Электронный дневник
Электронный дневник стал стандартом в школах и онлайн-школах. При этом правовая сторона его внедрения остаётся одним из самых уязвимых мест в комплаенсе образовательных организаций. Роскомнадзор фиксирует нарушения при использовании электронных журналов как одно из наиболее распространённых в сфере образования: отсутствие согласий от законных представителей, неоформленные договоры с подрядчиками, передача данных зарубежным платформам без уведомления РКН. В 2025 году регулятор провёл серию плановых проверок в системе общего образования. Материал написан для юристов образовательных организаций, которым нужно выстроить или проверить соответствие требованиям ФЗ-152.
Какие персональные данные обрабатывает электронный дневник?
Электронный дневник обрабатывает данные двух категорий субъектов — учеников и их законных представителей. В зависимости от функциональности платформы состав данных существенно различается.
Данные ученика: фамилия, имя, отчество, дата рождения, класс, успеваемость, посещаемость, замечания педагогов, результаты промежуточной аттестации. Если система интегрирована с медицинским модулем — фиксируются данные о состоянии здоровья, что переводит их в категорию специальных по ст. 10 ФЗ-152. Данные о состоянии здоровья ребёнка требуют отдельного письменного согласия законного представителя по ч. 2 ст. 10 ФЗ-152 в сочетании с ч. 6 ст. 9 ФЗ-152.
Данные законных представителей: ФИО, контактный телефон, адрес электронной почты, место работы. При использовании биометрической аутентификации (вход в систему по лицу или голосу) обработка относится к биометрическим ПДн по ст. 11 ФЗ-152 — обязательно письменное согласие.
Успеваемость и посещаемость формально не относятся к специальным категориям, однако в совокупности с другими сведениями могут раскрывать информацию о состоянии здоровья (систематические пропуски по болезни). Это требует от юриста оценки состава обрабатываемых данных с учётом реальной функциональности конкретного дневника, а не только декларируемой.
Когда нужно согласие родителей и как его правильно оформить?
По ч. 6 ст. 9 ФЗ-152 право на дачу согласия за несовершеннолетних, не достигших 18 лет, принадлежит их законным представителям — родителям, усыновителям, опекунам. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку персональных данных оформляется отдельным документом и не может быть включено в текст договора, заявления о приёме или иного многопредметного документа.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: наименование оператора и его адрес; ФИО законного представителя и ребёнка; перечень обрабатываемых данных; перечень действий с данными; цель обработки; срок действия согласия; способ его отзыва. Если школа передаёт данные подрядчику (оператору платформы дневника), это также должно быть отражено в согласии — с указанием наименования подрядчика и объёма передаваемых данных.
Типичная ошибка: согласие подписывается при приёме ребёнка в школу в составе пакета документов без выделения в самостоятельный документ. После 01.09.2025 такое согласие не соответствует требованиям закона. Старые согласия, полученные до этой даты, обратной силой не затрагиваются, однако при первом переоформлении их необходимо привести в соответствие.
Согласия родителей ещё включены в пакет документов при зачислении?
Если юрист образовательной организации не переработал форму согласий после 01.09.2025 — каждый действующий документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (от 300 000 до 700 000 ₽). Юристы DATUM проводят аудит обработки ПДн по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения нарушений.
Заказать аудит 152-ФЗ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Как 152-ФЗ регулирует использование сторонних платформ — Дневник.ру, Google Classroom и аналогов?
Когда школа использует внешнюю платформу для ведения электронного дневника, возникает правовая конструкция «поручение обработки» по п. 3 ст. 6 ФЗ-152. Образовательная организация остаётся оператором и несёт ответственность за соблюдение закона. Платформа выступает лицом, осуществляющим обработку по поручению оператора.
Условия законного поручения: письменный договор или иной документ с обязательным перечнем действий, которые вправе совершать подрядчик; запрет на обработку данных в собственных целях; обязанность обеспечить конфиденциальность; право оператора контролировать исполнение. Если договора с платформой нет или он не содержит этих условий — школа нарушает ст. 6 ФЗ-152.
Отдельный вопрос — Google Classroom и другие платформы с серверами за рубежом. По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ должны осуществляться в базах данных, расположенных на территории России. С 01.07.2025 (ФЗ-233 от 08.08.2024) требования к локализации ужесточены: первичная запись данных обязана производиться в российской базе. Использование Google Classroom без российского зеркала или иного технического решения по локализации создаёт риск нарушения по ч. 8 ст. 13.11 КоАП — штраф от 1 000 000 до 6 000 000 ₽.
Если данные всё же передаются за рубеж — необходимо уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Передача в страны, не обеспечивающие адекватную защиту, требует соблюдения дополнительных условий. США в перечень адекватных стран не входят.
Что проверить юристу при аудите электронного дневника
- Форма согласия законного представителя: отдельный документ после 01.09.2025, все обязательные реквизиты по ст. 9 ФЗ-152
- Договор с оператором платформы: наличие условий поручения обработки по п. 3 ст. 6 ФЗ-152, запрет собственных целей подрядчика
- Локализация: серверы платформы или её зеркала находятся в России либо оформлено уведомление о трансграничной передаче
- Уведомление в реестре РКН: цели обработки отражают реальный состав и объём данных в дневнике
- Политика обработки ПДн: опубликована на сайте учреждения, содержит раздел об обработке данных несовершеннолетних
Что такое прокторинг с точки зрения 152-ФЗ и чем он опасен для образовательной организации?
Прокторинг — дистанционный контроль за прохождением экзаменов или тестирования, при котором фиксируются изображение лица, голос, движение глаз и поведение учащегося. С точки зрения ФЗ-152 это обработка биометрических персональных данных по ст. 11.
Биометрические ПДн — это физиологические и биологические характеристики, позволяющие установить личность субъекта. Запись видео с лицом и аудио с голосом в целях идентификации при прокторинге подпадает под это определение. Обработка биометрии допускается только при наличии письменного согласия субъекта (или его законного представителя — для несовершеннолетних) по ч. 1 ст. 11 ФЗ-152.
Практическая проблема: большинство образовательных организаций, внедривших прокторинг в период дистанционного обучения, не оформили письменных согласий на биометрию. Подпись под «пользовательским соглашением» при входе в систему прокторинга не заменяет отдельного письменного согласия. С 30.05.2025 нарушение требований к обработке биометрии влечёт ответственность по ч. 16 ст. 13.11 КоАП.
Если в образовательной организации используется прокторинг или биометрическая аутентификация без письменных согласий на биометрию — риск по ч. 16 ст. 13.11 КоАП возникает при первой плановой проверке РКН. Срок реагирования после получения уведомления о проверке — не более 20 дней.
Подготовиться к проверке РКНТипичные ситуации: как нарушения электронного дневника доходят до штрафа
Ситуация 1. Платформа обновила пользовательское соглашение и добавила аналитику. Школа подключила внешний дневник в 2021 году, подписала договор, оформила согласия. В 2024 году платформа обновила соглашение и включила обработку данных в рекламных целях. Юрист учреждения об изменениях не уведомлён, согласия не переоформлены. При проверке РКН устанавливает, что фактическая обработка выходит за рамки целей, заявленных в уведомлении и согласиях. Нарушение: ч. 1 ст. 13.11 КоАП (обработка, несовместимая с целями), штраф от 150 000 до 300 000 ₽. Стратегия: юристу необходимо включить в договор с платформой обязанность уведомлять об изменениях условий и ежегодно верифицировать соответствие целей обработки.
Ситуация 2. Утечка данных через уязвимость в API стороннего дневника. Компания — оператор платформы допустила утечку: через уязвимость в API стали доступны ФИО, оценки и контактные данные учеников нескольких школ. Количество затронутых субъектов — более 15 000. Школы формально не сообщили РКН об инциденте, поскольку считали, что это зона ответственности подрядчика. По сложившейся позиции оператор отвечает за утечку через подрядчика — факт наличия договора с подрядчиком не снимает ответственности со школы как оператора. Нарушение: ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов) — штраф от 5 000 000 до 10 000 000 ₽, плюс ч. 11 (неуведомление об инциденте) — от 1 000 000 до 3 000 000 ₽. Стратегия: в договор с платформой включается обязанность немедленно уведомлять оператора об инцидентах, юрист организует собственную процедуру реагирования на утечки.
Ситуация 3. Онлайн-школа и вопрос о том, кто оператор. Онлайн-школа использует конструктор курсов зарубежного производства, платёжный сервис, CRM и отдельную систему видеопрокторинга. Ученик подаёт жалобу в РКН — его данные были переданы рекламному партнёру без его ведома. При проверке выясняется, что онлайн-школа не подала уведомление о намерении обрабатывать персональные данные в РКН (ст. 22 ФЗ-152) и не оформила поручения с ни одним из подрядчиков. Нарушение: ч. 10 ст. 13.11 (неуведомление РКН) — от 100 000 до 300 000 ₽; ч. 2 ст. 13.11 (обработка без надлежащего согласия) — от 300 000 до 700 000 ₽. Оператором является онлайн-школа независимо от организационной схемы. Стратегия: первым шагом — встать в реестр, вторым — оформить пакет ОРД и договоры с подрядчиками.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка всей цепочки обработки ПДн в образовательной организации
- Комплект ОРД под ключ — согласия, политика, приказы, договоры с подрядчиками
- DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентской основе
Частые вопросы
1. Когда нужно согласие родителей на обработку данных в электронном дневнике?
Согласие законного представителя требуется всегда, когда обрабатываются данные ребёнка, не достигшего 18 лет, — в том числе ФИО, дата рождения, успеваемость, посещаемость. Основание: ч. 6 ст. 9 ФЗ-152. С 01.09.2025 согласие должно быть оформлено отдельным документом (ФЗ-156 от 24.06.2025) — включение в договор о зачислении или устав родительского комитета не соответствует закону.
2. Можно ли использовать Google Classroom в школе?
Использование Google Classroom сопряжено с риском нарушения ч. 5 ст. 18 ФЗ-152 о локализации данных граждан РФ. Google хранит данные на серверах за пределами России. Без технического решения по локализации или надлежащего уведомления РКН о трансграничной передаче применение платформы создаёт риск штрафа по ч. 8 ст. 13.11 КоАП от 1 000 000 до 6 000 000 ₽. Решение зависит от конкретной конфигурации и наличия российского облачного зеркала.
3. Что такое прокторинг с точки зрения 152-ФЗ?
Прокторинг, при котором записываются изображение лица и голос учащегося в целях идентификации, является обработкой биометрических персональных данных по ст. 11 ФЗ-152. Для её проведения требуется отдельное письменное согласие субъекта (или законного представителя несовершеннолетнего). Подписанное пользовательское соглашение с платформой прокторинга или электронный акцепт не заменяют письменного согласия на биометрию.
4. Кто является оператором персональных данных в онлайн-школе?
Оператором по ст. 3 ФЗ-152 является лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку персональных данных. В онлайн-школе — это сама школа (юридическое лицо или ИП), независимо от того, какие платформы используются. Сторонние сервисы (LMS, CRM, прокторинг) выступают лицами, осуществляющими обработку по поручению оператора по п. 3 ст. 6 ФЗ-152. Ответственность за соблюдение закона остаётся на операторе.
5. Что грозит школе за утечку данных учеников?
Ответственность зависит от количества затронутых субъектов. Утечка от 1 000 до 10 000 субъектов — штраф от 3 000 000 до 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП. Утечка от 10 000 до 100 000 субъектов — от 5 000 000 до 10 000 000 ₽ по ч. 13. Дополнительно — штраф от 1 000 000 до 3 000 000 ₽ за неуведомление РКН об инциденте в течение 24 часов по ч. 11 ст. 13.11. Школа несёт ответственность за утечку через платформу-подрядчика так же, как за собственную.
Итог
Электронный дневник — не просто удобный инструмент: это информационная система обработки персональных данных несовершеннолетних, к которой предъявляются повышенные требования по ФЗ-152. Ключевые риски: несоответствие согласий требованиям с 01.09.2025, отсутствие договоров поручения с операторами платформ, нарушение локализации при использовании зарубежных сервисов, неоформленные согласия на биометрию при прокторинге.
DATUM сопровождает образовательные организации по вопросам соответствия ФЗ-152: от первичного аудита и комплекта ОРД до представительства в Роскомнадзоре и реагирования на инциденты. Практика охватывает школы, онлайн-школы, EdTech-платформы и учреждения дополнительного образования.