.

2. Можно ли использовать Google Classroom?

Google Classroom — сервис американской компании. Передача персональных данных российских учеников в Google LLC является трансграничной передачей по ст. 12 ФЗ-152. США не включены в перечень стран с адекватной защитой. Это означает необходимость уведомления РКН о трансграничной передаче до её начала. Кроме того, первичный сбор и хранение ПДн должны осуществляться на серверах в России (ч. 5 ст. 18 ФЗ-152). Образовательные организации, финансируемые из бюджета, фактически не могут использовать Google Classroom как основную систему без нарушения требований локализации.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с видеоидентификацией — обработка биометрических персональных данных по ст. 11 ФЗ-152, поскольку задействует изображение лица для идентификации конкретного человека. Для несовершеннолетних требуется письменное согласие родителей с прямым указанием на биометрическую обработку. Разработчик прокторинговой системы обязан действовать по договору поручения. Нарушение требований к обработке биометрии влечёт штраф по ч. 16 ст. 13.11 КоАП; утечка биометрических данных — по ч. 17 (15–20 млн ₽ для юрлица).

4. Кто является оператором в онлайн-школе?

Оператором в онлайн-школе является юридическое лицо (или ИП), осуществляющее образовательную деятельность, — именно оно определяет цели и состав обработки ПДн учеников. Разработчик платформы или LMS-системы, которую использует онлайн-школа, является обработчиком по поручению. Это разграничение устанавливается договором поручения по п. 3 ст. 6 ФЗ-152. Без такого договора разработчик формально обрабатывает ПДн без правового основания, а онлайн-школа нарушает требования к организации поручения.

5. Что грозит школе за утечку данных учеников?

Ответственность зависит от числа пострадавших субъектов. Утечка данных от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13; свыше 100 000 — 10–15 млн ₽ по ч. 14. Если школа не уведомила РКН в течение 24 часов — дополнительный штраф 1–3 млн ₽ по ч. 11. При повторной утечке возможен оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽.

Итог

Договор с разработчиком электронного журнала — это не IT-договор в привычном смысле. Он должен соответствовать требованиям п. 3 ст. 6 ФЗ-152 о поручении обработки и содержать условия о конфиденциальности, уровне защищённости, локализации, распределении ответственности при инцидентах. Отдельно необходимо привести в соответствие согласия родителей после 01.09.2025 и проверить договоры с прокторинговыми и облачными сервисами на предмет трансграничной передачи биометрии.

Практика DATUM охватывает договорную документацию для образовательных организаций: от проверки договоров поручения до сборки полного пакета ОРД и сопровождения проверок РКН в сфере EdTech.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине и образовании: согласия пациентов и родителей, прокторинг, обработка ПДн несовершеннолетних, ЕГИСЗ, МИС.